Les commissaires à la protection de la vie privée de l'Ontario et de l'Alberta publient les conclusions de leurs enquêtes sur l'atteinte à la vie privée liée à PowerSchool ayant touché des conseils scolaires et d'autres organismes du secteur de l'éducation English

TORONTO, le 18 nov. 2025 /CNW/ - Les commissaires à l'information et à la protection de la vie privée de l'Ontario et de l'Alberta ont rendu publiques les conclusions de leurs enquêtes sur une atteinte massive à la vie privée impliquant la technologie éducative PowerSchool employée dans les écoles de ces deux provinces. Cet incident, qui a touché des millions de Canadiennes et de Canadiens d'un bout à l'autre du pays, souligne l'importance pour les organismes du secteur de l'éducation, y compris les conseils scolaires, de suivre des normes élevées pour protéger les renseignements personnels délicats de leurs élèves et de leur personnel enseignant, notamment lorsqu'ils font appel à des fournisseurs de services.

Bien qu'ils aient publié des rapports d'enquête distincts, les commissaires de l'Ontario et de l'Alberta ont coordonné leurs enquêtes en vertu d'un protocole d'entente visant à rehausser la collaboration et l'échange de renseignements aux fins des enquêtes pangouvernementales. Ces deux rapports ont en commun des constatations clés; ainsi, une partie ou la totalité des organismes du secteur de l'éducation :

• ont omis d'inclure dans leur contrat avec PowerSchool certaines dispositions sur la protection de la vie privée et la sécurité pour que ces organismes répondent aux exigences de la loi provinciale pertinente sur la protection de la vie privée s'appliquant au secteur public;
• n'avaient pas adopté de politiques et de procédures pour assurer le contrôle et la surveillance efficaces des précautions techniques et des mesures de sécurité de PowerSchool pour s'assurer que l'entreprise respectait les modalités du contrat, notamment en ce qui concerne les privilèges d'accès du personnel de soutien à distance et le recours à l'authentification multifacteur;
• ont omis de permettre au personnel de soutien de PowerSchool d'accéder à distance à leur système d'information sur les élèves uniquement pendant la période nécessaire pour résoudre des problèmes techniques précis;
• n'avaient pas établi de plans d'intervention ni de protocoles adéquats en cas d'atteinte à la vie privée.

Compte tenu de leurs conclusions, les commissaires de l'Ontario et de l'Alberta ont recommandé aux organismes du secteur de l'éducation de prendre les mesures suivantes :

• Examiner et, au besoin, renégocier les contrats avec PowerSchool pour y inclure les dispositions recommandées sur la protection de la vie privée et la sécurité afin que ces organismes respectent les exigences de la loi provinciale pertinente sur la protection de la vie privée s'appliquant au secteur public.
• Assurer une surveillance et un contrôle efficaces des mesures techniques et de sécurité de PowerSchool pour s'assurer qu'elles sont conformes à la loi provinciale pertinente sur la protection de la vie privée s'appliquant au secteur public et aux principales normes de l'industrie, notamment en effectuant une évaluation de l'impact sur la vie privée de leur système d'information sur les élèves.
• Autoriser l'accès à distance à leur système d'information sur les élèves uniquement lorsque cela est nécessaire.
• Établir des politiques et procédures adéquates pour réagir aux atteintes à la vie privée à l'avenir.

Les commissaires de l'Ontario et de l'Alberta demandent à leurs gouvernements respectifs de soutenir le secteur de l'éducation en utilisant leur levier d'approvisionnement pour renforcer la position des organismes du secteur de l'éducation dans leurs négociations avec les fournisseurs de technologies éducatives et permettre à ces organismes de respecter les obligations que leur imposent les lois sur la protection de la vie privée. Les commissaires demandent également à leurs gouvernements respectifs de fournir aux organismes du secteur de l'éducation l'orientation ou l'aide technique nécessaire pour évaluer la posture de confidentialité et de cybersécurité des fournisseurs de technologies éducatives. Ces organismes seraient alors plus à même d'exercer une surveillance et un contrôle.

« Ce type de coordination et de collaboration entre conseils scolaires à l'échelle du secteur, avec le soutien ferme des gouvernements, renforcerait leur position dans les négociations contractuelles avec les fournisseurs de technologies éducatives de même que les mesures de surveillance et de contrôle nécessaires pour assurer le respect de leurs obligations aux termes des lois sur la protection de la vie privée s'appliquant au secteur public », a déclaré Patricia Kosseim, commissaire à l'information et à la protection de la vie privée de l'Ontario. « Surtout, ces efforts permettraient de bien protéger les renseignements personnels des élèves, de leurs parents et tuteurs et du personnel enseignant et de susciter la confiance dans le système d'éducation. » 

« L'une des grandes priorités de mon bureau consiste à repérer, à faciliter et à appuyer des initiatives visant à renforcer l'éducation et les protections en matière d'accès à l'information et de protection de la vie privée pour les enfants et les jeunes », a déclaré Diane McLeod, commissaire à l'information et à la protection de la vie privée de l'Alberta. « Les rapports d'enquête de mon bureau et du CIPVP de l'Ontario montrent sans conteste que l'atteinte à la vie privée impliquant PowerSchool a donné lieu à des risques importants pour la vie privée, tant pour les élèves que pour les adultes concernés. Il ne faut pas oublier que la protection de la vie privée ne va pas de soi. Elle exige des organismes publics un effort concerté pour élaborer et mettre en œuvre des politiques et des procédures qui permettent de l'assurer. Cet effort est tout simplement incontournable. J'estime que les recommandations énoncées dans nos rapports, y compris celles destinées aux gouvernements, définissent une feuille de route qui, si elle est suivie, garantira la mise en œuvre des mesures qui s'imposent. »

Pour en savoir plus :

• Rapport du Commissaire à l'information et à la protection de la vie privée de l'Ontario (en anglais seulement)
• Rapport du bureau du commissaire à l'information et à la protection de la vie privée de l'Alberta (en anglais seulement)

SOURCE Commissaire à l'information et à la protection de la vie privée/Ontario

Renseignements pour les médias : Bureau du commissaire à l'information et à la protection de la vie privée de l'Ontario, [email protected]; Office of the Information and Privacy Commissioner of Alberta, Elaine Schiman, Chef des communications, [email protected], Cellulaire : 587 983-8766