Rapport d’enquête sur la sécurité, la collecte et la conservation des renseignements personnels

Rapport de conclusions d'enquête en vertu de la LPRPDE no 2007-389
(Veuillez noter que nous avons ajouté un numéro de dossier au Rapport de conclusions pour y référer plus facilement.)

TJX Companies Inc./Winners Merchant International L.P.

COMMISSARIAT À LA PROTECTION DE LA VIE PRIVÉE DU CANADA ET COMMISSARIAT À L’INFORMATION ET À LA PROTECTION DE LA VIE PRIVÉE DE L’ALBERTA

Le 25 septembre 2007


Contexte

  1. Le 17 janvier 2007, TJXNote de bas de page 1 et Visa ont informé le Commissariat à la protection de la vie privée du Canada (CPVP) et le Commissariat à l’information et à la protection de la vie privée de l’Alberta (CIPVP) que le réseau informatique de TJX avait fait l’objet d’une intrusion touchant les renseignements personnels d’environ 45 millions d’utilisateurs de cartes au Canada, aux États-Unis, à Puerto Rico, au Royaume-Uni et en Irlande. Cet avis a été reçu le jour même où TJX a diffusé un communiqué sur l’intrusion dans sa base de données de ses clients.
  2. Nous avons décidé de mener une enquête conjointe afin de déterminer s’il y a eu violation de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) ou de la Personal Information Protection Act (PIPA) de l’Alberta.

Survol

  1. L'expérience de TJX/WMI illustre bien comment la conservation d’importantes quantités de renseignements de nature délicate peut constituer un danger, particulièrement si les renseignements n’ont aucune utilité légitime ou si on les conserve plus longtemps que nécessaire. Même si la responsabilité de protéger des renseignements personnels existe indépendamment de l’exigence de limiter, dans la mesure du possible, la collecte de renseignements, les deux principes sont compatibles. Le fait de recueillir et de conserver une trop grande quantité de renseignements personnels constitue un fardeau en matière de sécurité qui n’est pas nécessaire. Par conséquent, les organisations ne devraient recueillir que le minimum de renseignements nécessaires aux fins indiquées et les conserver le moins longtemps possible, et ce, tout en les protégeant.
  2. Au Canada, toutes les organisations doivent respecter les principes de protection établis dans la LPRPDE ou dans les textes législatifs provinciaux sur la protection des renseignements personnels. Il est essentiel que les organisations non seulement mettent en place de multiples couches de protection, mais aussi qu’elles suivent les progrès technologiques de manière à s’assurer que leurs mesures de protection ne sont pas périmées ou facilement contournables. Elles doivent impérativement adopter un point de vue « holistique » en matière de gestion des renseignements personnels, afin d’assurer un contrôle proactif des mesures de protection tout en conservant un système sans faille.
  3. Très souvent, on peut compromettre un système de protection de manière très discrète, sans même que l’organisation en prenne connaissance. Jusqu’à ce que la brèche soit découverte, l’intrus peut avoir accès aux renseignements personnels des consommateurs et les utiliser pour commettre d’autres crimes. En plus des préjudices causés aux consommateurs, cela peut avoir un effet néfaste sur la réputation de l’organisation et ses relations avec ses partenaires d’affaires. Par conséquent, une fois qu’on a mis en place au besoin les mesures de sécurité, on doit les contrôler, les vérifier, les mettre à l’essai et les mettre à jour de manière proactive.
  4. Les coûts associés à la protection des renseignements d’un particulier à la suite d’une brèche dans la sécurité sont évidents. Du point de vue de l’organisation, l’énergie et les coûts nécessaires pour réagir à la brèche peuvent de loin être supérieurs aux coûts de l’élaboration et de la maintenance d’un système de sécurité efficace. L’organisation victime de la brèche dans la sécurité n’est pas la seule qui doit dépenser énergie et argent pour régler la situation : les sociétés émettrices de cartes de crédit, les banques, les commerçants et les organismes d’application de la loi et de réglementation, qui composent eux aussi avec des répercussions négatives, doivent aussi dépenser temps et argent pour réagir à la situation.
  5. La leçon qu’il faut en tirer? Une des meilleures mesures de sécurité qu’une entreprise puisse adopter consiste à ne pas recueillir et conserver des renseignements personnels non nécessaires. Ce cas doit rappeler à toutes les organisations œuvrant au Canada d’évaluer mûrement les raisons pour lesquelles elles recueillent et conservent des renseignements personnels et de prendre les mesures de protection connexes.

Compétence

  1. Le Commissariat à la protection de la vie privée du Canada était la juridiction compétente pour procéder à une enquête puisque TJX/WMI réalise des activités commerciales au Canada. Le Commissariat à l’information et à la protection de la vie privée de l’Alberta était la juridiction compétente dans un tel cas parce que WMI est une organisation, au sens de l’alinéa 1i) de la PIPA, qui réalise des activités en Alberta. Certains des renseignements personnels en question avaient été recueillis dans les magasins albertains de l’organisation. La juridiction des deux commissariats dans le cadre de cette enquête conjointe concerne principalement les renseignements personnels recueillis à la suite d’achats effectués en sol canadien et par la suite communiqués en raison de la brèche dans la sécurité des bases de données, ainsi que les renseignements personnels recueillis lorsque des clients rapportent des marchandises sans reçu dans les magasins de WMI.

