Pourriels reçus par un client sans lien avec une infraction à la sécurité ou la divulgation de ses coordonnées de télécommunication

Rapport de conclusions en vertu de la LPRPDE no 2014-010

Le 15 septembre 2014


Ayant reçu quelque 200 pourriels en quatre mois à une adresse qu’il utilisait exclusivement pour communiquer avec une entreprise de télécommunication à titre d’abonné à l’un des services qu’elle offrait en ligne, le plaignant a cru que l’entreprise avait fait l’objet d’une infraction à la sécurité ou qu’elle avait divulgué ou vendu son adresse de courriel.

Le plaignant a déclaré qu’il avait environ 1 000 adresses de courriel uniques. Celle qu’il utilisait pour sa correspondance avec l’entreprise de télécommunication avait été créée sous son propre domaine Internet. Le plaignant a allégué que seulement six de ses adresses de courriel avaient généré des pourriels, et qu’il maintenait une archive pour effectuer le suivi des pourriels reçus. Il a écarté la possibilité que son adresse ait pu être devinée par un éventuel polluposteur.

En 2012, l’entreprise a répondu aux préoccupations du plaignant. Elle l’a informé que ses systèmes sécurisés n’avaient pas fait l’objet d’infraction à la sécurité, que les adresses de courriel de ses clients n’étaient communiquées qu’à l’interne, et que son adresse n’avait pas été vendue.

Selon l’entreprise de télécommunication, étant donné que le plaignant a reconnu avoir utilisé son domaine pour s’inscrire en vue d’obtenir des comptes auprès de sites de jeux en ligne et de sites qui ont été fermés depuis, il a exposé son domaine et son ordinateur personnel à des polluposteurs et à des logiciels malveillants.

Puisqu’il était insatisfait de la réponse de l’entreprise, le client a déposé une plainte auprès du Commissariat, que nous avons reçue en 2013.

Notre enquête, qui comprenait une analyse technologique approfondie, a révélé qu’une fois qu’un polluposteur a trouvé un domaine valide (comme celui utilisé par le plaignant), il peut envoyer des millions de courriels à des comptes courriel de divers noms comprenant tous le même nom de domaine.

L’entreprise de télécommunication a confirmé qu’elle n’avait été touchée par aucun problème de sécurité lié aux adresses de courriel des clients. De plus, elle a expliqué en détail les mesures de sécurité à multiples facettes qu’elle utilise, y compris ses méthodes de chiffrement et de séparation des bases de données.

À notre demande, le fournisseur de service tiers qui gère le centre de données de l’entreprise a mené sa propre enquête, dont les résultats n’indiquent aucune tentative d’accès non autorisé. En outre, les mesures de sécurité du fournisseur tiers semblaient adéquates et conformes à ses responsabilités en matière de gestion des données de l’entreprise de télécommunication.

Selon les éléments de preuve qui nous ont été présentés, nous n’avons pu conclure que l’entreprise de télécommunication a divulgué l’adresse de courriel du plaignant, comme ce dernier le prétendait. Nous n’avons pas non plus pu conclure qu’il y avait eu atteinte à la sécurité ou que les mesures de sécurité de l’entreprise de télécommunication, ou celles du fournisseur de service tiers, étaient inadéquates.

Par conséquent, nous concluons que la plainte n’est pas fondée.

Leçons apprises

  • Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige.
  • Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
  • Les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l'utilisation ou la modification non autorisées.
  • des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l'accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; c) des mesures techniques, par exemple l'usage de mots de passe et du chiffrement.

Rapport des conclusions

Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi » ou la « LPRPDE »)

Aperçu

Le plaignant s’est abonné à un service (« le service ») d’un fournisseur de service de télécommunications (« l’organisation ») et a alors ouvert un compte auprès de celle-ci en utilisant un courriel unique. Lorsqu’il a commencé à recevoir du pourriel à cette adresse, il a cru que l’organisation avait vendu ses renseignements personnels ou qu’un tiers les avait obtenus de façon insidieuse.

L’organisation a effectué une enquête et a fourni au Commissariat un compte rendu exhaustif de celle-ci, y compris des détails sur les mesures de protection que l’organisation a mises en place. Nous avons également effectué notre propre analyse technologique.

Nous avons conclu qu’il n’y a aucune donnée probante qui confirme les allégations du plaignant quant à l’usage inapproprié de son adresse de courriel par l’organisation ou d’une infraction, cette dernière au sein de l’organisation ou chez le fournisseur de service tiers qui exploite son centre de données.

Nous avons donc conclu que l’affaire n’était pas fondée.

