Sûreté du service téléphonique automatisé d'une banque

Résumé de conclusions d'enquête en vertu de la LPRPDE no 2001-5

[principe énoncé à l'article 4.7 de l'annexe 1]

Plainte

Invoquant plusieurs dispositions de la Loi sur la protection des renseignements personnels et les documents électroniques, un individu s'est plaint qu'une banque n'ait pas appliqué les mesures de sécurité convenables pour protéger les renseignements concernant la clientèle qui sont communiqués au moyen de son service téléphonique automatisé.

Résumé de l'enquête

La banque en question offre un service téléphonique automatisé aux titulaires de cartes Visa qui ne font pas d'autres opérations auprès de cette banque. Les utilisateurs de ce service ne peuvent faire de transactions mais peuvent consulter certains renseignements relatifs à leur compte Visa en composant les 16 chiffres de leur numéro de compte et, suivant le choix au hasard du système, les quatre derniers chiffres du numéro de téléphone à domicile ou l'année de naissance du titulaire de la carte.

Conclusions du commissaire

Rendues le 23 juillet 2001

Compétence : Depuis le 1er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques s'applique aux entreprises fédérales. Cette plainte était du ressort du commissaire parce que les banques sont des entreprises fédérales au sens de la Loi.

Application : Le principe énoncé à l'article 4.7 de l'annexe 1 précise que les renseignements personnels doivent être protégés par une organisation au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Après avoir examiné la plainte, le commissaire a jugé la préoccupation du plaignant valable. Il a établi qu'un processus de codage reposant à un point tel sur le numéro de téléphone ou l'année de naissance du titulaire de la carte ne suffisait pas à empêcher des personnes non autorisées de consulter des renseignements personnels à caractère délicat concernant les utilisateurs. Il a jugé que la banque n'était pas en conformité avec le principe énoncé à l'article 4.7.

Néanmoins, le commissaire a observé que la banque avait proposé et entrepris un plan d'action détaillé en trois étapes visant à régler les problèmes de sécurité soulevés dans la plainte. En outre, il a observé que le plaignant et lui-même ont jugé tous les aspects du plan satisfaisants.

Le commissaire a donc conclu que la plainte était fondée et résolue.

Autres considérations

Le plan d'action proposé par la banque comprend les trois étapes suivantes :

  • Immédiat : L'accès automatisé au compte Visa du plaignant est bloqué, de sorte que toute tentative non autorisée de consultation des renseignements personnels du plaignant échouera. Le plaignant pourra lui-même consulter son compte par l'intermédiaire d'un mandataire, au moyen d'un mot de passe préétabli.
  • À court terme : D'ici le 31 octobre 2001, les clients de Visa qui ne font pas d'autres opérations auprès de cette banque pourront bloquer l'accès téléphonique automatisé à leur compte sur demande et pourront, s'ils le souhaitent, transiger directement avec un mandataire. Cette étape comprend une stratégie de communication visant à informer les clients à ce sujet.
  • À long terme : La banque a convenu de mettre en oeuvre, au cours des trois prochaines années, un nouveau service bancaire téléphonique qui remédiera aux préoccupations des clients quant à la protection de la vie privée et à la sûreté du service, et de rendre compte des progrès accomplis au commissaire à la protection de la vie privée au plus tard le 31 juillet 2002.

Le commissaire a formulé le commentaire suivant : [traduction]  Je suis d'avis que les mesures que [la banque] a prises pour résoudre les problèmes de sûreté soulevés ... sont acceptables. »

Date de modification :