Résumé de l’enquête

  1. L’objectif de l’enquête conjointe était d’examiner les pratiques de collecte, de conservation et de protection des données de l’organisation, afin de déterminer si on avait pu prévenir l’atteinte à la sécurité.
  2. TJX est un détaillant de vêtements et d’accessoires pour la maison dégriffés aux États-Unis et à l’échelle internationale. WMI est une filiale appartenant à cent pour cent à TJX. WMI possède et gère 184 magasins Winners et 68 magasins HomeSense au Canada.
  3. Le 18 décembre 2006, TJX a appris qu’on avait découvert un logiciel suspect dans une partie de son système informatique. TJX a immédiatement lancé une enquête et déterminé qu’il y avait de bonnes raisons de croire que son système informatique avait fait l’objet d’une intrusion et que l’intrus continuait d’avoir accès au système.
  4. TJX affirme ne pas savoir qui est responsable de l’intrusion ou s’il y a eu une intrusion continue ou plusieurs intrusions distinctes. L’enquête de TJX est en cours. TJX n’a découvert aucun élément de preuve lui permettant de conclure que ses employés étaient impliqués dans l’affaire. Selon TJX, l’intrus a initialement obtenu un accès à son système par le truchement de réseaux locaux sans fil dans deux magasins aux États-Unis.
  5. Le 22 décembre 2006, TJX a informé divers organismes américains d’application de la loi de l’intrusion présumée. Ayant reçu l’assentiment des organismes d’application de la loi, le 26 et le 27 décembre 2006, TJX a informé de l’intrusion présumée les banques, les émetteurs de cartes de crédit et de cartes de débit (les « cartes de paiement ») et les entreprises de traitement de chèques avec lesquels elle avait passé des contrats. Le 27 décembre 2006, TJX a aussi déterminé que, dans le cadre de l’intrusion informatique, quelqu’un avait aussi eu accès aux renseignements personnels de ses clients.
  6. Au début de janvier 2007, TJX a informé les organismes de réglementation américains et la Gendarmerie royale du Canada du vol de renseignements personnels de consommateurs.
  7. Le 18 février 2007, dans le cadre de son enquête, TJX a découvert des éléments de preuve indiquant que l’intrusion avait peut-être débuté plus tôt que ce qui avait été déterminé et qu’on avait peut-être eu accès à d’autres renseignements personnels de consommateurs. Le 21 février, TJX a annoncé publiquement ces constatations supplémentaires concernant la durée et l’ampleur de l’intrusion.

Système touché par l’intrusion informatique

  1. Selon TJX, durant l’intrusion informatique, on a accédé aux renseignements associés aux transactions réalisées dans les magasins de WMI par le truchement des serveurs de commutation des opérations dans le domaine du commerce de détail (Retail Transaction Switch – RTS). Les serveurs touchés servaient à traiter et à stocker des renseignements sur les clients touchant les transactions effectuées dans les magasins TJX en Amérique de Nord, y compris des renseignements sur les transactions par cartes de paiement et les retours de marchandises sans reçu dans les magasins de WMI du Canada.
  2. TJX déclare que l’intrus a eu accès au système en juillet et en septembre 2005 et de la mi-mai 2006 à la mi-janvier 2007, mais qu’aucun renseignement sur les consommateurs n’a été subtilisé après le 18 décembre 2006.

Renseignements personnels des consommateurs touchés par l’intrusion

  1. Selon TJX, en juillet, septembre et novembre 2005, et à divers moments de la mi-mai 2006 à la mi-janvier 2007, l’intrus a accédé, sans les voler, à certaines données des comptes de cartes de crédit de clients de WMI associées à une partie des transactions par cartes de crédit dans les magasins de WMI durant la période du 31 décembre 2002 au 28 juin 2004.
  2. TJX affirme que les renseignements associés aux transactions Interac de WMI effectuées à l’aide de cartes de débit émises par des banques canadiennes n’ont pas été compromis durant l’intrusion informatique.
  3. Cependant, selon TJX, en 2005, l’intrus a aussi obtenu un accès aux permis de conduire et à d’autres numéros d’identification provinciaux (appelés « numéros d’identification »), ainsi qu’aux noms et aux adresses connexes, d’environ 330 personnes ayant une adresse au Canada. Ces consommateurs avaient fourni ces renseignements à TJX après avoir rapporté des marchandises sans présenter leur reçu dans des magasins de TJX situés aux États-Unis, et ce, principalement durant les quatre derniers mois de 2003 et en mai et juin 2004.
  4. TJX affirme que, au Canada, l’intrus n’aurait pas pu avoir accès, en 2005, aux renseignements personnels fournis par les consommateurs qui rapportent de la marchandise sans reçu aux magasins de WMI parce que les magasins de WMI ont commencé à enregistrer les renseignements personnels sur support électronique en novembre 2005. Avant cette date, les noms, les adresses et les numéros de téléphone des consommateurs qui rapportent des articles sans reçu aux magasins de WMI étaient conservés sur support papier.
  5. TJX nous a informé que l’intrus a peut-être réussi à accéder au système de l’extérieur de deux magasins à Miami, en Floride. TJX a affirmé que, selon elle, l’intrus a utilisé une technologie de suppression qui, à ce jour, n’a pas permis à TJX de déterminer le contenu de la majorité des dossiers créés et téléchargés par l’intrus.
  6. En résumé, les renseignements personnels pertinents dans le cadre de la présente enquête sont les suivants :
    • numéros de cartes de crédit, y compris les dates d’expiration, utilisées par les clients de WMI (ces renseignements étaient recueillis et conservés pour le traitement des paiements);
    • noms, adresses et numéros de téléphone des clients de WMI enregistrés par voie électronique après novembre 2005;
    • numéros de permis de conduire canadiens et autres numéros d’identification provinciaux, et noms et adresses utilisés par les clients de WMI (les renseignements des deux dernières puces étaient recueillis pour la prévention des fraudes).

Mesures de protection de sécurité sans fil en place au moment de la brèche

  1. Au moment de la brèche, TJX comptait sur plusieurs mesures de protection technique dans ses magasins nord-américains afin de protéger les renseignements personnels, y compris le protocole de chiffrement WEP (protection équivalente au réseau câblé).
  2. À la fin de septembre 2005, TJX a décidé d’améliorer la protection de ses réseaux sans fil en installant dans ses magasins le protocole de sécurité Wi-Fi Protected Access (WPA).