Résumé de l’enquête

  1. Le plaignant allègue que l’organisation a vendu son adresse de courriel à des polluposteurs sans son consentement ou n’a pas bien protégé ses renseignements personnels contre la divulgation en utilisant des protections inappropriées.
  2. Le plaignant a fait savoir qu’il avait créé une adresse de courriel unique sur son propre domaine Internet lorsqu’il s’était inscrit au service, comme il a l’habitude de le faire, et qu’il n’a pas communiqué cette adresse à des tiers.
  3. Un peu plus tard, il a commencé à recevoir des pourriels à cette adresse. Il croyait que l’organisation était à l’origine de ces pourriels, soit : (i) parce que l’organisation avait vendu son adresse de courriel ou (ii) son adresse de courriel avait été dérobée à la suite d’une infraction à la sécurité.
  4. Le plaignant a communiqué avec le responsable de la protection des renseignements personnels de l’organisation. L’organisation a répondu au plaignant en confirmant ce qui suit : (i) l’organisation n’a pas vendu son adresse de courriel; (ii) ses systèmes sont sécurisés; (iii) il n’y a eu aucun problème de sécurité ou infraction ou atteinte à la sécurité et (iv) la liste d’adresses de courriel est uniquement communiquée à l’interne.
  5. Le plaignant était insatisfait du résultat et alléguait que la réponse de l’organisation était inappropriée, car cette dernière n’avait pas mené une enquête convenable à la suite de ses préoccupations compte tenu des données probantes qu’il avait présentées. Il a saisi le Commissariat d’une plainte qui a été admise le 25 avril 2013.
  6. Notre enquête a révélé que le plaignant était un client de l’organisation depuis plusieurs décennies et qu’au moment de notre enquête, il était toujours un client Internet.
  7. Lorsque le plaignant s’est inscrit au service, il a créé une adresse de courriel unique pour ce compte.
  8. Le plaignant a indiqué que toutes les adresses de courriel uniques qu’il crée pour lui‑même ont le même nom de domaine et allègue que sur ces quelque mille adresses, seulement six ont généré des pourriels. Dans ces incidents de pourriels, explique-t-il, un était lié à un site de jeux, l’autre à des entreprises qui ont cessé leurs activités et ont perdu leur domaine et certaines étaient des préfixes d’adresses de courriel génériques couramment utilisés dans la plupart des sites Web.
  9. Le plaignant allègue que l’adresse de courriel unique qu’il a fournie à l’organisation n’est pas détectable au hasard ou à partir d’une attaque par dictionnaireNote de bas de page 1, car il a des adresses qu’il serait plus facile de deviner et qu’elles ne reçoivent pas de pourriels. Le Commissariat ne partage pas ce point de vue particulier et estime que ce type d’adresse de courriel pourrait aussi être devinable par une attaque par dictionnaire.
  10. Le plaignant a allégué qu’il n’avait jamais supprimé des adresses de courriel qu’il avait créées et qu’il maintenait une archive permanente pour le suivi des pourriels.
  11. Le plaignant n’a pas pu indiquer avec exactitude à quel moment il a commencé à recevoir des pourriels, mais il a fait valoir qu’ils étaient devenus suffisamment irritants pour qu’il communique avec l’organisation en 2012 pour porter plainte.
  12. Selon le plaignant, sur une période de quatre mois en 2013, cette adresse de courriel a fait l’objet d’environ 200 pourriels.
  13. Notre enquête comprenait une analyse technologique approfondie de l’information fournie. Nous avons été en mesure de confirmer qu’une fois qu’un polluposteur a trouvé un domaine valide (comme celui utilisé par le plaignant), de nombreuses techniques sont utilisées et permettent l’envoi éventuellement de millions de courriels à différentes variations de noms de comptes de courriel, se terminant tous par le même nom de domaine.
  14. L’organisation a fourni l’information au Commissariat décrivant le déroulement de son enquête interne en réponse aux doléances du plaignant.
  15. L’organisation a confirmé qu’elle n’avait pas détecté de problème de sécurité ou d’infraction visant l’adresse de courriel du client au cours de la période visée et elle a expliqué comment elle enregistre, stocke et protège les adresses de courriel des clients lorsqu’une personne s’inscrit à son site Web.
  16. L’organisation a expliqué comment l’accès au service est limité et contrôlé (en particulier lorsqu’il est question de communication avec le client par courriel) et comment le balayage permet de s’assurer que la plateforme demeure sécuritaire et de vérifier que la sécurité n’en a pas été compromise.
  17. L’organisation affirme qu’étant donné que le plaignant reconnaît avoir utilisé son domaine pour s’inscrire en vue d’obtenir des comptes auprès de sites de jeux en ligne et de sites qui ont été fermés pour des causes inconnues (y compris la perte de validité du domaine), il a exposé le domaine (ainsi que son ordinateur personnel) à des malfaiteurs, des polluposteurs et des logiciels malveillants. L’organisation précise que la visite de ces sites pourrait exposer les données stockées sur son ordinateur, y compris les fichiers témoins (cookie) stockés et l’historique de navigation, qui aurait pu inclure l’adresse de courriel du plaignant en cause.
  18. Le centre de données de l’organisation est exploité par un fournisseur tiers. Nous avons demandé que celui-ci effectue une enquête approfondie sur la question. L’organisation a répondu et a inclus les résultats d’une enquête dans les responsabilités du fournisseur des services tiers pour l’exploitation du centre de données.
  19. À la lumière des éléments présentés, nous avons déterminé qu’en raison des mesures de sécurité utilisées par l’organisation – dont le mur pare-feu, l’utilisation de mandataires inverses et la ségrégation des bases de données –,il est très peu probable que l’adresse de courriel du plaignant et que ses renseignements personnels aient été dérobés par un attaquant externe. L’organisation nous a également fourni des détails sur ses méthodes de chiffrement et son protocole SSL.
  20. En outre, les mécanismes de protection de la sécurité du fournisseur de service tiers semblent adéquats et appropriés au regard de ses responsabilités en matière de gestion d’un centre de données pour le service. Par ailleurs, les journaux d’accès au système et à la base de données du fournisseur de service tiers n’indiquent aucune tentative d’accès non autorisé, tentative d’accès excessive ou toute activité inhabituelle.
  21. En ce qui a trait à l’allégation du plaignant voulant que l’organisation ait vendu l’adresse de courriel, l’organisation affirme que seulement un groupe au sein de son organisation utilise la liste de courriels de contacts des clients et que ce groupe utilise cette liste exclusivement aux fins de la communication avec le service. L’organisation a expliqué que les adresses de courriel ne sont pas vendues et que les renseignements personnels sont communiqués à l’interne à des fins précises, telles qu’elles sont décrites dans sa politique relative à la protection des renseignements personnels.
  22. Le Commissariat a examiné les communications relatives à la protection des renseignements personnels de l’organisation.

