Notes from the IAPP Canada: The outdated fax remains a modern privacy threat

Axe the fax. Or at the very least, know where the heck it is, if you have one.

I am writing this while trying to renew a prescription, which means I am currently trapped in a familiar Canadian ritual: bouncing between a clinic, a pharmacy and an online portal that sort of works, as long as you already know which parts of it do not. There are texts, phone calls, automated messages, forms that feel half-digital and half-paper, and long pauses where no one is quite sure what is happening next.

To be fair, there has been real progress. Pharmacies and clinics have made meaningful strides in giving patients more control over their health care and better access to their own health information. But in my experience things are still far rougher than they need to be, and far more fragile than we tend to acknowledge. The unnecessary pain of navigating the system has not yet been designed out. And when systems are awkward, fragmented or unclear, privacy risk tends to creep in quietly alongside frustration.

Which brings us, once again, to the fax machine. Anyone out there remember when faxes first came on the scene, and we were getting printed messages spitting out on shiny rolls of paper, slow enough to watch paint dry? 

Recent reporting out of Ontario underscores what privacy regulators have been saying consistently for years: it turns out that fax machines remain the leading cause of patient privacy breaches in the province, despite repeated calls and commitments to "axe the fax" and modernize health system communications. Sadly, misdirected faxes continue to drive a stubbornly high number of unauthorized disclosures of personal health information, even as digital alternatives are widely available and actively encouraged.

None of this is new. In fact, it is almost aggressively old. The Office of the Privacy Commissioner of Canada was investigating misdirected faxes in the banking sector two decades ago, including cases where hundreds of pages of highly sensitive personal information were repeatedly sent to the wrong recipient over a period of years, without effective internal controls or escalation until the issue became public. Those early cases helped cement the fax as a kind of privacy anti-pattern: easy to use, hard to secure, and dangerously dependent on human perfection.

Fast forward to today, and the federal OPC's guidance on faxing personal information reads less like a how-to and more like a reluctant concession. And to be fair, they did update it not so long ago, to discourage the uses of faxes unless necessary. The message is clear. Organizations should phase out faxing wherever possible and replace it with more secure, interoperable digital tools. At the same time, the OPC explicitly acknowledges that uneven digital infrastructure means faxing may still be necessary in some regions or sectors, at least for now. 

That digital infrastructure nuance matters. The 2022 joint resolution on Securing Public Trust in Digital Healthcare, adopted by federal, provincial and territorial privacy regulators, calls for the use of traditional fax machines and unencrypted email to be phased out "as soon as reasonably possible." But it also situates that call in a broader reality of resource constraints, staffing pressures and uneven access to secure digital systems across the country. Modernization is the goal. Equity is part of the constraint.

And sometimes the problem is even more basic than infrastructure. In recent privacy impact assessment work, we encountered an organization whose documentation still referred to faxing records as a routine practice. When we asked where the fax machine was and who monitored it, the answer was, essentially, a shrug. No one was quite sure whether a fax machine still existed, let alone where it lived or who was responsible for it. The fix was simple but telling: if you cannot identify the machine, the process or the safeguards, it probably should not be in your personal information flow at all. And you probably shouldn't have your fax number on your website. 

This gap between assumed practices and operational reality shows up elsewhere, too. The Canada Revenue Agency has been candid about why it continues to accept faxes, noting that many individuals and small businesses lack access to high-speed internet or secure online portals, making fax the "next best alternative" to mail or courier in some cases. At the same time, the CRA has spent years investing in digital services precisely to reduce reliance on insecure, legacy channels. The transition is gradual and uneven.

The lesson for data protection professionals is not just "fax bad, digital good." It is more uncomfortable than that. If faxing remains part of your organization's reality, even as a backup, you need to know exactly why, exactly how and exactly where the risk sits. If it no longer does, then it needs to come out of your policies, your PIAs and your muscle memory.

Because the most dangerous fax machine may not be the one that still exists. It is the one everyone assumes exists somewhere gathering dust, but no one is actually watching.

Kris Klein, CIPP/C, CIPM, FIP, is the country leader, Canada, for the IAPP. 

Notes de l’IAPP Canada : Le fax obsolète demeure une menace moderne pour la vie privée

Éliminons le télécopieur. Ou, à tout le moins, sachez où il se trouve, si vous en avez un.

J’écris ces lignes en essayant de renouveler une ordonnance, ce qui veut dire que je suis coincé dans un rituel canadien bien connu : faire la navette entre une clinique, une pharmacie et un portail en ligne qui fonctionne plus ou moins, à condition de savoir d’avance quelles parties ne fonctionnent pas. Il y a des textos, des appels téléphoniques, des messages automatisés, des formulaires à mi-chemin entre le numérique et le papier et de longues pauses où personne ne sait vraiment ce qui se passe ensuite.

Il faut le reconnaître : il y a eu de vrais progrès. Les pharmacies et les cliniques ont fait des avancées concrètes pour donner aux patients plus de contrôle sur leurs soins et un meilleur accès à leurs propres renseignements sur la santé. Mais, d’après mon expérience, les choses restent bien plus pénibles qu’elles ne devraient l’être et bien plus fragiles qu’on ne veut l’admettre. Les irritants inutiles du parcours n’ont pas encore été éliminés dès la conception. Et quand les systèmes sont maladroits, morcelés ou flous, le risque d’atteinte à la vie privée a tendance à s’installer discrètement, en même temps que la frustration.

