Common menu bar links

Accueil > Ressources > Fiches d'information

Institutional links

Vous recevez des pourriels? Apprenez comment protéger Protéger les renseignements personnels : Un outil d'auto-évaluation à l'intention des organisations L’outil en ligne sur la protection de la vie privée pour la petite entreprise Quiz à l'intention des entreprises Recherche financée par le CPVP Atteinte à la vie privée ? Information pour les organisations Comment déposer une plainte concernant la protection de la vie privée
Fiches d'information

Les entreprises et le vol d’identité

Il incombe aux entreprises de protéger les renseignements des clients et de réduire les risques de fraude d’identité.

Les grands titres traitant d’importantes fuites de données et des risques de fraude d’identité ont suscité l’inquiétude des Canadiennes et Canadiens, et avec raison : ce type de fraude a fait des millions de victimes partout en Amérique du Nord.

Les entreprises et les autres organisations qui recueillent des renseignements personnels peuvent jouer un rôle déterminant pour enrayer cette tendance, tout en protégeant leur réputation et leurs profits.

Les entreprises génèrent une myriade de données fort convoitées par les voleurs d’identité.

Plus ces renseignements s’accumulent, plus les risques d’importantes fuites de données augmentent. Des technologies de pointe permettent aux organisations de recueillir, d’utiliser, d’analyser et de stocker une quantité inégalée de renseignements personnels.

Un seul disque dur peut contenir des enregistrements sur des centaines de milliers de personnes. Le stockage d’un gigaoctet de documents, soit l’équivalent de 1000 gros livres reliés, ne coûte presque rien.

Conséquemment, il importe que les entreprises et les autres organisations – petites et grandes – élaborent des stratégies exhaustives pour protéger les renseignements personnels qui leur sont confiés.

Au Canada, la loi exige la protection des renseignements personnels.

Toutefois, en prenant bien soin de protéger les renseignements personnels, vous réduisez aussi les risques de voir le nom de votre entreprise apparaître dans les prochains grands titres qui traiteront d’une importante fuite de données.

La protection des données s’avère également avantageuse sur le plan financier. En effet, il en coûte bien moins cher de protéger les données au préalable que de devoir nettoyer les dégâts à la suite d’une fuite de données. D’après les calculs du centre de recherche Gartner, situé aux États-Unis, les coûts engendrés par une fuite de données sont 15 fois plus élevés que ceux associés au chiffrement préalable des données.

Que peuvent faire les entreprises pour se prémunir contre le vol d’identité? En quelques mots, elles doivent gérer les renseignements personnels de la même façon qu’elles gèrent l’argent. Après tout, les renseignements personnels représentent une véritable mine d’or pour les voleurs d’identité et les criminels organisés.

Il est possible de réduire les risques de vol d’identité en intégrant les principes fondamentaux de protection des renseignements personnels prévus dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au sein de la culture des organisations.

La prochaine section traite de conseils pour se prémunir contre la fraude, dont certains proviennent du document du CPVP intitulé « Protection des renseignements personnels : vos responsabilités – Guide à l’intention des entreprises et des organisations ». Ce document décrit les démarches à suivre pour se conformer à la loi.