Mesures adoptées après l’incident

  1. TJX/WMI a réagi à l’incident et a mis en place les mesures suivantes de sa propre initiative après avoir découvert la brèche :
    • l’organisation a entrepris des enquêtes judiciaires et d’autres types d’enquêtes afin de vérifier et d’analyser la sécurité du système informatique de TJX et d’améliorer la sécurité de son système dans le cadre d’efforts continus visant à se protéger contre de futures tentatives d’intrusion;
    • elle a communiqué avec des responsables de l’application de la loi; des enquêtes des forces de l’ordre se poursuivent aux États-Unis, et on procède à un certain nombre d’enquêtes réglementaires liées à l’intrusion informatique;
    • TJX a diffusé un communiqué au sujet de l’intrusion informatique et affiché des alertes à jour à l’intention des consommateurs sur ses sites Web, y compris www.winners.ca et www.homesense.ca; TJX, au nom de WMI, a envoyé des lettres aux quelque 330 personnes possédant une adresse canadienne dont les numéros d’identification, ainsi que les noms et les adresses connexes, ont probablement été consultés durant l’intrusion informatique;
    • TJX a aussi mis en place une ligne téléphonique d’aide gratuite 24 heures sur 24 et sept jours sur sept à l’intention des consommateurs (y compris les consommateurs canadiens) et mis en œuvre un certain nombre de changements techniques dont nos bureaux ont été informés;
    • on purge maintenant les fichiers journaux conservés sur les serveurs RTS au bout de 24 à 48 heures, selon le moment où les renseignements sont stockés sur les serveurs.

Questions

  1. Les trois questions auxquelles on doit répondre avant de procéder à nos constatations sont les suivantes :
    • L’organisation avait-elle un motif raisonnable pour conserver les renseignements personnels touchés par la brèche?
    • L’organisation conservait-elle les renseignements conformément à la LPRPDE et à la PIPA?
    • L’organisation avait-elle mis en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu’elle conservait?

Constatations

L’organisation avait-elle un motif raisonnable pour conserver les renseignements personnels touchés par la brèche?