Application

  1. Pour tirer nos conclusions, nous avons appliqué les principes 4.5, 4.7, 4.7.1 et 4.7.3 de l'annexe 1 de la Loi. 
  2. Le principe 4.5 énonce que les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n'y consente ou que la loi ne l'exige.
  3. Le principe 4.7 énonce que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
  4. Le principe 4.7.1 prévoit que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
  5. Le principe 4.7.3 précise que les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l'accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; c) des mesures techniques, par exemple l'usage de mots de passe et du chiffrement.

Conclusion

  1. La question en cause consiste d’abord à déterminer si l’organisation a communiqué les renseignements personnels concernant le plaignant à son insu et sans son consentement, en particulier, son adresse de courriel à des annonceurs.
  2. À la lumière de la preuve qui nous a été présentée par les deux parties, nous ne pouvons pas conclure que l’organisation a divulgué l’adresse de courriel comme le prétend le plaignant. Ainsi, l’organisation n’a pas contrevenu au principe 4.5.
  3. La deuxième question en cause consiste à déterminer si une infraction à la sécurité de l’organisation a fait en sorte que l’adresse de courriel du plaignant a été dérobée par une tierce partie et si les mécanismes de protection de la sécurité en place étaient inadéquats. À notre avis, à la lumière de la preuve que nous avons obtenue et examinée attentivement, y compris les éléments de preuve tirés de notre propre analyse technique, il ne semble pas y avoir eu d’atteinte à la sécurité des renseignements personnels ni de collecte des renseignements du plaignant à l’insu de l’organisation.
  4. Il n’y a aucune trace indiquant que l’adresse de courriel du plaignant ait été de quelque façon obtenue de l’organisation ou du fournisseur de service tiers par un attaquant externe. Il n’y a pas non plus de preuve que l’adresse de courriel du plaignant ait été divulguée de façon inappropriée par une personne de l’interne, soit chez l’organisation ou le fournisseur de service tiers, ce que nous jugeons par ailleurs peu probable.
  5. En outre, l’organisation et le fournisseur de service tiers ont démontré qu’ils utilisaient des mécanismes de protection de la sécurité pour protéger les renseignements personnels de leurs clients. À notre avis, le déroulement des activités et les mesures de sécurité mises en place décrites par l’organisation semblent adéquats et appropriés au regard des activités du service.
  6. Par conséquent, nous concluons qu’il n’y a pas eu infraction aux principes 4.7, 4.7.1 ou 4.7.3.

Conclusions

  1. En conséquence, nous concluons que la plainte n’est pas fondée.
Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :