Le vol d’un ordinateur portatif dans une banque et le délai considérable avant d’informer les victimes étaient tous les deux évitables

Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008-393

[Principe 4.7.1]

Leçons apprises

  • Les ordinateurs portatifs sont des cibles de choix pour les voleurs, particulièrement ceux qui se trouvent dans les bureaux où les intrus peuvent entrer et circuler librement (c’est-à-dire vol à la tire). Ces lieux doivent être adéquatement protégés en tout temps afin d’assurer la protection des renseignements personnels. Les ordinateurs portatifs ne devraient jamais être laissés sans surveillance et non verrouillés dans un endroit qui n’est pas sécurisé.
  • Les organisations devraient installer un logiciel de chiffrement sur leurs ordinateurs portatifs qui contiennent des renseignements personnels.
  • Les procédures de sauvegarde des données courantes sur un ordinateur portatif devraient être suivies. De cette façon, tout renseignement personnel perdu peut être facilement relevé et les parties concernées peuvent en être rapidement avisées.
  • Dans le cas d’une telle perte, les organisations devraient utiliser toutes les coordonnées que leurs clients leur ont laissées de sorte que les personnes concernées soient avisées immédiatement (sans communication potentielle de tout renseignement personnel). Les messages laissés dans un système de messagerie vocale demandant uniquement de rappeler l’organisation sont acceptables.
  • Les politiques et les procédures de protection des renseignements personnels devaient être régulièrement passées en revue avec les employés dont les ordinateurs portatifs renferment des renseignements personnels.

L’ordinateur portatif qui a été volé dans le bureau d’un employé de la banque contenait vraisemblablement les renseignements personnels de la plaignante. L’employé en question n’a pas suivi les procédures de protection des renseignements personnels de la société. Plus de 870 autres personnes ont potentiellement été lésées par ce vol. Le bureau n’était pas été verrouillé et était facilement accessible pendant les heures d’ouverture par une porte non verrouillée donnant sur une aire publique. Il n’y avait d’ailleurs aucune caméra de sécurité installée dans l’aire publique. La plaignante a allégué que la banque n’avait pas pris les mesures de sécurité adéquates pour prévenir le vol et protéger ses renseignements personnels. Elle est également d’avis que la banque a mis beaucoup trop de temps pour l’informer du vol (c’est-à-dire trois mois), ce qui a considérablement augmenté le risque que ses renseignements personnels volés puissent être utilisés à des fins frauduleuses. L’ordinateur portatif n’a pas été retrouvé et les renseignements personnels qu’il renfermait n’ont pas été récupérés. La banque a renforcé les systèmes de protection de ses bureaux et des renseignements électroniques et a rappelé à ses employés les procédures pertinentes à suivre. La commissaire adjointe a fait plusieurs recommandations à l’institution financière sur la façon convenable d’informer rapidement les parties concernées à la suite d’une atteinte à la protection des données.

Voici un aperçu de l’enquête et des conclusions de la commissaire adjointe.

Résumé de l’enquête

Les renseignements personnels de la plaignante (c’est-à-dire son nom, son adresse, son numéro de téléphone, sa date de naissance, son numéro d’assurance sociale) auraient pu se trouver dans l’ordinateur portatif appartenant à un employé de la banque qui a été volé dans le bureau de ce dernier. La banque a signalé le vol en bonne et due forme au Commissariat à la protection de la vie privée. L’ordinateur contenait les renseignements personnels d’environ 872 personnes.

Plus de trois mois après le vol, la plaignante a reçu une lettre de la banque qui lui demandait simplement de communiquer avec l’institution financière au sujet d’une « affaire courante ». Ce n’est que lorsqu’elle a téléphoné à la banque qu’elle a été informée du vol et du risque d’une atteinte à la protection de ses renseignements personnels. On lui a ensuite conseillé de communiquer avec deux agences d’évaluation du crédit afin de faire verser une note à son dossier pour alerter les fournisseurs de crédit. Selon la plaignante, la banque aurait dû l’informer plus tôt que ses renseignements personnels avaient peut-être été volés, étant donné les conséquences graves possibles.

En ce qui concerne les circonstances du vol, la banque a affirmé que l’ordinateur portatif a été laissé sans surveillance dans le bureau de l’employé et que la porte du bureau n’était pas munie d’une serrure. De plus, le bureau de l’employé donnait sur un couloir accessible par une aire publique, en passant par une porte qui n’était jamais verrouillée pendant les heures d’ouverture. Après l’incident, la banque s’est assurée que cette porte demeure verrouillée en tout temps et a fait installer des serrures sur toutes les portes des bureaux des employés donnant sur le couloir.

La banque a reconnu le fait que son employé (un planificateur financier) n’a pas respecté les exigences de la banque en matière de sauvegarde des données et n’a pas suivi les procédures de sécurité relatives aux ordinateurs portatifs. Après le vol, la banque a réitéré ses exigences en matière de sauvegarde des données et ses procédures de sécurité à ses planificateurs financiers, particulièrement à l’employé en cause dans l’incident. Les données sur les ordinateurs portatifs des planificateurs financiers ont aussi toutes été chiffrées de façon constante. La banque a également modifié tous les ordinateurs portatifs des planificateurs financiers de sorte que leur logiciel de collecte des données ne puisse plus recueillir les dates de naissance ni les numéros d’assurance sociale.

En ce qui concerne le mécontentement de la plaignante à l’égard du temps qu’il a fallu à la banque pour l’informer, la banque a répondu que le retard est attribuable à l’absence de données de sauvegarde disponibles pour cet ordinateur portatif. Il était alors plus difficile de savoir quels renseignements contenait l’ordinateur, d’identifier correctement les 872 personnes concernées par le vol et de les aviser. Certaines de ces personnes n’étaient pas encore des clients de la banque.

Six semaines après le vol, la banque a commencé à appeler les personnes concernées (trois tentatives par personne au plus) pour les informer du vol. Toutefois, puisque la banque a choisi de ne pas laisser de message téléphonique dans le système de messagerie vocale des clients (pour des « raisons de protection de la vie privée » et pour éviter toute implication de « relation entre le client et la banque »), la plaignante n’aurait pas été jointe de cette façon. Les personnes que la banque n’a pas réussi à joindre par téléphone ont plutôt été avisées au moyen d’une lettre leur demandant de communiquer avec la banque (sans aucun autre renseignement). La banque a envoyé ces lettres trois mois après la date du vol.

Conclusions

Rendues le 11 juin 2008

Application : Le principe 4.7.1 stipule que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

Pour rendre sa décision, la commissaire adjointe s’est appuyée sur les considérations suivantes :

  • Le Commissariat a élaboré et communiqué des recommandations visant à prévenir le vol d’ordinateurs portatifs et à protéger les renseignements personnels. Plus précisément, nous conseillons aux propriétaires d’ordinateur portatif de le garder dans un endroit verrouillé et hors de vue lorsqu’il est laissé sans surveillance. Nous recommandons également l’utilisation de mots de passe et d’un logiciel de chiffrement pour contrecarrer les tentatives d’accès non autorisé aux données.
  • Notre enquête sur le cas présent a révélé que la banque avait des procédures de sécurité en place, mais que l’employé en question ne les avait pas suivies. À la négligence de l’employé s’ajoute la grande facilité d’accès par quiconque, et ce, à partir d’une aire publique, au bureau non verrouillé.
  • La commissaire adjointe a indiqué que, depuis l’incident, la banque a bloqué l’accès aux bureaux des planificateurs financiers, de même que l’accès au couloir menant aux bureaux à partir de l’aire publique. La banque a également imposé l’utilisation constante d’un logiciel de chiffrement pour les ordinateurs portatifs des planificateurs financiers et a réitéré à ces employés ses procédures de sauvegarde des données et de sécurité.
  • En somme, bien que les pratiques de la banque en matière de protection n’aient pas été aussi rigoureuses qu’elles auraient pu l’être, des procédures de sécurité adéquates étaient en place et devaient être suivies par les employés. Même si le principe 4.7.1 n’a pas été entièrement respecté, la commissaire adjointe était satisfaite du fait que la banque a consciencieusement et adéquatement réglé la situation afin d’éviter que cet incident ne se reproduise.
  • Quant à la façon dont les victimes possibles du vol ont été finalement avisées de l’atteinte à la sécurité et au moment où elles en ont été avisées, la commissaire adjointe a reconnu les difficultés surmontées par la banque, d’abord de dresser une liste complète du nom de toutes les personnes dont les renseignements personnels auraient pu se trouver dans l’ordinateur portatif volé (puisqu’aucune sauvegarde n’avait été faite), puis de trouver le numéro de téléphone et l’adresse de ces personnes. Cette tâche est particulièrement difficile étant donné que certaines personnes concernées par le vol n’étaient pas encore des clients de la banque, c’est-à-dire que leur profil de client n’était pas encore entré dans le système de la banque.
  • La commissaire adjointe a fait deux recommandations importantes qui permettraient d’accélérer le processus visant à informer les personnes dont les renseignements personnels pourraient être compromis en raison d’une atteinte à la sécurité, leur permettant ainsi de faire verser une note à leur dossier de crédit plus rapidement :
  • Un message vocal général laissé par l’organisation à la personne sur un système de messagerie vocale qui ne communiquerait pas de renseignements personnels serait acceptable (par exemple, « Mme Tremblay, veuillez communiquer avec la Banque X au 1-800… »). Ce type de message réduirait considérablement les appels à répétition et le temps consacré à aviser les personnes, et ce, au profit de la banque et des personnes.
  • L’organisation devrait s’assurer que ses pratiques comprennent de communiquer avec les victimes éventuelles d’une atteinte à la sécurité en utilisant le numéro de téléphone principal et les autres numéros de téléphone donnés par la personne (c’est‑à‑dire, numéros de téléphone à la maison, au bureau et de téléphone cellulaire). Il incombe alors à la personne de veiller à ce que ses coordonnées soient toujours à jour.

La commissaire adjointe a conclu que la plainte était fondée et résolue.

Date de modification :