  1. La première question, qui est centrale, que l’on doit se poser consiste à déterminer si TJX avait un motif raisonnable pour conserver les renseignements personnels touchés par l’intrusion.
  2. Pour procéder à nos constatations, nous avons appliqué le paragraphe 5(3) de la LPRPDÉ, selon lequel une organisation ne peut recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptable dans les circonstances. Ce paragraphe est semblable à l’article 2 de la PIPA.
  3. Selon le principe 4.2 de la LPRPDÉ, les fins auxquelles des renseignements personnels sont recueillis doivent être déterminées par l’organisation avant la collecte ou au moment de celle-ci. Selon le principe 4.3.2, il faut informer la personne concernée et obtenir son consentement. Les organisations doivent faire un effort raisonnable pour s’assurer que la personne est informée des fins auxquelles les renseignements seront utilisés. Pour que le consentement soit valable, les fins doivent être énoncées de façon que la personne puisse raisonnablement comprendre de quelle manière les renseignements seront utilisés ou communiqués. Dans le même ordre d’idée, selon le paragraphe 13(1) de la PIPA, avant ou au moment de recueillir des renseignements personnels auprès d’un particulier ou à son sujet, une organisation doit l’informer par écrit ou oralement de la raison pour laquelle les renseignements sont recueillis.
  4. Selon le principe 4.3 de la LPRPDÉ et l’alinéa 7(1)a) de la PIPA, on doit informer la personne et obtenir son consentement pour recueillir, utiliser ou communiquer ses renseignements personnels, sauf quand les lois le spécifient. Même lorsqu’on obtient un consentement de manière adéquate, la LPRPDÉ exige, au principe 4.4, que l’organisation ne recueille que les renseignements personnels nécessaires aux fins déterminées et qu’elle procède de façon honnête et licite.
  5. Le paragraphe 7(2) de la PIPA exige que les organisations ne demandent pas aux particuliers de fournir plus de renseignements personnels qu’il n’est nécessaire pour offrir un produit ou un service. Même si le consentement est obtenu de manière appropriée, la PIPA exige qu’une organisation recueille uniquement les renseignements personnels associés à des fins raisonnables [paragraphe 11(1)]. En outre, le paragraphe 11(2) de la même loi exige que les organisations recueillent uniquement les renseignements personnels raisonnablement nécessaires aux fins justifiant la collecte de renseignements.
  6. Selon le principe 4.3.3 de la LPRPDÉ, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires aux fins légitimes et explicitement indiquées.
  7. Les renseignements personnels auxquels ont eu accès des personnes non autorisées durant l’intrusion des systèmes de TJX incluent les éléments suivants :
    • données relatives à des cartes de paiement, y compris des numéros de cartes de crédit et des dates d’expiration;
    • noms, adresses, numéros de téléphone, numéros de permis de conduire et autres données d’identification provinciales recueillis lors du retour de marchandises.
  8. Il est nécessaire de recueillir les données relatives aux cartes de paiement, y compris les numéros de cartes de crédit et les dates d’expiration, afin de conclure une vente; par conséquent, cette pratique est raisonnable.
  9. Les renseignements mentionnés à la deuxième puce ci-dessus sont recueillis lorsque des clients rapportent de la marchandise sans reçu. TJX a indiqué qu’elle recueille des renseignements personnels lorsque des clients rapportent de la marchandise sans reçu afin de prévenir les cas de fraude et de décourager les fraudeurs.
  10. TJX nous a informé qu’il est nécessaire d’obtenir le numéro de permis de conduire pour mettre en œuvre un système efficace de gestion des fraudes. Il faut obtenir le numéro d’identification lorsque des clients rapportent de la marchandise sans reçu parce que le motif de l’entreprise n’est pas uniquement de confirmer l’identité. Le fait d’obtenir un numéro d’identification unique est essentiel si l’on veut déterminer si un client particulier rapporte de la marchandise sans reçu de manière excessive. L’organisation affirme que le fait de recueillir des renseignements personnels et de fournir à la personne qui rapporte la marchandise un avis selon lequel d’autres retours sans reçu effectués par une personne en particulier ne seront peut-être pas acceptés, a un effet dissuasif.
  11. Si l’organisation procède à une enquête interne sur un client qui rapporte souvent de la marchandise, les numéros d’identification ne sont d’aucune utilité. Si l’enquête est confiée aux forces de l’ordre, l’organisation affirme qu’elle fournira probablement tous les renseignements figurant au dossier du consommateur. Cependant, TJX n’a pu confirmer si, dans le cadre de leur enquête, les services de police avaient réellement besoin du numéro de permis de conduire du client.
  12. Nous reconnaissons que, quand de la marchandise est retournée sans reçu, il est raisonnable d’obtenir certains renseignements personnels sur les consommateurs. Dans d’autres cas, des détaillants ont fait part de leur préoccupation au sujet du fait qu’ils pouvaient être victimes de pertes financières en raison du retour de marchandise sans reçu. Par exemple, des personnes peuvent rapporter de la marchandise qui a été volée ou qui n’a pas été achetée chez le même détaillant.
  13. Dans des cas précédents, le CPVP a déterminé que pour prévenir la fraude associée au retour de marchandises, les renseignements personnels qu’on pouvait raisonnablement recueillir se limitaient au nom et à l’adresse. Par conséquent, la collecte du nom et de l’adresse des clients à cette fin est raisonnable et adéquate dans les circonstances, conformément aux paragraphes 5(3) de la LPRPDÉ et 11(1) de la PIPA.
  14. Cependant, il n’en est pas ainsi dans le cas de la collecte des renseignements figurant sur le permis de conduire. Selon nous, il est possible de faire une analogie entre le fait de recueillir le numéro du permis de conduire comme identificateur numérique et le fait de recueillir le numéro d’assurance sociale. Le CPVP et le CIPVP ont déjà mentionné que le NAS n’est pas un identificateur de facto et qu’on ne devrait l’utiliser qu’à des fins législatives ou pour le versement de prestations sociales (comme il était prévu à l’origine).
  15. Un permis de conduire est la preuve qu’une personne a le droit de conduire un véhicule motorisé : ce n’est pas une pièce d’identité permettant d’analyser ses habitudes de retour de marchandises. Toutefois, on trouve sur les permis de conduire un numéro unique que TJX peut utiliser pour procéder à des analyses de fréquence (le numéro proprement dit n’est pas pertinent). TJX a seulement besoin d’un numéro (n’importe quel numéro) qui peut être associé au client de manière uniforme (et un numéro qui est plus durable et plus précis qu’un nom et un numéro de téléphone).
  16. En outre, le numéro de permis de conduire est une donnée extrêmement utile pour les fraudeurs et les voleurs d’identité qui cherchent à créer de fausses identités en utilisant des renseignements valides. Une fois les numéros figurant sur un permis de conduire compromis, il est très difficile, voire impossible, de les changer. C’est pourquoi les détaillants et les autres organismes devraient s’assurer qu’ils ne recueillent pas des renseignements sur l’identité à moins que ceux-ci ne soient nécessaires à la transaction.
  17. Nous n’affirmons pas que le fait d’identifier les clients qui rapportent fréquemment de la marchandise et de procéder à des enquêtes afin de prévenir les pertes ne sont pas des activités légitimes. L’organisation a confirmé que son système de gestion des retours peut fonctionner quel que soit l’identificateur numérique utilisé. On n’a pas nécessairement besoin d’un permis de conduire ou d’un autre numéro d’identification provincial.
  18. TJX a mis en place des mesures temporaires pendant qu’elle évalue la possibilité de revoir sa politique de retour de marchandises et d’autres politiques à l’intention des consommateurs, ainsi que le résultat de la présente enquête.
  19. En résumé, nous déterminons qu’il est acceptable de demander le nom et l’adresse des clients, mais l’enregistrement des numéros d’identification est une pratique excessive et contraire au principe 4.4 de la LPRPDÉ ou au paragraphe 11(2) de la PIPA.
  20. TJX/WMI a arrêté de recueillir les numéros de permis de conduire et d’autres renseignements personnels lorsque des clients rapportent de la marchandise; toutefois, au moment de la brèche, il s’agissait d’une obligation. Puisque nous avons déterminé que la collecte de ce type de renseignement personnel n’est pas raisonnable compte tenu du type de transaction, nous déterminons que cette mesure était contraire au principe 4.3.3 de la LPRPDÉ et au paragraphe 7(2) de la PIPA.
  21. Enfin, rien ne laisse croire qu’on informait les clients des raisons pour lesquelles on leur demandait leur numéro de permis de conduire. Vu la complexité associée à l’utilisation et à la communication possible de ces renseignements, nous sommes d’avis que TJX et WMI n’ont pas respecté les principes 4.2 et 4.3.2 de la LPRPDÉ ni les dispositions du paragraphe 13(1) de la PIPA. Lorsqu’elle élaborera sa nouvelle politique de retour de marchandises, TJX devra mieux informer ses clients de la raison pour laquelle elle recueille des renseignements lorsqu’ils rapportent des marchandises.

L’organisation conservait-elle les renseignements conformément aux Lois?