Conseils pour réduire les risques de vol d’identité

  1. Limitez la quantité de renseignements recueillis.
    • Ne recueillez pas de renseignements personnels de façon arbitraire. Limitez la quantité et le type de renseignements recueillis en fonction des besoins.
    • En recueillant moins de renseignements, vous réduisez aussi les dommages éventuels en cas de fuite de données.
    • En limitant la quantité de renseignements recueillis, vous réduisez aussi les coûts associés à la collecte, au stockage, à la conservation et à l'archivage des données.
  2. Limitez la période de rétention des renseignements recueillis.
    • Conservez les renseignements personnels uniquement pour la durée nécessaire à la satisfaction des fins visées.
    • Établissez des lignes directrices et des procédures pour la conservation et la destruction des renseignements personnels, y compris celles relatives aux périodes de rétention maximales et minimales établies conformément aux exigences et aux restrictions légales et celles relatives aux mécanismes de recours.
    • Procédez à des examens périodiques pour évaluer la nécessité de conserver les renseignements. Établissez un calendrier de rétention pour faciliter le processus.
    • Détruisez, effacez ou dépersonnalisez les renseignements qui ne sont plus nécessaires à la satisfaction des fins visées ou des exigences légales.
    • Détruisez les renseignements personnels de façon à prévenir toute utilisation frauduleuse des données. Les méthodes idéales consistent à détruire les dossiers sur support papier à l’aide d’un déchiqueteur à coupe croisée et à effacer les documents électroniques de façon sécuritaire.
  3. Prévenez la perte ou le vol de renseignements personnels.
    • Protégez les renseignements contre l’accès, la communication, la reproduction, l'utilisation et la modification non autorisés.
    • Élaborez et appliquez une politique de sécurité pour assurer la protection des renseignements personnels.
    • Protégez les dossiers sur support papier et les ordinateurs à l’aide de mesures de sécurité physique comme les verrous et les systèmes d’alarme, ainsi que l’établissement de zones à accès restreint.
    • Chiffrez tous les dossiers informatisés qui contiennent des renseignements personnels, y compris ceux dans les réseaux, dans les ordinateurs portatifs et dans les terminaux mobiles de poche comme les Blackberry. Renforcez la protection des renseignements à l’aide d’autres outils technologiques comme les mots de passe et les pare-feu.
    • Adoptez des mesures de sécurité administratives pour prévenir les méfaits commis par les employés de votre organisation. Celles-ci comprennent l’attestation de sécurité des employés et des agents contractuels, la restriction du droit d’accès aux renseignements en fonction du besoin de connaître et la formation des employés.
    • Sensibilisez les employés à l’importance d’assurer la sécurité et la confidentialité des renseignements personnels.
    • Offrez régulièrement de la formation aux employés sur les différentes mesures de sécurité – p. ex. sur le fait de ne pas laisser un ordinateur portatif dans une voiture inoccupée, en passant par des informations plus pointues traitant de mesures de sécurité technologiques.
    • Prenez certains facteurs en considération pour choisir les mesures de protection appropriées : la nature délicate des renseignements, la quantité de renseignements, l’ampleur de la distribution, la présentation des renseignements (support électronique, support papier, etc.) et le type de stockage.
    • Examinez et actualisez régulièrement les mesures de sécurité.
    • Assurez-vous de supprimer ou de masquer les renseignements personnels non pertinents lorsque vous distribuez des copies de renseignements.
    • Conservez les dossiers qui renferment des renseignements délicats dans un lieu ou dans un système informatique sécuritaire et assurez-vous que l’accès à ces dossiers soit réservé uniquement aux personnes qui doivent en prendre connaissance.
  4. Assurez la sécurité aux caisses
    • Assurez-vous que les clients peuvent composer le NIP de leur carte de débit de façon sécuritaire. Ajoutez un écran qui cache les touches du clavier numérique. Vérifiez régulièrement l’équipement du point de vente afin d’être certain qu’il n’a pas été trafiqué. Assurez-vous que les caméras de sécurité ne sont pas pointées vers les clients lorsqu’ils saisissent leur NIP.
    • Donnez comme consigne aux caissiers de vérifier la signature de la carte de crédit et de demander une carte d’identité avec photo si la signature à l’endos de la carte de crédit n’est pas la même que celle produite lors de l’achat, ou si la signature au dos de la carte de crédit est floue.
    • Utilisez des appareils qui n’impriment pas sur les reçus le numéro complet des cartes bancaires.
    • Protégez les transactions en ligne avec des logiciels de chiffrement et d’autres technologies de la sécurité. Faites régulièrement des mises à jour.
  5. Évitez la collecte et l’utilisation du numéro d’assurance sociale.
    • Le numéro d’assurance sociale est une pièce d’identité essentielle qui peut être utilisée par les voleurs d’identité. Il ne doit pas être utilisé en tant que moyen d’identification, et les organisations devraient restreindre la collecte, l’utilisation et la communication du NAS aux fins prévues par la loi.
    • Certaines organisations du secteur privé sont tenues par la loi de demander le NAS des clients ou des employés. Toutefois, le numéro d’assurance sociale ne doit pas être utilisé à des fins d’identification.
    • Pour de plus amples informations concernant l’utilisation du NAS, consultez le document « Pratiques exemplaires pour l’utilisation des numéros d’assurance sociale dans le secteur privé », disponible sur le site du CPVP.
  6. Mettez en place un processus d’identification fiable.
    • Une entreprise se doit de vérifier l’identité de ses clients. Cette vérification est impérative si le client désire obtenir des renseignements concernant un compte ou faire une transaction.
    • Un processus d’identification fiable permet de protéger la vie privée en réduisant les risques de communications non autorisées.
    • Le processus d’identification doit être adapté à la nature délicate des renseignements et aux risques associés à cette information.
    • Des processus d’identification trop rigoureux ou inutiles peuvent également porter atteinte à la vie privée.
    • Pour de plus amples renseignements sur le sujet, consultez les Lignes directrices en matière d’identification et d’authentification du CPVP.

Que faire en cas de fuite de données

La négligence est parfois à l’origine des fuites de données. Parfois, celles-ci se produisent malgré tous les efforts déployés par les organisations. Des ordinateurs portables sont perdus, des télécopies ou des lettres sont envoyées au mauvais destinataire et des pirates informatiques s’infiltrent dans les bases de données.

Informez les personnes visées

Lorsqu’une fuite de données se produit, les personnes atteintes doivent immédiatement être informées que leurs renseignements personnels ont été compromis et encore plus particulièrement s’il y a un risque de fraude d’identité ou que d’autres torts soient commis. Lorsque les voleurs d’identité frappent, ils utilisent presque immédiatement l’information volée.

Voici une liste du type d’informations qui devraient être incluses par une lettre d’avis.

  • Une liste du type de renseignements personnels communiqués;
  • Une évaluation du risque de vol d’identité attribuable à la fuite;
  • Une description des mesures qui sont ou qui vont être mises en œuvre afin d’empêcher de nouveaux accès non autorisés aux renseignements personnels;
  • Des moyens de communication que les victimes peuvent utiliser afin d’obtenir des renseignements et de l’information;
  • Des informations et des conseils sur la protection contre le vol et la fraude d’identité.

Quand une organisation est responsable d’une fuite de données, elle devrait aider les personnes dont les informations ont été compromises, en offrant, par exemple, de payer pour la surveillance du crédit.

Contactez la police et les agences d’évaluation du crédit

Par exemple, lorsqu’on croit qu’un vol pourrait avoir eu lieu, il est suggéré de contacter immédiatement la police.
S’il y a un risque de fraude, les agences d’évaluation du crédit devraient être contactées.

Informez le CPVP

Le Commissariat à la protection de la vie privée du Canada devrait être informé lorsqu’il y a effraction compromettant les renseignements personnels.

Les organisations qui sont assujetties aux lois sur la protection des renseignements personnels des provinces ou des territoires devraient informer le commissaire à la protection de la vie privée de leur région.

Prenez des mesures internes

Prenez immédiatement des mesures afin d’arrêter la fuite de données, et menez une enquête interne afin d’en déterminer les causes. Instaurez de nouvelles politiques et procédures afin d’éviter que la situation ne se reproduise.

Mars 2007

Date de modification : 2007-03-01
Retourner au haut de la page
Haut de la page
Avis importants