Ce qui nous ramène, encore une fois, au télécopieur. Quelqu’un se souvient de l’arrivée des télécopies, avec ces messages imprimés qui sortaient en crachotant sur des rouleaux de papier luisant, assez lentement pour qu’on ait le temps de regarder sécher la peinture?

De récents reportages en Ontario confirment ce que les autorités de protection de la vie privée répètent depuis des années : malgré les appels répétés à “éliminer le télécopieur” et à moderniser les communications du système de santé, les télécopieurs demeurent la principale cause d’atteintes à la vie privée des patients dans la province. Tristement, les télécopies mal acheminées continuent d’entraîner un nombre obstinément élevé de divulgations non autorisées de renseignements personnels sur la santé, alors même que des solutions numériques sont largement disponibles et activement encouragées.

Rien de tout cela n’est nouveau. En fait, c’est presque agressivement vieux. Il y a vingt ans, le Commissariat à la protection de la vie privée du Canada (CPVP) enquêtait déjà sur des télécopies mal acheminées dans le secteur bancaire, notamment dans des cas où des centaines de pages de renseignements personnels hautement sensibles ont été envoyées à répétition au mauvais destinataire pendant des années, sans contrôles internes efficaces ni escalade, jusqu’à ce que l’affaire devienne publique. Ces premiers cas ont contribué à installer le télécopieur comme une sorte d’anti-modèle en matière de protection de la vie privée : facile à utiliser, difficile à sécuriser et dangereusement dépendant de la perfection humaine.

Avançons jusqu’à aujourd’hui : les conseils du CPVP sur la transmission de renseignements personnels par télécopieur se lisent moins comme un mode d’emploi que comme une concession faite à contrecœur. Et, soyons justes, ils les ont mis à jour il n’y a pas si longtemps, afin de décourager l’utilisation du télécopieur, sauf si c’est nécessaire. Le message est clair. Les organisations devraient éliminer progressivement l’utilisation du télécopieur partout où c’est possible et le remplacer par des outils numériques plus sécurisés et interopérables. En même temps, le CPVP reconnaît explicitement que des infrastructures numériques inégales font en sorte que le télécopieur peut encore être nécessaire dans certaines régions ou certains secteurs, du moins pour l’instant.

Cette nuance sur l’infrastructure numérique compte. La résolution conjointe sur le fait de susciter la confiance du public dans les services de santé numériques, adoptée par les autorités fédérales, provinciales et territoriales de protection de la vie privée, demande d’éliminer progressivement les télécopieurs et le courrier électronique non chiffré “dans les meilleurs délais”. Mais elle replace aussi cet appel dans une réalité plus large : contraintes de ressources, pressions sur le personnel et accès inégal, partout au pays, à des systèmes numériques sécurisés. La modernisation est l’objectif. L’équité fait partie des contraintes.

Et parfois, le problème est encore plus élémentaire que l’infrastructure. Dans le cadre de récents travaux d’évaluation des facteurs relatifs à la vie privée (EFVP), nous avons rencontré une organisation dont la documentation mentionnait encore l’envoi de dossiers par télécopieur comme une pratique courante. Quand nous avons demandé où se trouvait le télécopieur et qui le surveillait, la réponse a été, pour l’essentiel, un haussement d’épaules. Personne n’était vraiment certain qu’un télécopieur existait encore, encore moins de savoir où il se trouvait ou qui en était responsable. La solution était simple, mais révélatrice : si vous n’arrivez pas à identifier l’appareil, le processus ou les mesures de protection, il ne devrait probablement pas figurer du tout dans votre flux de renseignements personnels. Et vous ne devriez probablement pas afficher votre numéro de télécopieur sur votre site Web.

Cet écart entre les pratiques présumées et la réalité opérationnelle se manifeste ailleurs aussi. L’Agence du revenu du Canada (ARC) a été franche au sujet des raisons pour lesquelles elle continue d’accepter des télécopies, notant que de nombreuses personnes et de petites entreprises n’ont pas accès à Internet haute vitesse ou à des portails en ligne sécurisés, ce qui fait du télécopieur “la meilleure solution de rechange” à l’envoi par la poste ou par messagerie dans certains cas. En parallèle, l’ARC investit depuis des années dans des services numériques précisément pour réduire sa dépendance à des canaux hérités et peu sécurisés. La transition est graduelle et inégale.

La leçon, pour les professionnels de la protection des données, n’est pas seulement “télécopieur = mauvais, numérique = bon”. Elle est plus inconfortable que ça. Si l’envoi par télécopieur fait encore partie de la réalité de votre organisation, même comme solution de secours, vous devez savoir exactement pourquoi, exactement comment et exactement où se situe le risque. Si ce n’est plus le cas, il faut alors l’enlever de vos politiques, de vos EFVP et de vos réflexes.

Car le télécopieur le plus dangereux n’est peut-être pas celui qui existe encore. C’est celui dont tout le monde suppose qu’il existe quelque part, qu’il prend la poussière, mais que personne ne surveille réellement.