  1. Pour en arriver à nos constatations concernant la conservation des renseignements, nous avons appliqué l’article 35 de la PIPA, dans lequel on peut lire ce qui suit [traduction] : « malgré le retrait ou la modification d'un consentement en application de l'article 9, l'organisation peut, à des fins juridiques ou commerciales, conserver un renseignement personnel aussi longtemps qu'il est raisonnable de le faire ». Selon le principe 4.5 de la LPRPDÉ, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour les fins déterminées. Cette disposition exige des organisations qu’elles limitent la conservation des renseignements personnels. Elle incite les organisations à établir des périodes maximales de conservation qui répondent à des besoins juridiques (comme les délais prévus par la loi pour intenter des poursuites civiles) et commerciaux.
  2. TJX a déclaré que les numéros de permis de conduire et les autres numéros d’identification étaient conservés indéfiniment. Puisque les intrusions se sont produites sur une longue période, les pirates informatiques ont pu tirer pleinement profit du téléchargement de renseignements qui n’auraient pas dû être conservés.
  3. TJX n’a pas fourni d’argument convainquant concernant la nécessité de recueillir les numéros de permis de conduire dans le cadre de ses activités. Nous déterminons que la collecte de ces renseignements n’est pas admise en vertu des paragraphes 11(2) et 7(2) de la PIPA ni du principe 4.4 de la LPRPDÉ. Par conséquent, TJX ne peut pas conserver les renseignements personnels que les Lois ne lui permettent pas de recueillir.
  4. L’article 35 de la PIPA permet à une organisation de conserver les numéros de permis de conduire des clients si elle a une bonne raison de les demander et qu’elle les conserve à des fins organisationnelles. Puisque nous avons déterminé qu’il n’est pas raisonnable de recueillir ces renseignements personnels, il en découle qu’il n’est pas raisonnable de les conserver. Par conséquent, nous déterminons que le fait que TJX a conservé les renseignements constitue une violation de la PIPA et de la LPRPDÉ.
  5. TJX élabore actuellement des politiques et des pratiques détaillées en matière de conservation, y compris sur l’établissement de périodes de conservation de tout type de dossier.
  6. TJX a aussi immédiatement décidé de limiter la période de conservation des données sur son serveur RTS. On conserve maintenant les données pour une durée spécifique et limitée aux fins de résolution de problème. Une telle mesure permet de réduire les vulnérabilités et les risques associés à une éventuelle brèche. TJX a affirmé qu’elle doit conserver les données sur les transactions par cartes de crédit et cartes de débit ailleurs dans l’organisation pendant 18 mois. Ce délai donne suffisamment de temps aux consommateurs pour contester les montants facturés, à TJX pour procéder à des vérifications et des rejets de débit et pour respecter ses obligations contractuelles avec les émetteurs de cartes de crédit. La question de la conservation des données est un élément du processus général d’examen des pratiques de protection des renseignements personnels actuellement en cours chez TJX, et nous nous attendons à ce que celle-ci inclut les présents renseignements dans ses politiques en matière de conservation des données. 

Mesures recommandées

  1. Vu les mesures déjà mises en place par TJX/WMI, nous avons fait les recommandations suivantes à l’organisation avant de rendre notre décision concernant cette plainte :
    • Collecte
      • Cesser de recueillir les numéros figurant sur les permis de conduire et d’autres numéros d’identification provinciaux des consommateurs qui rapportent des marchandises, et supprimer de tels renseignements de l’ensemble de ses bases de données.
      • Dans le cadre de la nouvelle politique de remboursement qui sera mise en place, informer clairement les clients des raisons pour lesquelles les renseignements personnels sont recueillis, de l’utilisation qu’on peut en faire et de leur éventuelle communication.
    • Conservation
      • Nous fournir un exemplaire de ses procédures et pratiques définitives en matière de conservation des données d’ici le 1er septembre 2007.

Réaction aux recommandations concernant la collecte et la conservation de renseignements personnels

  1. TJX a présenté des renseignements supplémentaires sur l’incidence de nos recommandations sur sa capacité de prévenir efficacement les fraudes. TJX/WMI est préoccupée par le fait qu’elle ne sera plus en mesure de prévenir efficacement les fraudes si elle ne peut recueillir et analyser un numéro d’identification unique. Elle nous a aussi répondu qu’elle conserve les renseignements figurant sur les permis de conduire des clients aux fins de résolution de problèmes et pour respecter ses obligations contractuelles auprès des institutions financières.
  2. Même si nous continuons à penser que la collecte et la conservation des numéros figurant sur le permis de conduire des clients qui rapportent des marchandises sans reçu ne sont pas nécessaires pour prévenir les cas de fraude, TJX/WMI a proposé une nouvelle procédure d’autorisation des remboursements dans le cadre de laquelle on conservera les renseignements figurant sur le permis de conduire des clients de manière temporaire. Nous estimons que cette solution est acceptable.
  3. La nouvelle procédure met à profit ce qu’on appelle une fonction de hachage cryptographique qui convertit immédiatement les numéros d’identification en un nouveau code qu’on appelle une « valeur de hachageNote de bas de page 2 ». En procédant ainsi, il devient impossible pour les employés de WMI ou de TJX d’avoir accès au vrai numéro du permis de conduire d’un client.
  4. L’utilisation de la valeur de hachage permettrait d’atteindre l’objectif d’établir un identificateur numérique unique. Le système de gestion des retours de WMI pourrait rester le même, puisque le même numéro d’identification pourrait être répété ou être transformé pour représenter la même valeur de hachage chaque fois, et ce, sans que le numéro de permis de conduire ne soit stocké dans le système de WMI/TJX ou ne puisse être reproduit.
  5. En ce qui a trait aux numéros d’identification que conserve déjà TJX/WMI, TJX/WMI les convertit en valeurs de hachage, les retirant efficacement et de manière permanente de son système. D’ici à ce que les numéros existants soient transformés en « valeur de hachage », TJX/WMI s’est engagée à les encoder. TJX/WMI a proposé de conserver pendant une période de trois ans les renseignements personnels des clients qui rapportent des marchandises. Les renseignements conservés incluraient le nom et l’adresse du client ainsi que la valeur de hachage associée au numéro d’identification.
  6. Le CPVP et le CIPVP ont accepté la solution de TJX/WMI puisque les valeurs de hachage associées aux numéros d’identification, telles qu’elle les présente, semblent en mesure de dissiper nos préoccupations concernant la collecte des numéros de permis de conduire. La proposition sera acceptée si la fonction de hachage respecte les normes les plus élevées de l’industrie.
  7. En ce qui a trait à la collecte et à la conservation de données relatives aux cartes de crédit, TJX/WMI a indiqué que les données de 2003 relatives aux cartes de crédit des clients de WMI avaient été conservées pendant au moins 18 mois. Lorsque TJX a mis en place ses serveurs RTS en 2003, elle a été confrontée à des problèmes qui ont entraîné des activités de dépannage. Selon TJX/WMI, il s’agit d’un but opérationnel raisonnable puisque les activités de dépannage exigent que des employés examinent et analysent des données transactionnelles datant d’aussi loin que 2003. En outre, TJX/WMI a indiqué que, en vertu des contrats passés avec les institutions financières qui procèdent aux transactions relatives aux cartes de crédit, elle doit conserver les données transactionnelles pendant au moins 18 mois au cas où il y aurait des rejets de débit ou des vérifications ou pour d’autres buts non spécifiés.
  8. En ce qui a trait à la conservation des renseignements sur les cartes de crédit à des fins transactionnelles, il est, selon nous, peut-être raisonnable de conserver ces renseignements personnels pour la durée prévue aux contrats de l’organisation avec les institutions financières puisque cela respecte l’exigence de conserver les données « à des fins juridiques ou commerciales ». Le fait d’effectuer le traitement des paiements conformément aux modalités des contrats que l’organisation a passés avec les institutions financières est lié directement au but dans lequel on a initialement recueilli les renseignements.
  9. Cependant, en ce qui a trait à la conservation des renseignements aux fins de « dépannage », TJX/WMI n’a pas fourni d’argument convainquant quant à la conservation de ces renseignements pour plus de 18 mois, ni aucune justification permettant d’expliquer pourquoi tous les renseignements doivent être conservés sous une forme reconnaissable pendant de si longues périodes de temps. En outre, le « dépannage » n’est pas directement lié au but dans lequel les renseignements ont été, à l’origine, recueillis. Au principe 4.5 de la LPRPDÉ, on indique clairement qu’on doit conserver les renseignements personnels aussi longtemps qu’il le faut pour la réalisation des buts déterminés au moment de la collecte – et non des nouveaux buts fixés par la suite.
  10. En ce qui a trait aux recommandations concernant les procédures et les pratiques de conservation ainsi qu’à son avis en matière de protection des renseignements personnels, TJX/WMI nous a informés qu’elle accepte de nous fournir un exemplaire à jour de ses politiques et procédures écrites en matière de conservation des renseignements personnels.
  11. TJX/WMI nous a aussi informés qu’elle a accepté de mettre à jour ses avis en matière de protection des renseignements personnels afin qu’ils reflètent sa nouvelle politique de retours, en améliorant ces avis afin qu’ils tiennent compte des modifications apportées au processus d’autorisation des remboursement de WMI, indiquent clairement la raison pour laquelle les renseignements sont recueillis lorsque des clients rapportent des marchandises et tiennent aussi compte des préoccupations soulevées durant l’enquête.

