Enquête sur la conformité d’Equifax Inc. et d’Equifax Canada à la LPRPDE à la suite de l’atteinte à la sécurité des renseignements personnels en 2017

Conclusions en vertu de la LPRPDE n^o 2019-001

Le 9 avril 2019

---

Aperçu

1. Le 7 septembre 2017, Equifax Inc. a annoncé publiquement qu’un pirate informatique avait accédé aux renseignements personnels de plus de 143 millions de personnes^{Note de bas de page 1}, y compris ceux de certains résidents du Royaume-Uni et du Canada. Par la suite, Equifax Inc. a estimé à 19 000 le nombre de Canadiens^{Note de bas de page 2} touchés. Le numéro d’assurance sociale ainsi que les identifiants connexes de presque tous ces Canadiens ont été compromis.
2. L’enquête du Commissariat à la protection de la vie privée (« le Commissariat » ou le « CPVP ») sur l’incident a conclu que les renseignements personnels compromis avaient été recueillis par Equifax Inc. auprès de certains consommateurs canadiens qui ont acheté ou reçu^{Note de bas de page 3} des produits offerts directement aux consommateurs ou des alertes à la fraude d’Equifax Canada Co. (« Equifax Canada »). Le Commissariat a aussi conclu que l’infrastructure de sécurité d’Equifax Canada est largement intégrée à celle d’Equifax Inc. Cela pose à la fois la question de savoir si les mesures de sécurité d’Equifax Inc. et d’Equifax Canada étaient appropriées, si la responsabilité d’Equifax Canada à l’égard des données canadiennes traitées par Equifax Inc. était assurée, et si un consentement valable avait été obtenu auprès des personnes pour le traitement de ces renseignements. Compte tenu de l’ancienneté de certaines informations compromises lors de l’incident, le Commissariat a également examiné les pratiques de destruction des données d’Equifax Inc.
3. L’enquête a conclu que Equifax Inc. et Equifax Canada, ont contrevenu à la Loi en ce qui concerne les points susmentionnés. Le présent rapport contient des recommandations à l’intention d’Equifax Inc. et d’Equifax Canada afin qu’elles donnent suite aux violations relevées.

Contexte et portée

4. Dix-neuf personnes ont déposé des plaintes auprès du Commissariat contre Equifax relativement à cet incident, y compris cinq personnes dont les renseignements personnels ont été compromis lors de l’incident. Les plaignants ont allégué qu’Equifax n’aurait pas dû laisser leurs renseignements être compromis, que les mesures proposées à la suite de l’incident n’étaient pas bien adaptées à leurs circonstances en tant que Canadiens, et qu’ils étaient surpris d’apprendre que leurs renseignements se trouvaient aux États-Unis.
5. Les renseignements personnels des personnes touchées avaient été recueillis par Equifax Inc. auprès de certains consommateurs canadiens qui ont reçu des produits offerts directement aux consommateurs ou des alertes à la fraude. Les produits offerts directement aux consommateurs comprenaient l’accès en ligne payant au rapport de solvabilité canadien^{Note de bas de page 4}, la surveillance du crédit, et des services d’alerte^{Note de bas de page 5} (liés aux dossiers de crédit canadiens). L’information a été recueillie par Equifax Inc. qui a joué un rôle à part entière dans la livraison de ces produits et le traitement de certaines transactions d’alerte à la fraude.
6. Les pirates ont réussi à accéder aux systèmes d’Equifax Inc. le 13 mai 2017 en exploitant une vulnérabilité connue de la plateforme du logiciel qui sous-tend le portail de résolution des différends en ligne, qui fait partie intégrale du Automated Consumer Information System ou « ACIS » (système automatisé de renseignements sur la clientèle [traduction]) d’Equifax Inc. Ils ont par la suite exploré les systèmes d’Equifax Inc. sans se faire repérer pendant un certain temps et ont fini par accéder aux renseignements personnels des Canadiens qui ne sont pas liés aux fonctions du portail qui a été compromis.
7. Les renseignements contenus dans les dossiers de crédit de Canadiens sont stockés sur les serveurs d’Equifax Canada situés au Canada et qui sont indépendants des systèmes d’Equifax Inc. Toutefois, dans le cadre du processus de livraison de produits offerts directement à des consommateurs canadiens, certains renseignements des dossiers de crédit requis pour fournir ces produits sont transférés à Equifax Inc. aux États-Unis. À titre d’exemple, Equifax Canada envoie une copie statique du dossier de crédit complet à Equifax Inc. si un consommateur se procure un rapport de solvabilité. Même si les serveurs d’Equifax Canada sont séparés des systèmes d’Equifax Inc., les politiques, directives et mécanismes de surveillance d’Equifax Canada en matière de sécurité étaient et sont toujours principalement gérés par Equifax Inc.
8. À la lumière du contexte décrit ci-dessus, le présent rapport examine les questions suivantes.

Questions examinées relativement à Equifax Inc.

9. Question 1. Étant donné que les mesures de sécurité ont failli lors de cette atteinte, la question est de savoir si les renseignements personnels des Canadiens détenus par Equifax Inc. étaient protégés par des mesures de sécurité correspondant au degré de sensibilité des renseignements conformément au principe 4.7 de la LPRPDE sur les mesures de sécurité.
10. Question 2. Étant donné l’ancienneté de certains des renseignements personnels concernés, la question est de savoir si les renseignements personnels des Canadiens ont été traités conformément aux exigences en matière de conservation et de destruction énoncées au principe 4.5 de la LPRPDE.

Questions examinées relativement à Equifax Canada

11. Question 3. Étant donné que les renseignements canadiens compromis ont été recueillis par Equifax Inc. dans le but de fournir des produits canadiens et des alertes à la fraude, Equifax Canada s'est-il acquitté comme il se doit de sa responsabilité de protéger les renseignements personnels des Canadiens recueillis par Equifax Inc. et communiqués par Equifax Canada à Equifax Inc., comme le prévoit le principe 4.1.
12. Question 4. Le consentement valable des Canadiens a-t-il été obtenu pour la collecte de leurs renseignements personnels par Equifax Inc. et pour la communication de leurs renseignements personnels à Equifax Inc. par Equifax Canada, comme l'exige le principe 4.3.
13. Question 5. Étant donné que les renseignements personnels des Canadiens traités directement par Equifax Canada étaient régis par les mêmes politiques, directives et mécanismes de surveillance en matière de sécurité que ceux d'Equifax Inc. et étant donné l'échec de ces mécanismes de protection lors de l'incident, les renseignements personnels des Canadiens détenus par Equifax Canada étaient-ils protégés par des mesures de sécurité adéquates, conformément au principe 4.7 sur les mesures de sécurité.
14. Question 6. Étant donné que les renseignements compromis présentent un risque permanent de préjudice pour les personnes touchées, les mesures d'atténuation offertes par Equifax Canada aux personnes touchées étaient-elles adéquates pour protéger leurs renseignements personnels contre une utilisation non autorisée, comme un vol d'identité futur, conformément au principe 4.7 sur les mesures de sécurité.

Champ de compétence

15. Equifax Inc. est une entreprise constituée en société aux États-Unis et est la société mère d'Equifax Canada, qui est constituée en société au Canada. Nous notons qu'à cet égard, la LPRPDE s'applique à la fois aux pratiques en matière de traitement des renseignements personnels d'Equifax Canada et aux pratiques en matière de traitement des renseignements personnels d'Equifax Inc. En ce qui concerne Equifax Inc., nous notons en particulier qu'Equifax Inc. a recueilli des renseignements personnels auprès de Canadiens dans le but de faciliter la livraison de produits au Canada.

Méthodologie

16. Pour parvenir à ses conclusions dans le cadre de l'enquête, le Commissariat a examiné les renseignements provenant de diverses sources fournies par Equifax Inc. et Equifax Canada, notamment :
    1. des observations écrites, y compris celles en réponse à une ordonnance de communication émise par le CPVP;
    2. des entretiens avec le personnel clé, par téléphone et en personne lors de visites aux sièges sociaux d'Equifax Inc. et d'Equifax Canada;
    3. des évaluations subséquentes à l'incident effectuées par trois tierces parties dont les services ont été retenus par Equifax Inc.;
    4. les données compromises;
    5. des copies des politiques internes et externes, du matériel de formation, des rapports, des évaluations des risques et des certifications préparés par Equifax Inc., Equifax Canada et des tiers en leur nom.

Section 1. Sécurité des renseignements personnels canadiens détenus par Equifax Inc.

17. Selon le principe 4.7 de la LPRPDE, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
18. Les renseignements canadiens compromis lors de l'incident comprenaient un tableau de facturation contenant les renseignements sur les cartes de paiement des Canadiens qui ont payé des frais par téléphone pour ajouter une alerte à la fraude à leur dossier de crédit canadien ou pour acheter des produits canadiens offerts directement aux consommateurs. Les produits offerts directement aux consommateurs sont uniquement offerts par l'entremise du système Global Consumer Solutions (« GCS ») d'Equifax Inc., le nom commercial d'Equifax Consumer Solutions, LLC (« ECS »), une filiale américaine d'Equifax Inc.
19. Notre enquête a permis de déterminer qu'Equifax Inc. détenait les types de renseignements personnels suivants sur des Canadiens :
    1. les renseignements sur les cartes de paiement utilisés pour l'achat de produits canadiens et d'alertes à la fraude, ainsi que les renseignements transactionnels connexes;
    2. les renseignements sur les comptes de Canadiens qui ont créé des comptes pour accéder à des produits canadiens en ligne, y compris les noms d'utilisateur, les mots de passe et les renseignements fournis par les personnes aux fins de l'appariement des données d'identification, notamment les numéros d'assurance sociale dans la plupart des cas;
    3. des copies des rapports de solvabilité complets et des alertes sur la solvabilité consultés par les Canadiens au moyen de leurs comptes en ligne.
20. Ces combinaisons d'informations sont sensibles. Il y a un risque réel de préjudice, à travers le vol d’identité, si ces renseignements tombent entre de mauvaises mains. De plus, l'information est sensible sur le plan de la réputation, car elle comprend, dans de nombreux cas, des renseignements détaillés sur la solvabilité des personnes. Dans ce contexte, en vertu de la LPRPDE, les mesures de sécurité mises en place par Equifax Inc. pour protéger ces renseignements personnels devraient être proportionnellement élevées.
21. L’incident provient de l’exploitation par les pirates d’une vulnérabilité connue de la plateforme du logiciel Apache Strut sur lequel repose le portail en ligne de règlement des différends d'Equifax Inc., qui est un des volets de son système ACIS. Ce portail permet aux consommateurs américains de contester l'exactitude de l'information contenue dans leur dossier de crédit américain; il n'est pas utilisé par les consommateurs canadiens. Equifax Inc. a été avisé de la vulnérabilité et du correctif connexe le 8 mars 2017.
22. Les pirates ont accédé au système d’Equifax Inc. le 13 mai 2017, soit plus de deux mois après l'avis susmentionné, et ont par la suite pu l’explorer sans être détectés pendant environ 77 jours. Durant cette période, ils ont pu accéder aux renseignements personnels contenus dans plusieurs centaines de tableaux figurant dans un nombre important de bases de données d'Equifax Inc.
23. Les pirates ont également pu consulter environ 11 000 fichiers sauvegardés par les spécialistes des TI d’Equifax Inc. dans un espace de « partage de fichiers » entre le 29 avril 2010 et le 16 septembre 2016. Un espace de « partage de fichiers » est une zone de stockage sur le réseau où plusieurs utilisateurs peuvent enregistrer, modifier ou supprimer des fichiers. Les fichiers ont été sauvegardés à diverses fins et n'ont pas été supprimés par la suite. Lors de l'analyse scientifique réalisée par Equifax Inc., 28 de ces dossiers ont été cernés comme comprenant jusqu'à 100 000 points de données pouvant constituer des renseignements personnels de Canadiens (y compris des « données fictives » et des renseignements en double). Equifax Inc. a ensuite indiqué que ce total comprenait les renseignements personnels confirmés d'environ 8 000 Canadiens.
24. L'attaque a été détectée par Equifax Inc. le 29 juillet 2017 lorsqu'un certificat de sécurité Secure Sockets Layer (« SSL ») expiré a été mis à jour tardivement. La mise à jour du certificat a rendu visible de trafic suspect qui n'avait pas été détecté auparavant. Equifax Inc. a entièrement neutralisé l'attaque le lendemain.
25. Le cheminement de l'attaque décrite ci-dessus met en lumière une série de lacunes inacceptables dans le programme de sécurité d'Equifax Inc. Plus précisément, les lacunes incluent :
    1. la gestion inadéquate des vulnérabilités pour prévenir les attaques perpétrées par l’entremise de vulnérabilités connues;
    2. la séparation inadéquate des réseaux pour limiter la portée de l'accès et les préjudices en cas d’incident;
    3. la mise en œuvre inadéquate de pratiques de base de protection des renseignements pour être en mesure de gérer adéquatement l'utilisation des renseignements personnels et de déceler toute utilisation non autorisée possible.
26. La gamme étendue de ces lacunes met également en évidence l'échec fondamental des mécanismes de surveillance qui auraient dû être en place afin :
    1. d’évaluer avec précision les risques pour la sécurité;
    2. de veiller à ce que le programme de sécurité soit convenable pour protéger les renseignements personnels sensibles détenus par Equifax Inc. contre ces risques;
    3. de veiller à ce que le programme de sécurité, y compris les politiques de sécurité pertinentes, soit concrètement mis en œuvre.

