Une faille dans le processus d’authentification permet à un imposteur de détourner un compte de téléphonie mobile

Rapport des conclusions en vertu de la LPRPDE no 2012-004


Le plaignant a appris qu’un imposteur avait communiqué avec son fournisseur de services de téléphonie mobile et avait utilisé des techniques d’ingénierie sociale pour obtenir l’accès à son compte de téléphone cellulaire. Pendant l’appel, l’imposteur a soutiré des renseignements sur le compte au représentant du service à la clientèle, y compris sur la facturation et l’historique des appels, et a réussi à faire modifier les renseignements de base du compte, dont le numéro d’identification personnel (NIP), le nom et le sexe du détenteur du compte.

L’enquête menée par le Commissariat confirme que le représentant du service à la clientèle (RSC) a communiqué les renseignements personnels du client à l’imposteur et qu’il n’a pas suivi la procédure d’authentification établie, même s’il a reçu la formation offerte par l’entreprise pour prévenir ce genre d’atteinte à la sécurité.

Lorsqu’il s’est aperçu des faits, le plaignant a formulé ses griefs au fournisseur de services. Ce dernier a admis son erreur et a monté un dossier de l’incident, et le RSC qui avait divulgué les renseignements personnels a reçu un encadrement supplémentaire au sujet du NIP et des protocoles de sécurité.

Le plaignant a également demandé à avoir accès aux renseignements personnels que l’entreprise détenait à son sujet, y compris à un enregistrement et à une transcription de l’appel frauduleux. Bien que l’entreprise ait d’abord tardé à donner suite à sa demande d’accès, elle a fini par honorer ses obligations en envoyant au plaignant une copie de la transcription et en lui offrant d’écouter un enregistrement de l’appel.

Nous avons jugé que la plainte était fondée en ce qui concerne la communication de renseignements, et qu’elle était fondée et réglée en ce qui concerne l’accès.

Leçons apprises

  • La communication des renseignements personnels du détenteur d’un compte exige le consentement de ce dernier.
  • Avant de communiquer ou de divulguer les renseignements personnels associés à un compte, les entreprises doivent d’abord vérifier et authentifier correctement l’identité du demandeur.
  • Les entreprises sont tenues de répondre aux demandes de renseignements personnels au plus tard 30 jours après la réception de la demande. Si l’entreprise a besoin d’une prorogation du délai pour traiter la demande, elle doit envoyer un avis au demandeur au plus tard 30 jours après la date de réception de la demande.
  • La Loi n’oblige pas les entreprises à communiquer les renseignements dans un format particulier, sauf dans certaines circonstances où le demandeur est atteint d’une déficience sensorielle.
  • Même si les politiques et les procédures en matière de sécurité sont essentielles, leur efficacité dépend de l’assiduité et de la constance avec lesquelles l’entreprise les applique.

Rapport de conclusions

Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

1. Le plaignant prétend que son fournisseur de services de téléphonie mobile (ou « l’entreprise ») a communiqué des renseignements personnels le concernant, à son insu et sans son consentement, à une appelante qui prétendait être la détentrice autorisée de son compte de téléphonie mobile.

2. Le plaignant allègue aussi que la réponse fournie par l’entreprise à sa demande d’accès aux renseignements personnels le concernant était incomplète et insuffisante.

Résumé de l’enquête

3. Le plaignant avait un compte de téléphonie mobile. Un jour, une femme a communiqué avec son fournisseur de services au sujet de son compte.

4. La femme a affirmé être la détentrice autorisée du compte du plaignant et a déclaré qu’elle n’avait toujours pas reçu de facture du fournisseur.

5. Un représentant du service à la clientèle (« RSC ») a tenté d’authentifier l’identité de l’appelante pour le compte du plaignant. La femme a fourni au RSC le numéro de cellulaire du plaignant et son adresse de résidence.

6. Toutefois, elle ne connaissait ni le numéro d’identification personnel (« NIP ») du compte du plaignant, ni le modèle de cellulaire auquel le numéro de compte était associé, ni la date de naissance du plaignant. La femme a également informé le RSC que le prénom figurant au dossier était incorrect et elle a proposé une nouvelle orthographe.