Conclusion concernant la collecte et la conservation des renseignements personnels

  1. En conclusion, nous croyons que TJX/WMI a contrevenu aux dispositions de la LPRPDÉ et de la PIPA concernant la collecte et la conservation de renseignements personnels. Cependant, nous sommes heureux de voir que TJX/WMI a accepté d’appliquer nos recommandations; c’est pourquoi le CPVP et le CIPVP considèrent l’affaire comme réglée.

L’organisation a-t-elle mis en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu’elle conservait?

  1. La dernière question que nous devons aborder concerne les mesures de protection de sécurité. Pour en arriver à nos constatations, nous avons appliqué le principe 4.7 de la LPRPDÉ, selon lequel les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Selon le principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la reproduction, l’utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés. Au principe 4.7.2, on ajoute que la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. Selon le principe 4.7.3, les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement. Au principe 4.7.4, on souligne que les organisations doivent sensibiliser leur personnel à l’importance de protéger le caractère confidentiel des renseignements personnels, et, au principe 4.7.5, que, au moment du retrait ou de la destruction des renseignements personnels, on doit veiller à empêcher les personnes non autorisées d’y avoir accès.
  2. On évaluera aussi les mesures de protection de sécurité à la lumière de l’article 34 de la PIPA, selon lequel l'organisation doit protéger les renseignements personnels qu’elle conserve ou contrôle en prenant des mesures de sécurité raisonnables contre la consultation, la collecte, l'utilisation, la communication, la reproduction, la modification, l'élimination ou la destruction non autorisées.
  3. En vertu de la LPRPDÉ et de la PIPA, TJX/WMI doit protéger les renseignements personnels qu’elle conserve ou contrôle. La question consiste à déterminer si ces mesures de protection constituent des « arrangements raisonnables en matière de sécurité » à la lumière des risques éventuels. La LPRPDÉ et la PIPA exigent toutes deux qu’une organisation mette en place des mesures lui permettant de se protéger contre des risques raisonnablement prévisibles.

Mesures utilisées par TJX

  1. Nous avons déjà déterminé que TJX/WMI recueillait trop de données et les conservait trop longtemps. Durant l’enquête, nous avons tenté de déterminer si TJX avait bien évalué l’ensemble de ses systèmes et pleinement évalué leur vulnérabilité. Pour ce faire, nous avons tenté de déterminer si TJX a mis en place des mesures de protection « raisonnables » et si les risques en matière de sécurité étaient prévisibles. En outre, on a tenu compte de la probabilité des dommages, de la gravité du préjudice, du coût des mesures de prévention et des normes pertinentes relatives aux pratiques.
  2. En ce qui a trait à la sécurité physique, au moment de la brèche, il y avait des mesures en place telles que du personnel de sécurité, des cartes d’identité avec photo, des cartes magnétiques, des caméras de surveillance et des verrous de sécurité.
  3. En ce qui a trait aux mesures de sécurité organisationnelles et administratives, au moment de la brèche, TJX comptait sur une structure de gouvernance de la sécurité de l’information supervisée par un dirigeant principal de l’information, un code de conduite à l’intention des employés, un nombre limité d’autorisations de sécurité, une procédure de vérification des antécédents des employés, des procédures permettant de s’assurer que les employés qui quittent l’entreprise remettent leur carte d’identité, leur clé et leur carte magnétique, des cours de formation continue à l’intention des employés, et des politiques et lignes directrices en matière de sécurité.
  4. En ce qui a trait à la sécurité du réseau, à l’exception de la sécurité sans fil, certaines mesures visant à restreindre l’accès au réseau étaient en place au moment de la brèche.

Gravité du préjudice

  1. On détermine la nature délicate des renseignements personnels en procédant à une évaluation des préjudices et des risques. Certains types de renseignements personnels peuvent plus facilement être utilisés à des fins préjudiciables ou servir à la fraude que d’autres types de renseignements.
  2. Selon nous, le concept de « mesures de protection raisonnables » signifie que l’organisation doit tenir compte des préjudices éventuels associés aux renseignements conservés si ces derniers tombent entre de mauvaises mains. Au principe 4.7.2 de la LPRPDÉ, on recommande explicitement aux organisations de tenir compte du caractère délicat des renseignements lorsqu’elles mettent en place leurs mesures de sécurité.
  3. Vu la nature des renseignements personnels auxquels ont eu accès les pirates, le nombre de personnes touchées et le temps écoulé avant que ne soit découvert l’intrusion, le préjudice pourrait être très grave. Les auteurs ont eu accès à des millions de numéros de carte de crédit pendant une longue période – assez longue pour commettre des fraudes relatives aux cartes de crédit ou pour communiquer les renseignements à d’autres aux mêmes fins. Même si les personnes qui découvrent des dépenses inhabituelles sur leur relevé de carte de crédit peuvent ne pas avoir à en assumer les coûts, les entreprises émettrices de cartes de crédit et les détaillants doivent les assumer. Cela pourrait entraîner d’importantes pertes pour ces organisations, sans mentionner les coûts associés au remplacement des cartes de crédit ayant fait l’objet d’une fraude.
  4. En outre, en raison de la brèche, des personnes ont pu vivre des niveaux plus élevés d’anxiété. Si leurs cartes de crédit ont été utilisées à des fins abusives, ils doivent communiquer avec des agences d’évaluation du crédit afin de s’assurer que leur cote de crédit ne sera pas touchée. Dans certains cas, cela exige qu’on appose une véritable alerte à la fraude sur leurs dossiers et qu’on demeure vigilant lors de l’examen des futurs relevés.

Précautions raisonnables en matière de sécurité

  1. On a habituellement recours à des exigences législatives pour établir des normes minimales en matière de conduite. Le fait que le chiffrement figure dans la liste des mesures de protection au principe 4.7.3 de la LPRPDÉ laisse croire qu’il s’agit d’une mesure de protection bien établie.
  2. TJX a mis en place un protocole de chiffrement (WEP). Elle était en train de transformer ce protocole en protocole WPA au moment de la brèche. Selon nous, le protocole WEP ne fournit pas une protection suffisante puisqu’on peut le contourner relativement facilement. Il semble que l’intrus ait eu accès aux serveurs RTS et aux données sur les clients en raison de l’utilisation d’une norme de chiffrement inadéquate ou minimale. On ne peut pas utiliser le protocole WEP pour sécuriser un système puisqu’on peut facilement contourner la méthode de chiffrement utilisée; en outre, le protocole ne représente pas une protection adéquate pour un réseau. Nous reconnaissons que TJX procédait alors à la mise en œuvre d’une norme de chiffrement supérieure, et qu’une telle conversion exige un délai d’exécution (financement, planification et mise en œuvre).
  3. Cependant, depuis 2003, des experts remettent en question l’utilisation du protocole WEP en tant que protocole sécuritaire. L’Institute of Electrical and Electronic Engineers (IEEE) est l’organisation qui, à l’origine, a élaboré la norme WEP. En juin 2003, l’IEEE même a recommandé de laisser tomber le protocole WEP et d’adopter le protocole WPA en tant que norme de chiffrement sans fil.

Coûts des mesures préventives

  1. Les coûts associés à la mise à niveau de l’équipement de protection doivent être mesurés en fonction des coûts d’une éventuelle intrusion. Puisqu’un réseau local d’entreprise sans fil infecté peut donner à l’intrus un accès au réseau de l’organisation, la possibilité que l’intrusion soit très dommageable est assez élevée.
  2. Le fait de remplacer des produits sans fil afin de rendre sécuritaire un réseau sans fil est une manière économique d’éliminer une vulnérabilité puisqu’il est très important pour toute entreprise de protéger ses éléments d’actifs. Même si les coûts associés à différents niveaux et différents types de mesures de protection des données et à différentes stratégies de gestion de ces mesures varient, ils sont tout de même inférieurs aux coûts qu’encourra l’organisation pour se remettre d’une brèche dans la protection des données.
  3. TJX a commencé son projet de conversion au protocole WPA en octobre 2005, et l’a terminé à la mi-janvier 2007.

Normes pertinentes relatives aux pratiques

  1. La version 1.1 des normes de sécurité sur les données de l’industrie des cartes de paiement (PCI DSS) est en circulation depuis septembre 2006 (la version 1.0 des PCI DSS avait été lancée en décembre 2004). Les PCI DSS ont été élaborées et approuvées par le Security Standards Council de l’industrie des cartes de paiement. Le conseil, organisme indépendant créé en septembre 2006, est composé de représentants de VISA International, de MasterCard Worldwide, d’American Express, de Discover Financial Services et de JCB. Le conseil travaille en collaboration avec les détaillants et les fournisseurs de services de paiement afin de s’assurer que les données sur les consommateurs sont protégées en veillant à ce qu’on respecte les PCI DSS. On a créé ces normes afin de s’attaquer au problème grandissant du vol de données associées aux cartes de crédit. Bien que les lignes directrices ne soient pas obligatoires, on encourage les organisations à les suivre afin de réduire les risques financiers associés aux brèches dans la protection des données relatives aux comptes de paiement.
  2. Les PCI DSS sont un ensemble d’exigences permettant d’améliorer la sécurité des données relatives aux comptes de paiement. Fondées sur 12 principes, ces normes tiennent compte de différents aspects comme la gestion de la sécurité, les politiques, les procédures, l’architecture de réseau, la conception des logiciels et d’autres mesures de protection essentielles comme la surveillance et la mise à l’essai des réseaux.
  3. La version 1.0 n’exigeait pas la technologie WPA; la version 1.1 l'exigeait. À la fin de 2006, TJX aurait dû s’être conformée à la version 1.1 des PCI DSS, qui avait été rendue accessible en septembre de la même année. Nous soulignons que les brèches ont eu lieu sur une période qui s’est prolongée au-delà de l’adoption de la nouvelle version des PCI DSS.
  4. Les experts des technologies de l’information parlent régulièrement de « couches » de sécurité des données parce qu’elles sont généralement plus faciles à installer et à entretenir. En outre, il est généralement reconnu que les organisations ont besoin de plus d’une mesure de protection pour décourager un pirate informatique résolu. Il faut déployer beaucoup plus d’efforts et avoir beaucoup plus de compétences pour contourner plusieurs couches de protection (administratives, physiques et techniques), ce qui a pour effet de réduire les risques d’accès non autorisés.
  5. Au moment de l’intrusion, TJX avait en place des politiques et des procédures. Elle comptait sur les éléments suivants : sécurité physique, mesures administratives (règles de comportement et procédures d’application connexes, comme des politiques pour réduire la quantité et le type de données ainsi que les durées de conservation et des règles associées à « l’accès sélectif ») et mesures de protection techniques (comme le chiffrement et l’accès à distance).
  6. Cependant, il y avait des lacunes. TJX utilisait un protocole de chiffrement peu fiable et n’a pas mis en place une norme de chiffrement plus stricte dans un délai raisonnable. La brèche a eu lieu en juillet 2005, la conversion a commencé en octobre 2005 et le projet pilote s’est terminé en janvier 2007. Nous savons aussi que la conversion finale à un protocole de chiffrement supérieur sera bientôt terminée.
  7. En outre, même si TJX a fait ce qu’il fallait pour mettre en place un protocole de chiffrement de niveau supérieur, rien n’indique qu’elle a séparé ses données de manière à ce que les données sur les détenteurs de cartes soient stockées sur un serveur sécuritaire durant le processus de conversion au protocole WPA.
  8. TJX avait l’obligation de surveiller ses systèmes de façon attentive. Si TJX avait mis en place des mesures adéquates de contrôle des menaces à la sécurité, elle aurait découvert l’intrusion avant décembre 2006.
  9. Selon nous, le risque d’une brèche était prévisible en raison de la quantité de renseignements personnels de nature délicate conservés et du fait que l’organisation ayant établi les normes de l’industrie avait déterminé les faiblesses du protocole de chiffrement WEP. Les renseignements auraient pu être séparés, et les systèmes, mieux surveillés. Par conséquent, TJX n’a pas respecté les dispositions relatives aux mesures de protection de la LPRPDÉ et de la PIPA.

Mesures recommandées

  1. Vu les mesures déjà mises en place par TJX/WMI, nous avons fait les recommandations suivantes à l’organisation avant de rendre notre décision concernant cette plainte :
    • Mesures de protection
      • Nous fournir un résumé de ses vérifications, y compris les constatations et les recommandations, afin d’assurer l’examen des recommandations en fonction des mesures de protection de TJX/WMI, qui, en tant qu’entreprise, a l’obligation de protéger les renseignements personnels conformément aux lois provinciales et fédérales et aux normes de l’industrie en matière de protection des renseignements personnels.
      • Nous informer des mesures qu’elle compte prendre pour mieux surveiller ses systèmes.
      • terminer la conversion en des normes de chiffrement supérieures, dresser la liste de ces normes et nous informer lorsque la conversion sera terminée, conformément au raisonnement et à l’analyse du présent rapport.

Réaction aux recommandations relatives aux mesures de protection

  1. L’organisation a réagi de la manière suivante :
    • TJX nous a fourni les documents demandés, suivant ainsi notre première recommandation.
    • TJX nous a informés du fait que, depuis l’intrusion, elle a consacré d’importantes ressources à la sécurité de ses systèmes, y compris en renforçant la surveillance de ses systèmes qui ont fait l’objet de l’intrusion.
    • TJX nous a informé que tous ses magasins (y compris tous les magasins WMI) utilisent maintenant la technologie de chiffrement WPA.
  2. Nous avons examiné les améliorations apportées aux mesures de protection proposées, et nous les trouvons importantes et logiques. Elles devraient contribuer à rendre le système plus sécuritaire et à permettre à TJX/WMI de détecter toute intrusion future et d’y réagir.
  3. Cependant, en ce qui a trait aux arrangements en matière de sécurité, TJX continue à dire qu’elle a adopté un protocole de chiffrement amélioré dans un délai raisonnable et que, en tant que détaillant, elle a entrepris son programme de conversion plus rapidement que la plupart de ses compétiteurs.
  4. Nous reconnaissons que, à ce moment-là, peu de détaillants étaient passés à la technologie WPA afin de respecter les normes de l’industrie des cartes de paiement en matière de sécurité des données. Cependant, nous soulignons qu’il y a des organisations qui sont passées au protocole WPA parce qu’elles avaient procédé à des analyses du risque associé à leurs besoins opérationnels. Elles ont été les premières à s’assurer qu’elles protégeaient adéquatement les renseignements personnels de leurs clients. Cependant, que d’autres détaillants aient amélioré ou non la sécurité de leurs données en ayant recours à de meilleures méthodes de chiffrement ne change rien au fait que c’est TJX qui a fait l’objet de la brèche.
  5. Nous continuons à affirmer que TJX ne comptait pas sur des mesures de sécurité raisonnables au moment de la brèche. Elle conservait trop de renseignements de nature délicate, et les mesures de protection en place avaient des faiblesses inhérentes. Des mesures de sécurité fiables incluent une diversité d’éléments, comme la gestion des actifs, la séparation des réseaux et une surveillance active. Nous croyons que TJX ne comptait pas sur un système aussi solide qu’il aurait dû être à ce moment-là.
  6. Malgré ce différend, nous sommes heureux de voir que TJX applique nos recommandations au sujet des mesures de protection.

Conclusion concernant les mesures de protection

  1. TJX a appliqué nos recommandations de telle manière que nous considérons que le volet de la plainte lié aux mesures de protection est « fondé et réglé » (CPVP) et « réglé » (CIPVP).
Date de modification :