7. Le RSC a tout de même accepté de fournir à l’appelante les renseignements suivants concernant le compte du plaignant :

  1. le NIP associé au compte;
  2. la date de la dernière facture émise;
  3. la date du dernier paiement;
  4. le montant des dernières factures;
  5. le montant des derniers paiements effectués;
  6. le nombre de minutes d’utilisation;
  7. le type de plan de téléphonie mobile auquel le plaignant a souscrit;
  8. les numéros pour lesquels le plaignant a demandé une assistance‑annuaire;
  9. le dernier numéro à sept chiffres composé.

8. De plus, pendant l’appel, le RSC a changé le prénom et le sexe du détenteur du compte dans les dossiers de l’entreprise selon les renseignements fournis par l’appelante.

9. Lorsque le plaignant s’est aperçu des changements apportés à son compte, il a fait part de ses griefs à son fournisseur de services. L’un des chefs d’équipe a donné suite à la plainte et s’est personnellement excusé. Après avoir écouté l’enregistrement de l’appel entre le RSC et l’imposteur, le chef d’équipe a pris note des infractions commises et a demandé qu’un dossier interne officiel de l’incident soit établi.

10. Dans ses observations au Commissariat, le fournisseur de services a affirmé que ses RSC reçoivent une formation de quatre à six semaines sur l’importance de protéger les renseignements personnels des clients et sur la procédure à suivre pour éviter la communication accidentelle de renseignements. Les employés doivent également suivre une formation supplémentaire en ligne, notamment pour les sensibiliser aux techniques d’ingénierie sociale et leur apprendre à ne pas y céder. Dans ce cas, le RSC avait suivi toute la formation. Lorsqu’ils terminent leur formation, les employés ont un accès complet aux ressources de l’intranet.

11. Selon le fournisseur de services, pendant un appel, les employés doivent suivre une procédure établie d’identification des clients. Nous avons examiné les ressources de l’intranet du fournisseur de services où est décrite la marche à suivre pour vérifier l’identité des clients.

12. Par ailleurs, d’autres documents de l’entreprise que nous avons examinés contiennent des procédures qui interdisent clairement aux employés de discuter de l’historique des appels par téléphone ou de communiquer des numéros de téléphone particuliers composés depuis un compte.

13. Le fournisseur de services a informé le Commissariat qu’à la suite des événements entourant cette plainte, le RSC qui a commis les infractions a reçu un encadrement supplémentaire au sujet du NIP et des protocoles de sécurité.

14. Après s’être adressé au service des relations avec les clients et aux bureaux administratifs de l’entreprise, le plaignant a envoyé un courrier électronique au bureau de la protection des renseignements personnels de l’entreprise pour demander qu’on lui communiquer toutes les notes de service, transcriptions et notes associées à son compte de téléphonie mobile à la date où l’imposteur a appelé l’entreprise.

15. Six semaines plus tard, le bureau de la protection des renseignements personnels a envoyé un courrier électronique au plaignant pour l’informer que sa demande n’avait pas été traitée en raison d’une « confusion ». Ce message l’informait qu’on lui enverrait le contenu de quatre notes liées à son compte de téléphone pour la date demandée.

16. Le fournisseur de services a immédiatement envoyé au plaignant une transcription de l’appel qui aurait eu lieu entre le présumé imposteur et le fournisseur de services. Toutefois, le plaignant a affirmé que la transcription contenait des omissions.

17. Quelques jours plus tard, le plaignant a réitéré sa demande, exigeant une transcription complète, et a également demandé qu’on lui communique la transcription et l’enregistrement d’un autre appel qui aurait eu lieu entre le RSC et lui même deux semaines après l’incident.

18. Le bureau de la protection des renseignements personnels a alors téléphoné au plaignant pour l’informer qu’on lui enverrait la transcription de l’appel initial entre le RSC et le présumé imposteur. L’entreprise a également offert au plaignant de lui faire écouter un enregistrement de cet appel à un endroit désigné (les bureaux de l’entreprise).

19. Le jour suivant, l’entreprise a envoyé au plaignant un courrier électronique contenant une deuxième version de la transcription de l’appel initial (sur laquelle le nom du RSC a été caviardé) et des copies des notes prises la même journée, ainsi que les notes concernant l’appel qui avait eu lieu deux semaines plus tôt entre un RSC et le plaignant. L’entreprise a aussi expliqué au plaignant qu’en vertu de la Loi, les organisations peuvent communiquer seulement les renseignements personnels qui concernent l’intéressé et qu’elles ne sont pas autorisées à communiquer de renseignements personnels sur un tiers.

20. Le plaignant n’a pas pris de rendez vous avec l’entreprise pour écouter l’enregistrement de l’appel initial dans les bureaux de l’entreprise. Il a plutôt déposé la plainte actuelle auprès du Commissariat.

Application

21. Pour rendre notre décision, nous avons appliqué les principes 4.3 et 4.9 de l’annexe 1 de la Loi, de même que l’article 10 et les paragraphes 2(1), 8(3), 8(4), 8(5) et 9(1) de la partie 1 de la Loi.

22. Selon le paragraphe 2(1), un « renseignement personnel » s’entend de tout renseignement concernant un individu identifiable, à l’exclusion du nom et du titre d’un employé d’une organisation et des adresse et numéro de téléphone de son lieu de travail.

23. Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire.

24. Le principe 4.9 stipule, en partie, qu’une organisation doit informer toute personne qui en fait la demande de l’existence de renseignements personnels qui la concernent, de l’usage qui en est fait et du fait qu’ils ont été communiqués à des tiers, et lui permettre de les consulter.

25. Le paragraphe 8(3) prévoit que l’organisation saisie de la demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception.

26. Selon le paragraphe 8(4), l’organisation peut proroger le délai : a) d’une période maximale de trente jours dans les cas où : i) l’observation du délai entraverait gravement l’activité de l’organisation; ii) toute consultation nécessaire pour donner suite à la demande rendrait pratiquement impossible l’observation du délai; b) de la période nécessaire pour transférer des renseignements visés sur support de substitution. Dans l’un ou l’autre cas, l’organisation doit envoyer au demandeur, dans les trente jours suivant la demande, un avis de prorogation l’informant du nouveau délai, des motifs de la prorogation et de son droit de déposer auprès du commissaire une plainte à propos de la prorogation.

27. Le paragraphe 8(5) ajoute que, faute de répondre dans le délai, l’organisation est réputée avoir refusé d’acquiescer à la demande.

28. Le paragraphe 9(1) stipule que, malgré le principe 4.9, l’organisation ne peut communiquer de renseignement à l’intéressé dans le cas où cette communication révélerait vraisemblablement un renseignement personnel sur un tiers. Toutefois, si ce dernier renseignement peut être retranché du document en cause, l’organisation est tenue de le retrancher puis de communiquer à l’intéressé le renseignement le concernant.

29. Selon l’article 10, l’organisation doit communiquer les renseignements personnels sur support de substitution à toute personne ayant une déficience sensorielle qui y a droit sous le régime de la partie 1 et qui en fait la demande, dans les cas suivants : a) une version des renseignements visés existe déjà sur un tel support; b) leur transfert sur un tel support est raisonnable et nécessaire pour que la personne puisse exercer les droits qui lui sont conférés sous le régime de la partie 1.

Conclusions

Le 22 août 2012

Communication des renseignements

30. Les renseignements personnels du plaignant ont été communiqués à l’imposteur qui a téléphoné au fournisseur de services en prétendant être la détentrice du compte. Cet événement n’est contesté ni par le plaignant ni par le fournisseur de services. Les renseignements personnels communiqués comprenaient le NIP du plaignant ainsi que de l’information sur ses paiements et l’historique des appels de son compte de téléphonie mobile.

31. Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. Étant donné que le plaignant n’a pas donné son consentement pour qu’on communique à l’appelante des renseignements le concernant, le principe 4.3 a été enfreint.

Accès

32. Une autre question consiste à savoir si le fournisseur de services a donné au plaignant l’accès aux renseignements personnels qui le concernent et, ce faisant, s’il a respecté ses obligations en vertu de la Loi.

33. Le principe 4.9 de la Loi exige qu’une organisation permette à toute personne qui en fait la demande de consulter les renseignements personnels qui la concernent. Le paragraphe 8(3) stipule qu’une organisation saisie d’une telle demande doit y donner suite avec la diligence voulue et, en tout état de cause, dans les trente jours suivant sa réception. Le paragraphe 8(4) prévoit la possibilité d’une prorogation du délai dans certaines circonstances. Le paragraphe 8(5) ajoute que, faute de répondre dans le délai, une organisation est réputée avoir refusé d’acquiescer à la demande.

34. Il a fallu six semaines au fournisseur de services pour répondre à la demande d’accès du plaignant. Le délai d’intervention est supérieur à trente jours, plus long que ce que le permet le paragraphe 8(3). L’entreprise n’a pas tenté de prorogé le délai en invoquant l’un des motifs cités au paragraphe 8(4). Par conséquent, conformément au paragraphe 8(5), nous sommes d’avis que l’entreprise a refusé d’acquiescer à la demande étant donné qu’elle n’a pas respecté le délai permis de trente jours. L’entreprise, en ne donnant pas suite à la demande dans le délai prescrit, a enfreint le principe 4.9.

35. En ce qui concerne les versions de la transcription de l’appel que l’entreprise a fait parvenir au plaignant, nous avons examiné ces versions et nous sommes d’avis qu’elles sont conformes au paragraphe 9(1) de la Loi, qui prévoit que l’organisation doit retrancher tout renseignement personnel concernant un tiers avant de communiquer à l’intéressé les renseignements le concernant. Les renseignements qui ont été retranchés de la transcription (c. à d. le nom du RSC) concernaient un tiers.

36. En ce qui a trait au grief formulé par le plaignant selon lequel on ne lui a pas fourni un enregistrement audio de la conversation qui a eu lieu entre l’imposteur et le RSC, la Loi confère à toute personne un droit d’accès aux renseignements personnels qui la concernent. Cependant, la Loi n’exige pas des organisations qu’elles communiquent ces renseignements dans un format particulier. Seulement, en vertu de l’article 10 de la Loi, l’organisation doit communiquer les renseignements sur « support de substitution » à toute personne ayant une déficience sensorielle qui en fait la demande. Le cas du plaignant ne relève pas de ces circonstances particulières. En fait, l’entreprise a fourni au plaignant la transcription de l’appel contenant les renseignements personnels, comme il y avait droit en vertu de la Loi. Elle n’était donc pas tenue de lui fournir une copie de l’enregistrement.

37. L’entreprise a fini par communiquer au plaignant les renseignements qu’il avait demandés, se conformant ainsi au principe 4.9.

38. Nous avons constaté que l’entreprise a soldé le compte du plaignant en guise de bonne foi, et qu’elle et le plaignant ont débattu du montant d’un juste dédommagement dans ces circonstances. Nous encourageons les deux parties à entamer des négociations directes en vue de régler la question du dédommagement.

Conclusion

39. Par conséquent, nous concluons que la plainte relative à la communication de renseignements personnels à un tiers est fondée en vertu du principe 4.3. La plainte concernant l’accès est fondée et réglée en vertu du principe 4.9.

Autres

40. Notre examen nous permet de conclure que la formation des employés de l’entreprise et les documents de référence sur place décrivent clairement, et prescrivent même, les procédures à suivre pour garantir la confidentialité des renseignements personnels. Cette procédure comporte des processus stricts d’identification et d’authentification avant que de tels renseignements puissent être communiqués.

41. Bien que les politiques et les procédures en matière de sécurité soient essentielles, elles ne suffisent pas à prévenir la perte ou le vol de renseignements personnels. L’efficacité des mesures de sécurité dépend, en définitive, de l’assiduité et de la constance avec lesquelles l’organisation exécute ses politiques et ses procédures.

42. Le cas présent met en évidence cette réalité parce que, même s’il avait terminé récemment sa formation dans le domaine de la protection des renseignements des clients, le RSC n’a pas appliqué les procédures normalisées de l’entreprise, conçues expressément pour préserver la confidentialité des renseignements personnels des clients.

43. En avril 2012, les commissaires à la protection de la vie privée du Canada, de la Colombie Britannique et de l’Alberta ont publié Un programme de gestion de la protection de la vie privée : la clé de la responsabilité, un document d’orientation à l’intention des organismes du secteur privé. Ce guide leur fournit de l’information et des recommandations pour concevoir un programme de gestion des renseignements personnels qui respecte les obligations redditionnelles imposées par les lois canadiennes sur la protection des renseignements personnels.

44. Compte tenu de ce que nous avons constaté lors de notre enquête et de la nécessité de renforcer la conformité à la Loi, nous recommandons que l’entreprise consulte ce document et qu’elle revoie ses programmes, ses politiques et ses procédures de gestion des renseignements personnels, y compris ses mesures de protection et la formation qu’elle offre à ses employés.

 

Date de modification :