Gestion des vulnérabilités

27. Les vulnérabilités connues représentent un risque important pour les organisations en raison de la prolifération de l'information sur la façon d'exploiter ces vulnérabilités. Toutes les organisations qui détiennent des renseignements personnels doivent disposer de systèmes performants, soit à l'interne, soit par l'intermédiaire de fournisseurs de services externes possédant l'expertise appropriée, afin de pallier en permanence les vulnérabilités connues. Ces systèmes doivent garantir que les vulnérabilités connues de toutes les plateformes de services, de tous les systèmes d'exploitation et de toutes les applications accessibles par Internet, qui peuvent être exploités, sont corrigées rapidement. Cela doit comprendre des mécanismes pour :
    1. détecter avec précision et rapidité les vulnérabilités qui nécessitent un correctif;
    2. appliquer les correctifs appropriés pour corriger rapidement les vulnérabilités relevées;
    3. vérifier que les vulnérabilités ont été corrigées.
28. Dans le cas de la vulnérabilité exploitée par les pirates, Equifax Inc. a confirmé qu'elle était au courant de la vulnérabilité en question et a envoyé une alerte interne pour que le correctif soit appliqué. Toutefois, Equifax Inc. n'avait pas de mécanismes en place pour corriger automatiquement ces vulnérabilités et, dans le cas du portail de règlement des différends en ligne en question, les employés n'ont pas réussi à corriger manuellement la vulnérabilité. De plus, à l'époque, Equifax utilisait un seul outil d'évaluation de la vulnérabilité dont la portée était limitée. L’outil n'a pas détecté que la vulnérabilité était toujours présente, car il n'a pas vérifié le bon sous-répertoire virtuel.

Séparation au sein d’un réseau

29. Dans le cadre de la séparation des composantes d’un réseau, des barrières virtuelles ou physiques sont utilisées pour limiter le flux d'information entre les différentes parties d'un réseau informatique, de la même manière que les cloisons d'un navire limitent l’inondation si la coque est endommagée. Pour protéger les renseignements personnels, les organisations devraient procéder à une séparation des réseaux qui assure une séparation franche des bases de données contenant des renseignements personnels selon leur niveau de sensibilité et leur fonction.
30. Dans le cas de cet incident, les pirates ont pu accéder à l'information contenue dans des centaines de tableaux figurant dans des bases de données stockées à l'extérieur du serveur de l'application piratée. Au moment de l’incident, bien que des pare-feu séparaient les bases de données aussi bien les unes des autres que du portail piraté, ceux-ci ne séparaient pas convenablement les composantes du réseau puisqu'ils étaient configurés pour permettre la transmission d’un large éventail de requêtes (y compris les demandes de données des pirates) entre les bases de données et le serveur piraté. Ces pare-feu devenaient ainsi des « murs de verre », c’est-à-dire que les pirates ne pouvaient pas les traverser, mais ils pouvaient néanmoins voir et copier ce qui se trouvait derrière ceux-ci.
31. Equifax Inc. a soutenu que les configurations ouvertes des pare-feu lui permettaient d'utiliser l'information contenue dans d'autres bases de données pour déceler et prévenir les fraudes dans le portail de règlement des différends en ligne compromis. Nous reconnaissons que des renseignements contenus dans quelques-unes des bases de données concernées auraient pu être utiles à cette fin. Toutefois, Equifax Inc. a indiqué qu'elle ne disposait pas d'un schéma de ses réseaux dans lequel est illustrée l’architecture de réseau pertinente, y compris les pare-feu, avec le degré de précision nécessaire pour permettre au Commissariat d’analyser pleinement la portée de l'incident et qu'elle ne pouvait pas facilement déterminer quelles bases de données avaient été accessibles lors de l'incident.
32. De plus, les consommateurs canadiens ne peuvent pas utiliser le portail en ligne de règlement des différends, et les renseignements personnels des Canadiens n'auraient donc pas été pertinents pour la détection de fraudes sur ce portail. Les données canadiennes auraient donc dû être entièrement séparées du serveur de l'application concernée.
33. En général, il faudrait aussi envisager de séparer tous les renseignements sur les consommateurs détenus par une organisation de ceux détenus par d'autres organisations, afin de limiter l'exposition à des menaces potentielles issues d’applications ou de processus non liés. Cela est particulièrement approprié lorsqu'il s'agit d'un grand volume d'information et que les processus de traitement sont différents d'une organisation à l'autre, comme c'est le cas ici.
34. De plus, compte tenu du volume et de la sensibilité des renseignements personnels détenus par Equifax Inc., des méthodes plus sûres auraient dû être utilisées pour faciliter la détection des fraudes tout en maintenant une séparation convenable des composantes du réseau, par exemple une application intermédiaire qui fournit uniquement les renseignements limités nécessaires à la détection des fraudes aurait dû être utilisée.

Mise en place de pratiques de base relatives à la sécurité de l’information

35. Selon le principe 4.7 de la LPRPDE, les méthodes de protection devraient comprendre des moyens matériels, comme le verrouillage des classeurs, des mesures administratives, comme l'accès sur justification, et des mesures techniques, comme l'usage de mots de passe et du chiffrement.
36. En plus des questions précises décrites dans les paragraphes précédents, en examinant les systèmes et les mesures de protection liés à l'incident et au traitement des renseignements personnels canadiens, notre enquête a permis de constater que la mise en œuvre de ces méthodes de base de protection était inadéquate. Nous avons relevé de nombreux exemples dans les pratiques d'Equifax Inc. qui ne respectaient pas les normes de base relatives aux méthodes de protection énoncées dans les normes de sécurité reconnues à l'échelle internationale. Des exemples sont fournis ci dessous (pararaphes 37 à 42).
37. À titre d’exemple, en ce qui concerne le contrôle responsable de l'accès, une pratique de base en matière de sécurité de l'information consiste à savoir qui sauvegarde et modifie les fichiers lorsqu'ils contiennent des renseignements personnels. Pour un grand nombre des 28 dossiers contenant des renseignements manifestement canadiens dans l’espace de « partage de fichiers » compromis, Equifax Inc. n'a pas été en mesure de déterminer de façon concluante qui avait enregistré les fichiers ni pourquoi.
38. Une autre pratique de base en matière de contrôle de l'accès veut également que les noms d'utilisateur et les mots de passe du personnel et des clients soient conservés en toute sécurité. L’analyse scientifique réalisée par Equifax Inc. a détecté des noms d'utilisateur et des mots de passe non cryptés enregistrés dans l’espace de « partage de fichiers » accessibles à plusieurs personnes (et, dans ce cas-ci, aux pirates).
39. En outre, la conservation des données de production (c.-à-d. les renseignements personnels ou commerciaux réels) séparément des données servant aux essais (renseignements fictifs utilisés pour développer et mettre à l’essai des applications et des systèmes informatiques) est une pratique de base en matière de sécurité de l'information. L’espace de « partage de fichiers » compromis contenait les deux types de données dans le même environnement.
40. La formation efficace du personnel s’inscrit également dans la gestion fondamentale de la sécurité de l'information. Equifax Inc. a affirmé qu'elle avait fourni au personnel une formation sur la manipulation adéquate des données, mais elle n'a pas été en mesure de fournir de preuve (p. ex. matériel de formation ou programme de cours) qu'une formation structurée sur les pratiques adéquates d'utilisation d’un espace de partage des fichiers a été donnée à son personnel des TI.
41. La mise à jour des certificats SSL est également une pratique de base en matière de sécurité de l'information. Un facteur qui a contribué au retard dans la détection de la présence des pirates est le fait qu'un certificat SSL interne n'ait pas été renouvelé, et ce, malgré les observations d’Equifax Inc. selon lesquelles sa politique consiste à mettre à jour régulièrement les certificats SSL.
42. Enfin, les renseignements canadiens sur les cartes de crédit des personnes qui ont acheté certains produits offerts directement aux consommateurs ou qui ont reçu des alertes à la fraude par téléphone étaient, à l'époque, conservés par Equifax Inc. dans une base de données qui n'avait pas été incluse dans le cadre de l’attestation de conformité annuelle d'Equifax Inc. à la Norme de sécurité des données de l’industrie des cartes de paiement (PCI-DSS). Les normes de l'industrie exigent que cette certification couvre tous les systèmes utilisés par une organisation pour traiter l'information sur les cartes de crédit. Une tierce partie mandatée par Equifax Inc., qui a effectué une analyse scientifique subséquente à l’incident, a constaté des lacunes dans la conformité à la Norme PCI-DSS.

Mécanismes de surveillance

43. Notre enquête a révélé qu'Equifax Inc. avait mis en place des politiques de sécurité qui établissaient, à un niveau élevé, des attentes générales en matière de gestion de la sécurité de l'information. Equifax Inc. a déclaré qu'entre 2014 et 2017, elle avait triplé ses dépenses d'exploitation et d'investissement combinées en sécurité des TI et presque doublé ses effectifs chargés de la sécurité. Malgré cela, notre enquête a révélé les multiples lacunes en matière de sécurité dans de nombreux domaines qui sont présentées ci-dessus (paragraphes 27 à 42). À notre avis, la divergence évidente entre les politiques et les pratiques dans divers domaines de la sécurité démontre que le programme de sécurité d'Equifax Inc. comportait des lacunes importantes et que les mécanismes de surveillance étaient donc inadéquats.

Conclusion

44. Pour les raisons décrites ci-dessus, nous sommes d'avis que les mesures de protection d'Equifax Inc. étaient insuffisantes dans les quatre domaines suivants :
    1. la gestion des vulnérabilités;
    2. la séparation des composantes du réseau;
    3. la mise en œuvre de pratiques de base en matière de sécurité de l'information;
    4. la surveillance.
45. À notre avis, les faiblesses particulières décrites ci-dessus, individuellement et collectivement, constituent des manquements à la mise en œuvre de mesures de sécurité appropriées compte tenu du volume et de la sensibilité des renseignements personnels détenus par Equifax Inc. Par conséquent, en ce qui concerne la protection des renseignements personnels par Equifax Inc., la plainte est fondée.
46. Depuis l’incident, Equifax Inc. a pris une série de mesures pour améliorer son programme de sécurité, notamment :
    1. en adoptant un modèle de sécurité de l'information en vigueur 24 heures sur 24 et 7 jours sur 7;
    2. en améliorant les processus et procédures de gestion des vulnérabilités;
    3. en améliorant la séparation des composantes du réseau ainsi qu’en augmentant les restrictions et les contrôles d'accès aux données contenues dans des bases de données essentielles, et en réduisant la portée des données conservées dans les bases de données dorsales;
    4. en mettant en place une structure hiérarchique des mécanismes de surveillance dotée de fonctions améliorées en matière d'évaluation des risques et de vérification interne;
    5. en apportant une série d'autres améliorations techniques à ses outils et à ses pratiques de consignation, de détection et de contrôle de l'accès.
47. Bien qu'il s'agisse de mesures positives, à la lumière des graves lacunes constatées, qui révèlent des problèmes systémiques à long terme, nous sommes d'avis que des assurances supplémentaires sont nécessaires pour veiller à ce que les mesures de sécurité des données d'Equifax Inc. soient élevées à un niveau adéquat. Nos recommandations sur les mesures appropriées pour y parvenir sont présentées à la section 3 du présent rapport.

Section 2. Conservation des renseignements personnels détenus par Equifax Inc.

48. Selon le point 4.5.3 du cinquième principe de la LPRPDE (Limitation de l’utilisation, de la communication et de la conservation), on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées, et les organisations doivent développer des lignes directrices et appliquer des procédures régissant la destruction des renseignements personnels.
49. Tel que décrit ci-dessus (paragraphe 23), l'une des sources de renseignements personnels canadiens compromis, touchant environ 8 000 Canadiens, se trouvait dans 28 fichiers sauvegardés dans un espace de partage de fichiers entre le 29 avril 2010 et le 16 septembre 2016. Étant donné l’ancienneté de certains dossiers, qu'Equifax Inc. a identifiés comme étant généralement liés à l'entretien du système, au dépannage et aux mises à jour des applications, nous avons examiné les pratiques de conservation des renseignements personnels canadiens d'Equifax Inc. de façon plus globale.
50. Equifax Inc. dispose d’une politique de conservation globale (Global Retention Policy), ci-après « politique de conservation », qui établit pendant combien de temps certains dossiers doivent être conservés. Au moment pertinent, en ce qui a trait aux données canadiennes conservées dans le système GCS, il est précisé que les renseignements relatifs à la création de comptes devraient être détruits après cinq ans, les autres renseignements relatifs aux comptes devraient être détruits après deux ans, et les rapports de solvabilité ou les alertes sur la solvabilité contenus dans les comptes du système GCS devraient être détruits après un an. La politique a également précisé que le « propriétaire d’un document » était responsable de l’application de la politique de conservation à un document précis et que la conformité à la politique devrait être surveillée.
51. Le Commissariat s’est entretenu avec un spécialiste de l'architecture des TI chargé du système GCS d’Equifax Inc. Cette personne a été identifiée par Equifax Inc. comme quelqu'un qui pourrait répondre à nos questions concernant la gestion des renseignements personnels dans le système GCS. En réponse à nos questions, il a confirmé qu'à sa connaissance, dans les bases de données du système GCS, il n'y avait aucun processus en place pour supprimer les renseignements personnels canadiens conformément à la politique de conservation d'Equifax Inc. De plus, il a confirmé que malgré l'expiration des délais de conservation établis dans la politique dans le cas de nombreux documents, aucun renseignement personnel canadien conservé dans les bases de données du système GCS n'avait été supprimé depuis au moins 2010, lorsque le système GCS a été transféré sur sa plateforme actuelle. Il a indiqué qu'il est au courant de l’élaboration de plans visant à mettre en place certaines pratiques de destruction, en vue de la conformité au Règlement général européen sur la protection des données 2016/679, mais que ces efforts étaient limités aux renseignements personnels européens.
52. Ni le spécialiste de l'architecture des TI ni le dirigeant principal de l'information d'Equifax Inc. responsable du système GCS n'ont été en mesure d'identifier le « propriétaire du document », conformément à la politique de conservation, pour les renseignements personnels détenus dans les bases de données du système GCS. De plus, l'employée responsable de la conformité du système GCS à la réglementation aux États-Unis et au Canada a déclaré qu'elle ne savait pas exactement qui, chez Equifax Inc., était responsable des fonctions de conformité décrites dans la politique de conservation.
53. Au cours de notre enquête, il était évident que le personnel clé n'était pas suffisamment informé et sensibilisé à la politique de conservation, que cette politique n'était pas respectée et que la surveillance de la conformité n'était pas effectuée.
54. Compte tenu du fait qu'Equifax Inc. n’a pas mis en œuvre ses politiques de conservation, en ce qui concerne la conformité aux exigences de conservation et de destruction énoncées dans le cinquième principe de la LPRPDE, la plainte est fondée.
55. Nos recommandations quant aux mesures appropriées à prendre pour remédier à cette infraction sont présentées à la section 3 du présent rapport.

Section 3. Responsabilité d’Equifax Canada à l’égard du traitement des renseignements personnels canadiens par Equifax Inc.

56. Selon le premier principe, Responsabilité, de la LPRPDE, une organisation est responsable des renseignements personnels dont elle a la gestion et doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés ci-dessous. De plus, selon le point 4.1.3, une organisation est responsable des renseignements personnels qu’elle a en sa possession ou sous sa garde, y compris les renseignements confiés à une tierce partie aux fins de traitement. L’organisation doit, par voie contractuelle ou autre, fournir un degré comparable de protection aux renseignements qui sont en cours de traitement par une tierce partie.
57. Étant donné que les Canadiens touchés par l'incident chez Equifax Inc. étaient des personnes qui avaient obtenu des produits canadiens offerts directement aux consommateurs ou des alertes à la fraude, nous avons vérifié la conformité aux exigences en matière de responsabilité. Comme nous l'avons déjà mentionné, dans le présent rapport, le terme « Canadiens » désigne les personnes dont le dossier de crédit canadien est détenu au Canada par Equifax Canada (et non, par exemple, les citoyens canadiens résidant aux États-Unis avec un dossier de crédit américain).
58. Dans un premier temps, nous nous sommes penchés sur la question à savoir si Equifax Inc. est une tierce partie par rapport à Equifax Canada. Nous sommes d'avis qu'aux fins du traitement des renseignements personnels en vertu de la LPRPDE, c’est le cas pour les raisons suivantes :
    1. Equifax Canada et Equifax Inc. sont constituées en sociétés séparément dans différentes administrations;
    2. Bien que la Politique relative à la protection de la vie privée et les Conditions d'utilisation mises à la disposition des Canadiens sur Equifax.ca au moment de l’incident mentionnent la possibilité qu'Equifax Canada s'associe à des sociétés affiliées pour la livraison de produits, ces dernières, dont Equifax Inc., sont des entités distinctes (plus de détails figurent aux paragraphes 104 et 105);
    3. Aux fins du traitement des renseignements personnels, Equifax Canada a toujours déclaré, tant au Commissariat qu'au public, que le chef de la protection des renseignements personnels d'Equifax Canada est la personne désignée responsable du traitement des renseignements personnels par Equifax Canada.
59. Ensuite, nous nous nous sommes penchés sur la question à savoir si Equifax Canada avait la gestion et la responsabilité, en vertu de l'article 4.1 de la LPRPDE, des renseignements personnels canadiens recueillis par Equifax Inc. et transférés à Equifax Inc. par Equifax Canada, aux fins de la fourniture de produits canadiens offerts directement aux consommateurs.
60. Equifax Canada et Equifax Inc. offrent une gamme de produits aux organisations et aux particuliers, tels que des services de vérification de solvabilité aux organisations prêteuses et des produits offerts directement aux consommateurs. Les produits offerts directement aux consommateurs canadiens comprennent l'accès en ligne au rapport de solvabilité du consommateur d’Equifax Canada ainsi que la surveillance de son dossier de crédit d’Equifax Canada. La surveillance du crédit est un ensemble de services dont l'élément principal est l'alerte proactive du consommateur relativement à certaines activités dans son dossier de crédit d'Equifax Canada, comme une nouvelle vérification de solvabilité, qui pourraient signaler à la personne qu'une autre personne essaie d'obtenir du crédit en son nom.
61. Les produits fournis aux organisations (prêteurs) sont livrés directement par Equifax Canada, et tous les renseignements personnels connexes sont stockés dans des systèmes informatiques situés au Canada. Toutefois, les produits canadiens offerts directement aux consommateurs sont offerts par l'entremise d'un portail en ligne exploité par Equifax Inc. Au moment de l'incident, Equifax Inc. a également traité les paiements de frais effectués par téléphone par des Canadiens qui souhaitaient ajouter une alerte à la fraude à leur dossier de crédit d'Equifax Canada, et a ainsi recueilli et traité le paiement et les renseignements transactionnels connexes.
62. Les Canadiens qui souhaitent se procurer des produits canadiens offerts directement aux consommateurs sont dirigés vers un portail hébergé par le système GCS d'Equifax Inc. pour commencer le processus de demande. Les consommateurs qui présentent une demande par téléphone sont servis par des agents du service à la clientèle qui suivent le même processus.
63. Le portail, qui est hébergé aux États-Unis par Equifax Inc., recueille et stocke tous les renseignements qu'une personne soumet au cours du processus d'achat, d'ouverture de compte et de vérification de l’identité. Equifax Canada communique ensuite des renseignements personnels à Equifax Inc. y compris des copies du dossier de crédit du consommateur ou des alertes de crédit^{Note de bas de page 6}, au besoin, aux fins de l’exécution de la commande du consommateur (p. ex. lorsqu'un consommateur accède au portail pour consulter son dossier de crédit, une nouvelle copie est envoyée à Equifax Inc. par Equifax Canada - voir Figure 1). En pratique, ces produits sont ensuite stockés par Equifax Inc. indéfiniment (tel que décrit à la section 2 du présent rapport).

64. Equifax Canada et Equifax Inc. soutiennent que les personnes qui se procuraient des produits canadiens offerts directement aux consommateurs ont conclu des contrats pour ces produits directement avec Equifax Consumer Solutions LLC (« ECS »), une filiale américaine d'Equifax Inc. Elles font valoir que les renseignements canadiens détenus par Equifax Inc. n'étaient donc pas sous la gestion d'Equifax Canada, puisqu'Equifax Canada ne faisait que communiquer des renseignements sur le dossier de crédit à ECS, qui était un revendeur agissant en son propre nom et non pour le compte d'Equifax Canada.
65. Toutefois, Equifax Canada a indiqué qu'au moment de l’incident, elle n'avait aucune entente écrite avec Equifax Inc. décrivant cette relation de revente. Plus important encore, au moment de l’incident, l’ensemble du processus d'inscription à un produit se déroulait sur les pages Web « Equifax.ca », et les conditions d'utilisation acceptées par les consommateurs canadiens lors de l'achat de produits offerts directement aux consommateurs indiquaient expressément que « les produits et caractéristiques des produits (« produit » ou « produits ») offerts par le truchement du présent site sont offerts par Equifax Canada Co. (« Equifax »). Nous pouvons également nous associer à d’autres sociétés (« fournisseurs ») ou membres de notre groupe (« membres du groupe Equifax ») pour vous offrir des produits ou vous vendre un produit offert par un fournisseur ou un membre du groupe d’Equifax. [traduction] »
66. Equifax Canada soutient que cette déclaration de responsabilité était accidentelle. Elle a précisé qu'auparavant, plus précisément entre mai 2013 et juin 2016, les consommateurs canadiens qui avaient obtenu des produits offerts directement aux consommateurs auraient eu à accepter des « conditions d'utilisation du produit » (les « Conditions du produit ») différentes à la fin du processus de demande. Ces conditions du produit auraient stipulé : « Vous acceptez ces modalités ainsi que la Politique relative à la protection de la vie privée d'Equifax Canada, qui forment ensemble un contrat entre vous et Equifax Consumer Services LLC, une société américaine (« Nous ») [traduction] ». La société a indiqué que dans une mise à jour du site Web en juin 2016, le lien vers les Conditions du produit a été accidentellement remplacé par un lien vers les Conditions d'utilisation décrites au paragraphe 65, qui, à l'époque, étaient beaucoup plus succinctes et ne comprenaient pas de détails sur les produits.
67. Toutefois, ces brèves conditions d'utilisation ont ensuite été révisées en profondeur deux mois plus tard, en août 2016, afin d'inclure les détails susmentionnés dans les « Conditions d'utilisation du produit » tout en conservant la déclaration initiale décrite au paragraphe 65 selon laquelle les produits ont été fournis par Equifax Canada^{Note de bas de page 7}.
68. De plus, au moins entre février 2011 et septembre 2015, la Politique relative à la protection de la vie privée d'Equifax Canada, accessible au public, indiquait clairement qu'Equifax Canada fournissait les produits offerts directement aux consommateurs et que la Politique s'appliquait « aux renseignements de crédit des consommateurs recueillis, utilisés et communiqués par Equifax Canada » et qu'elle « porte sur la façon dont Equifax recueille, utilise et communique les renseignements personnels qui nous sont fournis par les consommateurs lorsque ceux-ci accèdent directement à nos services et produits. [traduction] » Durant cette période, la Politique relative à la protection de la vie privée ne faisait aucune référence à Equifax Inc. ou à ECS, ni à la possibilité de communication de renseignements personnels à quelque organisation que ce soit pour la livraison de produits. Elle définit en outre le chef de la protection des renseignements personnels (« CPRP ») d'Equifax Canada comme étant « ...la personne désignée par Equifax et chargée de veiller au respect par Equifax des exigences de la LPRPDE. [traduction] »^{Note de bas de page 8}.
69. Nous notons en outre qu'ECS joue, sur le plan fonctionnel, le même rôle dans la prestation de services directement aux consommateurs résidents du Royaume-Uni en utilisant des données recueillies par Equifax Ltd (constituée en société au Royaume Uni) et, qu'à ce titre, elle est désignée comme sous-traitant pour le compte d'Equifax Ltd^{Note de bas de page 9}.
70. Compte tenu de ce qui précède, à notre avis et aux fins de l'article 4.1 de la LPRPDE, Equifax Canada est demeurée responsable du traitement des renseignements personnels par Equifax Inc. dans le cadre de l'offre de produits canadiens offerts directement aux consommateurs, pour les raisons suivantes :
    1. Les produits canadiens en question offerts directement aux consommateurs sont, dans les faits, un « accès facilité » permettant aux personnes de comprendre : i) quels renseignements personnels Equifax Canada recueille à leur sujet, ii) quelles conclusions Equifax Canada tire de leur solvabilité, et iii) à qui Equifax Canada communique ces renseignements dans le cadre de vérifications de crédit. À notre avis, ces produits sont donc étroitement liés aux activités d'Equifax Canada. Dans ce contexte, Equifax Canada conserve la gestion des renseignements personnels en question.
    2. Dans certains documents, Equifax Canada a mentionné, à certains moments (y compris dans les conditions du produit mentionnés au paragraphe 66), la participation d'autres « membres du groupe » à l'offre de produits offerts directement aux consommateurs canadiens. Toutefois, ces mentions ont été contredites par les représentations continues et bien en vue d'Equifax Canada auprès des consommateurs, à savoir qu'elle fournissait les produits aux Canadiens, et ses représentations sur le rôle du chef de la protection des renseignements personnels d'Equifax Canada./li>
71. À notre avis, les points a. ou b. ci-dessus mèneraient, séparément, à la conclusion claire que le traitement des renseignements personnels aux fins de la vente directe aux consommateurs canadiens relève de la gestion et de la responsabilité d'Equifax Canada. Par conséquent, dans ce contexte, les renseignements communiqués par Equifax Canada à Equifax Inc. et les renseignements recueillis directement par Equifax Inc. pour livrer ces produits sont sous la garde d'Equifax Canada aux fins de l'article 4.1.3 de la LPRPDE.
72. En ce qui a trait à cette analyse, nous notons que le principe fondamental de la responsabilité stipule, à la section 4.1, qu'une organisation est responsable des renseignements personnels dont elle a la gestion et qu'elle doit désigner une ou des personnes qui devront s’assurer du respect des principes énoncés dans la LPRPDE. C'est donc un aspect essentiel de la responsabilité que la personne désignée par l'organisation, en l'occurrence le CPRP d'Equifax Canada, doit avoir les outils et les structures lui permettant d'être véritablement responsable du traitement des renseignements personnels.
73. Dans ce contexte, nous avons examiné la nature des contrôles mis en place par Equifax Canada, y compris le rôle de son CPRP, pour veiller à ce que les renseignements personnels canadiens traités par Equifax Inc. soient protégés à un niveau comparable à celui exigé par la LPRPDE.
74. Pour déterminer le niveau approprié des contrôles, il faut tenir compte à la fois de la portée et de la sensibilité des renseignements personnels traités. Dans certains cas où la tierce partie est étroitement liée et où les renseignements personnels traités ont une portée et une sensibilité limitées, il peut être possible de se fier à des contrôles réduits et aux politiques et pratiques préexistantes et adéquates de la tierce partie pour remplir les obligations énoncées à l'article 4.1.3^{Note de bas de page 10}. Dans le cas où un volume important de renseignements personnels sensibles appartenant à un grand nombre de personnes est traité sur une période prolongée, le niveau de contrôle devrait être proportionnellement élevé. Dans une telle situation, à notre avis, le principe 4.1.3 de la LPRPDE exige, à tout le moins :
    1. Une entente écrite officielle mise à jour périodiquement et, en cas de changements importants, qui devrait généralement comprendre des détails sur ce qui suit :
       1. les renseignements personnels qui sont traités par la tierce partie, y compris les renseignements communiqués par l'organisation et les renseignements recueillis directement par la tierce partie au nom de l'organisation;
       2. les règles, règlements et normes spécifiques à respecter lors du traitement de l'information, y compris la LPRPDE;
       3. les rôles et les responsabilités des principaux intervenants au sein des deux organisations en ce qui concerne le traitement des renseignements personnels, y compris les responsabilités à l'égard de fonctions précises, la prise de décisions, les mesures de sécurité et les interventions en cas d'incident;
       4. les obligations en matière de sécurité de l'information;
       5. l’utilisation acceptable de l'information;
       6. les obligations de conservation et de destruction;
       7. des mécanismes de déclaration et de surveillance pour assurer le respect de ce qui précède, y compris des obligations de déclaration dans le cas d'incident qui pourrait compromettre la sécurité des renseignements personnels.
    2. Un programme structuré de surveillance de la conformité aux obligations énoncées dans l'entente. Le programme devrait être adapté à la portée et à la sensibilité des renseignements personnels traités. Il devrait comprendre :
       1. des mécanismes de présentation de rapports périodiques sur le traitement des renseignements personnels par la tierce partie;
       2. des mécanismes permettant d'assurer une évaluation externe périodique (par l'organisation ou un tiers acceptable) du respect de l'ensemble des obligations décrites dans l'entente écrite lorsque la portée et la sensibilité des renseignements personnels traités sont importantes.
75. Equifax Inc. a estimé qu'au moment de l'incident, elle détenait les renseignements personnels d'environ 2,4 millions de consommateurs d'Equifax Canada. Comme nous l'avons mentionné dans les sections précédentes du présent rapport, les renseignements étaient sensibles. Equifax Canada aurait donc dû disposer d'un cadre de responsabilité solide, tel que décrit ci-dessus, pour les renseignements communiqués à Equifax Inc. et recueillis par Equifax Inc. en son nom.
76. Au moment de l’incident, la Politique relative à la protection de la vie privée d'Equifax Canada stipulait : « Si nous transférons vos renseignements personnels à un tiers au Canada ou à l’étranger en vue de leur traitement, celui-doit doit conclure un contrat dans lequel nous exigeons qu’il protège vos renseignements personnels d’une manière conforme à nos mesures de protection de la vie privée, sous réserve du droit en vigueur dans le territoire où il se trouve. » À notre avis, contrairement à cette affirmation, Equifax Canada n'avait pas d'entente écrite officielle avec Equifax Inc. en ce qui concerne le traitement des renseignements canadiens.
77. Equifax Canada a déclaré que les politiques et pratiques d'Equifax Inc. étaient suffisantes pour assurer la conformité aux lois canadiennes. À notre avis, cette dépendance à l'égard des politiques et des pratiques d'Equifax Inc. signifiait qu'il n'y avait pas de cadre clair au sein duquel les lois canadiennes étaient appliquées, ce qui a créé d'importantes lacunes en matière de responsabilité. Plus précisément, Equifax Canada avait mis en place des mécanismes pour aborder certains, mais pas tous les éléments susmentionnés (paragraphe 74).
78. Par exemple, en ce qui a trait à l'utilisation appropriée des renseignements personnels, Equifax Canada dispose actuellement, comme au moment de l’incident, de processus par lesquels les utilisations proposées nouvelles ou modifiées des renseignements personnels canadiens par Equifax Inc. ou Equifax Canada sont passées en revue par le personnel chargé des affaires juridiques et de la protection des renseignements personnels. Le respect des principes de la LPRPDE par les nouveaux programmes qui utiliseraient des renseignements personnels canadiens est évalué, comme le fait de rendre facultatifs les numéros d'assurance sociale dans les formulaires destinés aux Canadiens.
79. En ce qui a trait à la détermination des règles, des règlements et des normes à respecter, Equifax Canada a indiqué que son équipe chargée des affaires juridiques et de la protection des renseignements personnels avait donné au personnel d'Equifax Inc. de la formation sur les exigences juridiques et réglementaires canadiennes, y compris la protection des renseignements personnels. De plus, Equifax Inc. procède à une révision annuelle de ses politiques de sécurité des données, à laquelle le CPRP d'Equifax Canada participe selon la perspective des exigences canadiennes. Toutefois, elle n'a pas été en mesure de décrire ces contributions, invoquant le fait que toute la documentation relative à ces contributions avait été supprimée en raison de sa politique de conservation d'un an des courriels internes.
80. Cependant, au cours de l'enquête, Equifax Canada n'a pas pu ou n'a pas voulu, dans plusieurs cas, fournir au Commissariat des explications claires et opportunes sur des questions fondamentales de responsabilité notamment : i) comment les renseignements personnels canadiens sont entrés en possession d’Equifax Inc. et ii) comment ils ont été touchés par l’incident. De plus, Equifax Canada n'a pas fourni en temps opportun au Commissariat un accès aux principaux systèmes, documents et données gérés par Equifax Inc. concernant la sécurité de l'information canadienne.
81. De plus, notre enquête a révélé un éventail d'autres lacunes importantes dans la responsabilité à l'égard du traitement des renseignements personnels canadiens :
82. Intervention en cas d'incident : Une intervention rapide et complète en cas d'incident peut réduire les risques pour les personnes touchées par une atteinte à la vie privée et repose sur une coordination et une communication efficaces lorsqu'il y a plusieurs parties en cause. Dans le cas présent, Equifax Inc. a avisé le CPRP d'Equifax Canada de l’incident quelques heures à peine avant qu'Equifax Inc. n’en fasse l’annonce publique le 7 septembre 2017, malgré le fait qu’elle savait que des renseignements personnels canadiens étaient visés.
83. De plus, même après qu'Equifax Canada ait été avisée de l'incident, il y a eu des lacunes persistantes dans les communications concernant l’intervention après l’incident qui touchait des Canadiens. Par exemple, Equifax Inc. savait, depuis le 19 septembre 2017, que des renseignements personnels canadiens pouvaient figurer dans un tableau de facturation compromis portant sur des transactions par carte de crédit. Les Canadiens étaient clairement identifiables dans le tableau par leur adresse.
84. Malgré le fait qu’il était évident que des renseignements personnels de Canadiens avaient été compromis, Equifax Inc. a omis de faire participer Equifax Canada à la notification de ces personnes et, le 23 octobre 2017, leur a envoyé des lettres à des adresses canadiennes. Ces lettres contenaient des renseignements inexacts, comme l'invitation à obtenir une surveillance du crédit par l'entremise d'un portail que les Canadiens ne pouvaient utiliser parce qu'il était réservé aux consommateurs d'Equifax Inc. Ce n'est qu'après avoir reçu les plaintes de ces personnes qu'Equifax Canada s'est rendu compte de ce qui s'était passé et en a avisé de nouveau les 11 000 Canadiens touchés. D'autres Canadiens se sont fait dire par Equifax Canada que leur compte en ligne, hébergé par Equifax Inc., avait été verrouillé pour leur protection alors qu'il ne l'avait pas été. Equifax Canada aurait dû disposer de mécanismes efficaces pour valider l'exactitude des communications subséquentes à l’incident et la mise en œuvre adéquate des mesures de protection mises en place pour les Canadiens.
85. Clarté quant à l'étendue des renseignements personnels traités : Comprendre ce qui est traité, et pourquoi, est un élément fondamental de la responsabilité. Au cours de l'enquête, Equifax Canada a fourni des renseignements contradictoires sur les fins auxquelles Equifax Inc. détenait les renseignements personnels canadiens compromis lors de l’incident.
86. Plus précisément, plus de quatre mois après la détection de l’incident, Equifax Canada a déclaré au Commissariat que les 19 000 Canadiens touchés s'étaient procuré des produits d'Equifax Canada offerts directement aux consommateurs grâce au système GCS d'Equifax Inc. Toutefois, cette affirmation est contredite à la fois par les représentations des plaignants et par d'autres documents fournis par Equifax Canada^{Note de bas de page 11}, qui ont démontré que certaines personnes touchées n'avaient pas reçu de produits offerts directement aux consommateurs par l'entremise du système GCS, mais qu'elles avaient plutôt payé des frais pour des alertes à la fraude par téléphone à Equifax Canada. Les renseignements personnels recueillis et conservés par Equifax Inc. pour le traitement des paiements d’alertes à la fraude étaient importants, allant au-delà des renseignements sur les cartes de paiement pour comprendre des détails comme les numéros d'assurance sociale des personnes. Après que le Commissariat ait soulevé l'incohérence, Equifax Canada a corrigé sa déclaration antérieure, confirmant qu'Equifax Inc. traitait à la fois les renseignements personnels i) des Canadiens ayant reçu des produits offerts directement aux consommateurs et ii) des Canadiens ayant payé pour des alertes à la fraude par téléphone. Cette difficulté à clarifier la portée de la participation d'Equifax Inc. au traitement des renseignements personnels canadiens est préoccupante, car une compréhension claire de ce qui est traité, et par qui, est un élément fondamental d’une responsabilité efficace.
87. Clarté des rôles et des responsabilités : Il est également essentiel de savoir clairement qui fait quoi et qui est responsable d’exercer une responsabilité efficace. Nous avons constaté un manque de clarté de la part du personnel d'Equifax Canada quant aux rôles et responsabilités en ce qui concerne le traitement des renseignements personnels canadiens détenus par Equifax Inc. Par exemple, le CPRP actuel d'Equifax Canada a indiqué au cours de l'enquête qu'Equifax Canada n'était pas responsable du traitement des renseignements personnels canadiens recueillis directement par Equifax Inc. malgré les indications claires résumées au paragraphe 70 ci-dessus, qu'une telle responsabilité était exigée en vertu de la LPRPDE. À notre avis, comme Equifax Canada est responsable du traitement de ces renseignements personnels, l’agent de la protection de la vie privée désigné d'Equifax Canada, à savoir le CPRP d'Equifax Canada, est responsable des renseignements personnels, peu importe où ils sont détenus ou traités.
88. Surveillance : Lorsqu'une tierce partie traite des renseignements personnels pour le compte d'une organisation, il est important que l'organisation mette en place des mesures pour s'assurer périodiquement que la tierce partie s'acquitte effectivement de ses obligations de protéger ces renseignements personnels. Cela pourrait comprendre l'examen des rapports de la tierce partie sur le traitement de l'information, des vérifications ou des attestations de la tierce partie par rapport à des obligations clairement établies, ou la surveillance directe de la tierce partie sur une base périodique. Lorsque, comme dans le cas présent, le tiers traite continuellement un volume important de renseignements personnels sensibles, ces mesures doivent être tout aussi rigoureuses. Ces mesures peuvent être utilisées par l'agent de la protection de la vie privée désigné pour s'assurer qu'il s'acquitte de sa responsabilité, peu importe où l'information est conservée.
89. Equifax Canada a indiqué qu'elle ne surveille pas la conformité d'Equifax Inc. aux exigences canadiennes en matière de traitement des renseignements personnels en vertu de la LPRPDE une fois que les renseignements ont été transférés à Equifax Inc. ou recueillis par celle-ci. Dans ce contexte, notre enquête a révélé, par exemple, qu'Equifax Inc. n'avait pris aucune mesure significative pour supprimer les renseignements personnels canadiens conformément à un calendrier de conservation comme l'exige la LPRPDE (voir la section 2 du présent rapport).
90. En ce qui concerne la surveillance de la conformité d'Equifax Inc. aux exigences de la LPRPDE en matière de sécurité de l'information, les actions d'Equifax Canada se sont limitées à la réception de certificats triennaux de conformité à la norme ISO 27001^{Note de bas de page 12} (fournis par EY CertifyPoint, une entreprise d'Ernst & Young). À notre avis, il serait généralement raisonnable, aux fins de l'évaluation de la conformité d'un tiers aux exigences de la LPRPDE en matière de mesures de sécurité, qu'une organisation se fie à une certification de sécurité à jour effectuée selon les conditions suivantes : i) par une partie appropriée ii) par rapport à une norme de sécurité appropriée, et iii) en l'absence d'indicateurs contradictoires de problèmes de sécurité.
91. La norme utilisée dans ce cas, ISO 27001, est appropriée, car elle est spécifique à la sécurité de l'information, complète, révisée par des pairs, régulièrement mise à jour et largement reconnue. L'organisme qui a effectué la certification, EY CertifyPoint, est un cabinet possédant une expertise pertinente importante, et les vérifications ont été effectuées annuellement.
92. Toutefois, dans ce cas, Equifax Canada avait également accès à d'autres renseignements sur les pratiques de sécurité d'Equifax Inc. qui jetaient clairement le doute quant à la conformité d'Equifax Inc. à la norme ISO 27001. Plus précisément, elle a eu accès à des tests d'intrusion externes et à des vérifications internes (effectuées par d'autres entreprises possédant l'expertise pertinente), visant Equifax Inc. et Equifax Canada, qui ont clairement démontré l'existence de pratiques qui n'étaient pas conformes à la norme ISO 27001. Ces multiples lacunes en matière de sécurité étaient importantes et il était clair qu'elles existaient depuis longtemps. Voir la section 5 du présent rapport pour plus de détails.
93. Dans le contexte de ces connaissances additionnelles d'Equifax Canada, il n'était donc pas raisonnable qu'elle se fie à la certification ISO 27001 comme assurance d'une sécurité adéquate par Equifax Inc. Consciente de ces mauvaises pratiques, Equifax Canada aurait dû prendre d'autres mesures pour évaluer la sécurité des renseignements personnels canadiens détenus par Equifax Inc. et s'assurer que toute mesure corrective nécessaire était prise en temps opportun.
94. Par conséquent, en ce qui a trait à la responsabilité d'Equifax Canada à l'égard des renseignements personnels dont elle a la garde et qui sont traités par Equifax Inc., la plainte est fondée.
95. Depuis l’incident, en réponse à nos recommandations préliminaires, Equifax Canada et Equifax Inc. ont pris des mesures pour développer une entente écrite couvrant les éléments décrits au paragraphe 74 ci-dessus. Elles ont également pris des mesures pour améliorer la surveillance générale et la responsabilité à l'égard des pratiques en matière de protection de la vie privée, y compris la nomination d'un chef de la protection des renseignements personnels d'Equifax Inc. et la constitution d’une équipe de soutien. En ce qui concerne les renseignements personnels recueillis par Equifax Inc. dans le cadre du traitement des paiements pour les alertes à la fraude d'Equifax Canada, Equifax Canada a par la suite modifié ses modalités de traitement des paiements afin qu'Equifax Inc. ne traite pas ces paiements pour Equifax Canada. De plus, Equifax Canada ne facture plus de frais pour ajouter une alerte à la fraude à un dossier de crédit.

Recommandations

96. Les recommandations suivantes portent sur les contraventions mentionnées aux sections 1, 2 et 3 du présent rapport. Dans le cadre de nos recommandations, nous avons tenu compte des choix limités qui s'offrent aux Canadiens en ce qui concerne les produits d'évaluation du crédit au Canada et des risques qu'ils courent, compte tenu des renseignements sensibles de grande valeur que détient Equifax Inc. Nous avons également tenu compte de la nature systémique et à long terme des problèmes relevés, dont un bon nombre était connu d'Equifax Canada et d'Equifax Inc., mais n'a pas été corrigé en temps opportun. Compte tenu des risques pour les Canadiens, une surveillance à long terme sera essentielle pour rétablir la confiance en la capacité de surveillance interne d'Equifax Canada et d'Equifax Inc. et pour établir une « culture de sécurité » durable. Nous recommandons donc à Equifax Canada de :
    1. Mettre en œuvre une procédure pour tenir à jour l'entente écrite avec Equifax Inc. qui couvre tous les renseignements personnels canadiens sous la gestion d'Equifax Canada recueillis par Equifax Inc. et communiqués à Equifax Inc.
    2. Mettre en place un solide programme de surveillance du respect des exigences de l'entente par Equifax Canada, ainsi qu’un cadre structuré pour régler tout problème qui pourrait survenir en vertu de cette entente.
    3. Identifier les renseignements personnels de Canadiens qui ne devraient plus être conservés par Equifax Inc. selon son calendrier de conservation et les supprimer.
    4. Tous les deux ans, pour une période de six ans, fournir au Commissariat :
       1. un rapport d'Equifax Canada détaillant ses activités de surveillance de la conformité à l'entente décrite au point b. ci-dessus;
       2. un rapport de vérification et une attestation de la conformité à une norme de sécurité acceptable, effectués par un vérificateur externe compétent et couvrant tous les renseignements personnels de Canadiens traités par Equifax Inc.;
       3. une évaluation par un tiers, portant sur tous les renseignements personnels de Canadiens traités par Equifax Inc., des pratiques de conservation d'Equifax Inc.

Section 4. Obtention du consentement de Canadiens pour la communication de renseignements à Equifax Inc.

97. Selon le troisième principe de la LPRPDE sur le consentement, toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu’il ne soit pas approprié de le faire. De plus, l’article 6.1 de la LPRPDE dispose que le consentement de l’intéressé n’est valable que s’il est raisonnable de s’attendre à ce qu’un individu visé par les activités de l’organisation comprenne la nature, les fins et les conséquences de la collecte, de l’utilisation ou de la communication des renseignements personnels auxquelles il a consenti.
98. Une plaignante dans cette affaire a noté avec inquiétude que lorsqu'elle a demandé comment ses renseignements avaient été obtenus aux États-Unis après s'être inscrite à Equifax Canada sur un site Web Equifax.ca, ni l'agent à qui elle a parlé ni son superviseur, n'ont pu lui fournir une explication. L'échange de renseignements personnels avec de multiples parties comporte des risques inhérents (comme une exposition accrue aux cyberattaques), et l'un des principaux objectifs de la disposition de la LPRPDE sur le consentement est de permettre aux Canadiens de faire des choix quant aux personnes qui détiennent leurs renseignements personnels et pour quels motifs. Dans ce contexte, nous avons examiné les communications de renseignements canadiens à Equifax Inc. et le consentement obtenu pour ces communications.
99. Tel que mentionné à la section 3 du présent rapport (paragraphe 58), nous sommes d'avis qu'aux fins du traitement des renseignements personnels en vertu de la LPRPDE, Equifax Canada et Equifax Inc. sont des tierces parties l'une pour l'autre.
100. Tel que décrit à la section 3 du présent rapport, Equifax Inc. a reçu les renseignements personnels des consommateurs canadiens de deux façons. D'abord, elle a reçu de l'information directement des consommateurs canadiens lorsqu'ils ont commandé des produits par l'entremise du système GCS et, ensuite, elle a reçu de l'information sur les dossiers de crédit qui lui a été transférée par Equifax Canada concernant ces consommateurs afin qu'ils puissent utiliser ces produits. De plus, tel que décrit à la section 3 du présent rapport, Equifax Canada demeure responsable de l'information transférée à Equifax Inc. aux fins de traitement, ainsi que des obligations connexes en vertu de l’article 4.1.3 de la LPRPDE.
101. Parallèlement, ces transferts d'Equifax Canada à Equifax Inc. aux fins de traitement constituent des communications de renseignements personnels au sens des paragraphes 7(3) et 4.3 de la LPRPDE^{Note de bas de page 13}.
102. Malgré l'importante communication de renseignements à Equifax Inc. au cours de ce processus, le portail du système de GCS est affiché et apparaît aux consommateurs sur les pages du domaine « Equifax.ca » et est assorti d’une Politique relative à la protection de la vie privée et de conditions d'utilisation propres à Equifax Canada (voir Figure 2). À l'exception de la Politique relative à la protection de la vie privée et des Conditions d'utilisation du site, au moment de l’incident, rien n'indiquait aux consommateurs, à aucun moment du processus, que leurs renseignements personnels étaient recueillis ou communiqués à Equifax Inc. aux États Unis.
103. Equifax Canada note que son affiliation avec Equifax Inc. est également signalée aux consommateurs par une note de droit d'auteur dans le pied de page de toutes les pages du site Web Equifax.ca, y compris les pages décrivant les produits livrés directement par Equifax Canada et ceux livrés par Equifax Inc. Celle-ci indique : « Copyright [date] Equifax Inc. Tous droits réservés. Equifax et les marques d'Equifax utilisées aux présentes sont des marques déposées d'Equifax Inc. » Toutefois, les consommateurs ne s'attendraient pas raisonnablement à ce qu'un avis de droit d'auteur dans une note de bas de page les avise d'un transfert d'information à une tierce partie.

104. Tel que décrit au paragraphe 65 ci-dessus, les conditions d'utilisation mises à la disposition des consommateurs canadiens au moment de l’incident précisent que « les produits et caractéristiques des produits (« produit » ou « produits ») offerts par le truchement du présent site sont offerts par Equifax Canada Co. (« Equifax »). Nous pouvons également nous associer à d’autres sociétés (« fournisseurs ») ou membres de notre groupe (« membres du groupe Equifax ») pour vous offrir des produits ou vous vendre un produit offert par un fournisseur ou un membre du groupe d’Equifax. ». La Politique relative à la protection de la vie privée d'Equifax Canada, qui désigne le chef de la protection des renseignements personnels d'Equifax Canada comme point de contact pour les questions de confidentialité, indiquait : « La présente politique de protection de la vie privée (la « politique ») est publiée afin de vous informer des pratiques et des procédures que nous, Equifax Canada, notre société mère et les membres de notre groupe (« Equifax », « nous », « notre », « nos ») adoptons à l’égard de la collecte, de l’utilisation et de la communication de renseignements confidentiels. »
105. Equifax Inc. et Equifax Canada nous ont également indiqué qu'elles ont informé les personnes du transfert de leurs renseignements personnels à l'extérieur du Canada par l'énoncé suivant de la Politique relative à la protection de la vie privée d'Equifax Canada : « Si nous transférons vos renseignements personnels à un tiers au Canada ou à l’étranger en vue de leur traitement, celui-ci doit conclure un contrat dans lequel nous exigeons qu’il protège vos renseignements personnels d’une manière conforme à nos mesures de protection de la vie privée, sous réserve du droit en vigueur dans le territoire où il se trouve. »
106. En ce qui concerne le consentement, la question est de savoir si les explications fournies aux personnes au sujet de la collecte et du transfert à Equifax Inc. de leurs renseignements personnels étaient adéquates pour que leur consentement soit valable en vertu du troisième principe et de l'article 6.1 de la LPRPDE. Nous sommes d'avis qu'il n'est pas valable, pour les raisons suivantes.
107. En vertu des points 4.3.4 et 4.3.5 du principe du consentement, la forme du consentement demandé doit tenir compte de la sensibilité des renseignements et les attentes raisonnables de la personne sont également pertinentes. Un consentement plus ferme et explicite est requis pour la collecte et la communication de renseignements plus sensibles et de renseignements qu’une personne ne s'attendrait pas raisonnablement à ce qu’ils soient recueillis ou communiqués à une organisation donnée dans le contexte du produit ou du service demandé. Tel qu'indiqué à la section 1 du présent rapport, les renseignements recueillis par Equifax Inc. et communiqués à cette dernière sont sensibles. Nous sommes d'avis que, compte tenu du fait que le portail du système GCS a été présenté aux Canadiens comme étant exploité directement par Equifax Canada (voir les paragraphes 102 à 105), les personnes ont peut-être été surprises d'apprendre l’existence des communications. Les personnes qui obtiennent ces produits ne s'attendraient pas raisonnablement, compte tenu des indications contraires, à ce que des renseignements sensibles soient recueillis et communiqués à un tiers à l'extérieur du Canada (même dans le contexte de la relation entre la société mère et sa filiale). Par conséquent, à notre avis, le consentement exprès est requis.
108. En vertu de l'article 6.1, pour que le consentement à une collecte ou à une communication soit valable, les personnes doivent recevoir suffisamment de renseignements pour comprendre la nature, le but et les conséquences de la collecte ou de la communication. À notre avis, même une personne qui a examiné attentivement la Politique relative à la protection de la vie privée et les Conditions d'utilisation mises à la disposition des personnes au moment de l’incident ne serait pas en mesure de comprendre que, sans exception, leurs renseignements étaient recueillis par Equifax Inc. aux États-Unis, avec effet immédiat. Elles ne comprendraient pas non plus qu'Equifax Canada communiquerait par la suite d'autres renseignements importants à Equifax Inc. ou qu'il n'y aurait pas d'autres détails fournis ou de consentement demandé avant que de telles communications ne se produisent. Étant donné l'étendue de la collecte et de la communication de renseignements personnels sensibles, une telle clarté est, à notre avis, manifestement justifiée dans cette affaire.
109. Fournir des renseignements adéquats sur les choix possibles lorsqu'une personne consent à la collecte, à l'utilisation ou à la communication de ses renseignements personnels est un élément clé d'un consentement valable. Dans ce cas, il semble raisonnable d'exiger le consentement à la collecte de renseignements par Equifax Inc. et à la divulgation de renseignements à Equifax Inc. comme condition pour l’obtention de produits canadiens en ligne offerts directement aux consommateurs, car Equifax Canada n'offre pas ces produits elle-même. Cependant, une personne aurait encore des choix. En plus de la simple option de « ne pas s'inscrire » à la surveillance de dossier de crédit d'Equifax Canada ou à d'autres produits, les personnes intéressées à avoir accès à leur dossier de crédit d'Equifax Canada peuvent choisir d'utiliser le service gratuit d'Equifax Canada, fourni par la poste et qui évite toute divulgation de renseignements à Equifax Inc. Equifax Canada ne précise pas actuellement la différence entre la communication de renseignements aux consommateurs dans le cadre d'un accès en ligne ou postal; en ce sens que la première implique la collecte de renseignements par Equifax Inc. et le transfert de renseignements à Equifax Inc. aux États-Unis, alors que la seconde ne le fait pas.
110. En résumé, Equifax Canada n'a pas été suffisamment claire au sujet: i) de la collecte de renseignements personnels sensibles par Equifax Inc. aux États-Unis, ii) de la communication subséquente de renseignements personnels sensibles à Equifax Inc. et (iii) des options offertes aux personnes qui ne souhaitent pas que leurs renseignements soient communiqués de cette façon. Par conséquent, en ce qui concerne les pratiques d'Equifax Canada visant à obtenir le consentement pour la collecte de renseignements personnels par Equifax Inc. et la communication de renseignements personnels à Equifax Inc., la plainte est fondée.
111. Toutefois, comme nous l'avons précisé au paragraphe 101 ci-dessus, nous reconnaissons que, dans des directives antérieures, le Commissariat avait qualifié les transferts aux fins de traitement d'« utilisation » de renseignements personnels plutôt que de communication de renseignements personnels. Nos directives avaient également indiqué par le passé que de tels transferts n'exigeaient pas, en soi, un consentement. Dans ce contexte, nous avons déterminé qu'Equifax Canada agissait de bonne foi en ne demandant pas le consentement explicite pour ces communications.

Recommandations

112. Nous recommandons qu’Equifax Canada et Equifax Inc. :
     1. procèdent à la révision de leurs communications aux personnes qui achètent des produits offerts directement aux consommateurs, ou y accèdent, afin d'obtenir un consentement exprès valable pour toute collecte par ou communication à Equifax Inc. de renseignements personnels, y compris en expliquant clairement la nature et le but de la collecte par et de la communication à Equifax Inc. aux États-Unis de renseignements personnels canadiens. Dans la mesure où les personnes peuvent obtenir des services similaires d'Equifax Canada sans que de tels transferts soient nécessaires, elles devraient être informées de ces options au moment de la demande de consentement.
     2. demandent le consentement explicite et valable de tout client actuel pour la communication future de ses renseignements personnels à Equifax Inc.

Section 5. Sécurité des renseignements personnels d’Equifax Canada

113. Selon le principe (4.7) de la LPRDPE sur les mesures de sécurité, comme il a été décrit dans la section 1 du présent rapport, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Tel qu’il a été décrit à la section 1, les renseignements détenus par Equifax Canada, en tant qu’agence d’évaluation du crédit sont sensibles.
114. Compte tenu du niveau élevé d'intégration des mesures de sécurité d’Equifax Canada et d’Equifax Inc., nous avons examiné les mesures de sécurité d'Equifax Canada relatives aux données qu'elle détient directement afin d'évaluer si des lacunes similaires en matière de sécurité avaient été relevées dans la filiale.

Surveillance

115. Comme il est précisé à la section 1 du présent rapport, un programme de sécurité efficace doit comprendre des mécanismes de surveillance adéquats pour s'assurer que le programme est et demeure approprié, compte tenu de la sensibilité des renseignements détenus et des menaces à la sécurité. Dans le cas d'une organisation qui protège des volumes importants de renseignements personnels sensibles, comme c'est le cas d'Equifax Canada, nous sommes d'avis que les mécanismes de surveillance de haut niveau suivants, ou d'autres mesures équivalentes, seraient nécessaires en vertu du principe de la LPRPDE sur les mesures de sécurité :
     1. une évaluation interne exhaustive de l’ensemble du programme de sécurité (au moins une fois par année) et une vérification externe complète de la sécurité (au moins tous les deux ans);
     2. des essais d'intrusion internes et externes réguliers (fréquence en fonction du contexte, notamment l'évaluation des risques et la complexité), y compris des essais d'intrusion externes exhaustifs au moins une fois par an.
116. Afin d'évaluer les mécanismes de surveillance d'Equifax Canada, nous avons donc demandé à Equifax Canada de nous fournir des copies de tout essai ainsi que de toute évaluation, vérification ou certification interne ou externe de leurs mesures de sécurité, menaces ou risques au cours des cinq dernières années. En réponse, Equifax Canada a transmis les documents suivants :
     1. les certificats de conformité ISO 27001 d'Equifax Inc. à l'échelle mondiale et les documents connexes avant et après l’incident, qui portaient sur Equifax Canada;
     2. les certificats annuels de conformité PCI-DSS d'Equifax Canada et les rapports de vérification connexes;
     3. les rapports annuels d'Equifax Inc. sur les essais d’intrusion externes à l'échelle mondiale et les rapports de correctifs connexes, qui portaient sur Equifax Canada;
     4. les rapports annuels d'essais d’intrusion internes spécifiques à Equifax Canada;
     5. deux évaluations ciblées des risques pour la sécurité, commandées par le service de vérification interne d’Equifax Inc., qui s'est penché notamment sur les systèmes d'Equifax Canada.
117. À notre avis, pour les raisons décrites ci-dessous, la combinaison des mesures susmentionnées (paragraphe 116) était insuffisante pour une organisation qui protège un volume et une sensibilité de renseignements personnels semblables à ceux détenus par Equifax Canada.

Surveillance - Évaluations internes et externes de la sécurité

118. Premièrement, le processus de certification ISO 27001 en place au moment de l’incident était une certification mondiale, effectuée pour Equifax Inc. pour tous ses sites (dans plus de 13 pays, y compris les sites d'Equifax Canada). Le processus a été mené sur la base d’un échantillonnage. En raison de cette méthodologie, les opérations du siège social d'Equifax Canada à Toronto, où se trouve la majorité de son personnel de sécurité des TI, n'avaient pas été échantillonnées depuis au moins 2014. Le processus n'aurait donc pas été en mesure de fournir une rétroaction adéquate pour évaluer et éclairer le programme de sécurité propre à Equifax Canada.
119. Deuxièmement, tel que décrit à la section 3 du présent rapport, la certification en place au moment de l'incident indiquait que les activités mondiales d'Equifax, y compris celles d'Equifax Canada, étaient conformes à la norme ISO 27001 depuis au moins 2011. Toutefois, Equifax Canada était également au courant d'informations contradictoires découlant : i) de tests d'intrusion externes et ii) de deux évaluations externes. Celles-ci décrivaient des pratiques, y compris celles d'Equifax Canada en particulier, qui n'étaient pas conformes à la norme ISO 27001. De plus amples détails sont fournis ci-après (aux paragraphes 122 à 141).
120. Troisièmement, en ce qui concerne la certification PCI-DSS d'Equifax Canada, cette certification se limite à l'évaluation de la protection adéquate des renseignements relatifs aux cartes de paiement et n'est donc pas suffisamment complète pour assurer l'efficacité d'un programme de sécurité global qui doit également protéger les renseignements relatifs aux cartes qui ne sont pas des cartes de paiement. De plus, nous constatons avec inquiétude que ce processus de certification, qui se déroule normalement sur une base annuelle conformément aux normes de l'industrie, n'a pas été effectué pour les systèmes d'Equifax Canada depuis septembre 2016. Equifax Canada a invoqué la nécessité de se concentrer sur l'amélioration de sa sécurité globale pour justifier le report de ce processus de certification.
121. Equifax Canada a déclaré qu'au cours des cinq dernières années, sa surveillance de la sécurité était également appuyée par deux évaluations commandées par Equifax Inc. et effectuées par des cabinets de vérification de premier plan. Ces derniers ont évalué les mesures de sécurité particulières et les sites géographiques identifiés par Equifax Inc. en fonction du profil de risque. Les deux évaluations ont été réalisées en 2015-2016. Bien que ni l'une ni l'autre n'offre le genre de portée globale nécessaire à une évaluation complète d'un programme de sécurité, de telles vérifications ciblées sont des outils importants pour aborder les risques cernés. À notre avis, le fait qu'Equifax Inc. a commandé ces examens ciblés pour mieux comprendre les principaux secteurs de risque est une mesure positive. Cependant, nous constatons avec inquiétude qu'avant ces deux évaluations, aucune autre évaluation des activités d'Equifax Canada ne semble avoir été effectuée au cours des cinq dernières années.

Surveillance - Essais d’intrusion interne et externe

122. Fondamentalement, le test d'intrusion est une attaque simulée autorisée sur les systèmes d'une organisation et est utilisé pour évaluer la sécurité du système. Pour être utiles, les tests d'intrusion doivent s'appuyer sur des outils et des techniques connus et utilisés par les pirates. Les tests d'intrusion externes couvrant Equifax Canada semblent, à notre avis, à la fois complets et d'une fréquence appropriée (annuelle). Le test d'intrusion interne propre à Equifax Canada au moment de l'incident présentait deux lacunes importantes :
     1. Il aurait dû être effectué plus d'une fois par année, compte tenu du contexte, qui comprenait un volume élevé de renseignements sensibles et de risques cernés;
     2. Il ne comprenait pas les éléments de base nécessaires aux tests d'intrusion. Les tests effectués ne comprenaient pas l'utilisation d'outils d'exploitation utilisés par les pirates et, dans l'ensemble, utilisaient un ensemble très limité d'outils et de techniques.
123. À notre avis, pour les raisons énoncées ci-dessus (paragraphes 118 à 122), les mécanismes de surveillance en place pour le programme de sécurité d'Equifax Canada étaient inadéquats.

Gestion de la vulnérabilité

124. Notre enquête a également évalué la gestion de la vulnérabilité d'Equifax Canada à la lumière du fait qu'Equifax Inc. n’a pas su corriger une vulnérabilité connue.
125. Tout d'abord, nous nous sommes penchés sur la question de savoir si Equifax Canada n'avait pas omis d’effectuer le correctif qui n’avait pas été appliqué dans l'incident d'Equifax Inc. Equifax Canada a confirmé qu'elle n'avait aucune infrastructure utilisant le logiciel Apache Strut et qu'elle n'avait donc pas besoin d'appliquer ce correctif.
126. Deuxièmement, nous avons examiné des copies des tests d'intrusion externes et internes des deux années précédentes portant sur les systèmes d'Equifax Canada, en partie pour déterminer s'il existait d'autres vulnérabilités externes non traitées, ce qui indiquerait un problème systémique de gestion de la vulnérabilité chez Equifax Canada.
127. Le programme de gestion de la vulnérabilité d'Equifax Canada a été fortement intégré à celui d'Equifax Inc. Equifax Canada a effectué une analyse des vulnérabilités et des correctifs à l'aide des outils et des procédures fournis par Equifax Inc. et l'étape finale de vérification pour confirmer que les vulnérabilités avaient été corrigées a été effectuée par le personnel d'Equifax Inc. aux États-Unis.
128. Les tests d’intrusion externes d'Equifax à l'échelle mondiale (décembre 2015 et décembre 2016), qui couvraient Equifax Canada, ont tous deux mis en lumière de graves problèmes systémiques. Le rapport de 2015 a conclu que le réseau externe d'Equifax n'atteignait pas ses objectifs de sécurité, et le rapport de 2016 indiquait clairement que la situation demeurait inadéquate un an plus tard, notant certaines constatations déjà signalées à Equifax Inc. En juillet 2017, six mois plus tard, pendant que l’intrusion avait lieu, mais n’avait pas encore été détectée, un rapport de suivi sur les vulnérabilités identifiées indiquait que certaines vulnérabilités à haut risque n'avaient encore été que partiellement corrigées.
129. Compte tenu du degré élevé d'intégration de la gestion de la vulnérabilité d'Equifax Canada et d'Equifax Inc., les lacunes générales relevées dans les rapports de tests d’intrusion ci-dessus indiquent clairement que le programme de gestion de la vulnérabilité d'Equifax Canada était insuffisant au moment de l'incident.
130. Equifax Inc. a également commandé une évaluation du périmètre externe, complétée en janvier 2016, par un cabinet de vérification indépendant, qui s'est concentré, entre autres, sur les activités d'Equifax Canada. Conformément aux résultats généraux des tests d'intrusion susmentionnés, cette évaluation a permis de cerner de multiples risques élevés et moyens pour la sécurité propres à Equifax Canada dans le cadre du programme de gestion des vulnérabilités^{Note de bas de page 14}.
131. L’évaluation a relevé de multiples pratiques inadéquates, notamment pour certains appareils connectés à Internet, et a conclu que, d'après les observations faites, la posture globale de cybersécurité de périmètre d'Equifax observée à divers endroits, y compris Equifax Canada, semblait être inférieure à la moyenne dans l'industrie des technologies financières. Il est important de s'assurer que les appareils accessibles sur Internet n'ont pas de vulnérabilités exploitables pour prévenir les cyberattaques réussies.
132. À la lumière de ce qui précède (paragraphes 127 à 131), nous sommes d'avis que le système de gestion de la vulnérabilité en place pour protéger les renseignements personnels canadiens détenus directement par Equifax Canada était inadéquat compte tenu du volume et de la sensibilité des renseignements personnels détenus.

Séparation des composantes du réseau

133. Premièrement, notre enquête visait à déterminer s'il existait chez Equifax Canada un problème de séparation de composantes du réseau similaire à celui qui a été relevé chez Equifax Inc. En raison de la gamme plus limitée de produits et services offerts directement par Equifax Canada, y compris l'absence d'un portail Internet s'adressant directement aux consommateurs, nous n'avons pas relevé sur le réseau d’Equifax Canada les problèmes précis liés à la séparation des composantes du réseau d'Equifax Inc.
134. Deuxièmement, nous avons examiné la séparation des composantes du réseau d'Equifax Canada de façon plus générale. Au cours de notre enquête, nous n'avons trouvé aucune indication de lacunes en ce qui a trait à la séparation des composantes du réseau.

Mise en œuvre des pratiques de base en matière de sécurité de l'information

135. Premièrement, notre enquête a porté sur l'utilisation par Equifax Canada de tout espace de « partage de fichiers » pour trouver des indicateurs de lacunes de base similaires à celles relevées relativement à l'utilisation par Equifax Inc. de son espace de « partage de fichiers ». Cet examen n'a révélé aucune indication que l'utilisation par Equifax Canada d'un espace de « partage de fichiers » était assortie des types de lacunes relevées chez Equifax Inc.
136. Equifax Canada a indiqué qu'elle a donné à ses employés une formation sur le traitement approprié des données, mais a confirmé qu'elle ne disposait pas, comme Equifax Inc. de matériel de formation précis portant sur l’utilisation adéquate des espaces de « partage de fichiers. ». Equifax Canada a offert volontairement un échantillon de sa formation en sécurité à l’intention du personnel portant sur la sécurité des cartes de paiement. Nous avons été surpris de constater qu'il s'agissait d'un produit prêt à l'emploi conçu pour le personnel de première ligne et les superviseurs qui n'avait pas été adapté au rôle sensiblement différent d'Equifax Canada en ce qui a trait au traitement de l'information sur les cartes de paiement. Plus précisément, Equifax Canada traite les numéros de compte de carte de crédit dans le cadre des renseignements contenus dans le dossier de crédit des consommateurs, et non dans le contexte de l'acceptation du paiement de produits ou services par carte de crédit.
137. Deuxièmement, nous avons examiné les deux rapports d'évaluation fournis par Equifax Canada (énumérés au paragraphe 116 ci-dessus). Ces deux évaluations, effectuées par des cabinets de vérification indépendants, ont fait état de multiples risques élevés pour la sécurité et d'une gamme de risques moyens pour une vaste gamme de pratiques chez Equifax Canada.
138. L'une d'entre elles, une évaluation externe de la sécurité du périmètre, a révélé plusieurs cas de pratiques de sécurité inadéquates (décrites ci-dessus aux paragraphes 130 à 131).
139. L'autre a examiné si les pratiques de certains sites d'Equifax Inc. étaient sûres et conformes aux politiques et aux normes de sécurité mondiales d'Equifax Inc. à l'égard de certains processus opérationnels/de TI nécessaires à la protection des renseignements personnels dans le cadre d'une gamme d'activités diverses.
140. Cette évaluation, qui a examiné les pratiques à l'aide d'un éventail de critères de risque, a révélé un risque global élevé chez Equifax Canada dans plus d'un tiers des processus, et un risque global moyen dans un autre tiers. Le rapport soulignait que l'équipe de sécurité de l'information d'Equifax Canada disposait de ressources limitées et que le personnel opérationnel et des TI avait besoin d’une formation continue et de sensibilisation.
141. Comme nous l'avons déjà mentionné, le fait qu'Equifax Inc., qui a commandé ces deux évaluations, évalue de façon plus détaillée les secteurs de risque cernés constitue une étape positive. Cependant, l'ampleur des lacunes relevées dans les deux rapports, dans une gamme de processus différents, est inacceptable pour une organisation détenant des renseignements personnels de la portée et de la sensibilité de ceux d'Equifax Canada.

Conclusion

142. Pour les raisons décrites ci-dessus, nous sommes d'avis qu'Equifax Canada ne disposait pas de mesures de sécurité adéquates pour la protection des renseignements personnels qu’elle détient dans les trois des domaines suivants :
     1. la surveillance;
     2. la gestion de la vulnérabilité;
     3. la mise en œuvre de pratiques de base en matière de sécurité de l'information.
143. À notre avis, les lacunes précises décrites ci-dessus, individuellement et collectivement, constituent des manquements à la mise en place de mesures de sécurité appropriées compte tenu du volume et de la sensibilité des renseignements personnels détenus par Equifax Canada. Par conséquent, en ce qui concerne la protection des renseignements personnels par Equifax Canada, la plainte est fondée.
144. Depuis l’incident, Equifax Canada a pris une série de mesures pour améliorer son programme de sécurité, notamment :
     1. en augmentant considérablement ses effectifs chargés de la sécurité des TI;
     2. en participant aux efforts déployés par Equifax Inc. pour améliorer les pratiques de sécurité (décrites à la section 1 du présent rapport);
     3. en lançant un processus de certification ISO 27001 propre à Equifax Canada.
145. Bien qu'il s'agisse de mesures positives, à la lumière des graves lacunes constatées, qui sont révélatrices de problèmes systémiques à long terme, nous sommes d'avis que des assurances supplémentaires sont nécessaires pour s'assurer que les mesures de sécurité d'Equifax Canada atteignent un niveau convenable.

Recommandations

146. Comme pour notre analyse à la section 3 du présent rapport, nous avons tenu compte, dans l'examen de nos recommandations, du choix limité dont disposent les Canadiens en ce qui concerne la collecte de renseignements personnels par les organismes de surveillance du crédit en général. Autrement dit, s'ils choisissent de participer à l'économie du crédit, les agences d'évaluation du crédit recueillent généralement leurs renseignements sensibles.
147. Nous avons également tenu compte de la gravité et de la nature systémique des problèmes identifiés, dont plusieurs étaient connus d'Equifax Canada, mais n'ont pas été corrigés en temps opportun. Compte tenu des risques pour les Canadiens, une surveillance à long terme sera essentielle pour rétablir la confiance dans la capacité de surveillance interne d'Equifax Canada et établir une « culture de sécurité » durable. Nous recommandons donc à Equifax Canada de :
     
     Fournir au Commissariat un rapport détaillé de vérification de la sécurité et une attestation, couvrant tous les renseignements personnels canadiens dont elle est responsable, conformes à une norme de sécurité acceptable et effectués par un vérificateur externe compétent tous les deux ans pour une période de six ans.

Section 6. Mesures de sécurité adéquates contre l’utilisation non autorisée à la suite d’une atteinte

148. Selon le principe 4.7.1 de la LPRPDE sur les mesures de sécurité, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. [soulignement ajouté]. À notre avis, cette disposition exige donc que les organisations prennent des mesures d'atténuation appropriées après une atteinte à la vie privée pour se protéger contre toute utilisation non autorisée future des renseignements personnels compromis par des acteurs malveillants.
149. Même s’il y avait des différences quant à la nature des renseignements personnels compromis pour les Canadiens touchés, la plupart d'entre eux ont vu au moins leur nom, adresse, date de naissance et numéro d'assurance sociale compromis. Comme nous l'avons vu à la section 1 du présent rapport, ces identificateurs, combinés, présentent un risque réel d'utilisation non autorisée par des acteurs malveillants à des fins de vol d'identité^{Note de bas de page 15}. Ce risque persiste parce que ces identificateurs sont souvent utilisés aux fins de la validation de l'identité et qu'ils sont relativement permanents.
150. Dans ce contexte, nous nous sommes penchés sur la question de savoir si les mesures de protection offertes par Equifax Canada aux Canadiens touchés étaient suffisantes pour protéger les renseignements personnels compromis contre une telle utilisation non autorisée possible à long terme.
151. Equifax Canada a avisé directement tous les Canadiens qui avaient été identifiés comme étant touchés par l'incident, en leur fournissant une description détaillée des renseignements personnels qui ont été violés dans leur cas particulier. L’entreprise a également offert à tous les Canadiens touchés une surveillance de crédit gratuite auprès d'Equifax Canada pendant un an. Par la suite, elle a prolongé à deux ans la durée de la surveillance du crédit pour les personnes qui s'y étaient inscrites.
152. Pour les consommateurs américains, en plus d'une première année de surveillance du crédit, Equifax Inc. a par la suite prolongé la surveillance gratuite du crédit à deux ans pour les personnes qui s'y sont inscrites. Elle a également offert aux consommateurs un nouveau service gratuit « Lock & Alert » (verrouillage et alerte [traduction]). Le site Web d'Equifax Inc. indique que « Lock & Alert » a été créé avec un but simple : vous permettre de contrôler l'accès à votre dossier de crédit Equifax, à vie et gratuitement. En ligne ou par le biais d'une application, une personne peut verrouiller et déverrouiller son dossier de crédit sur demande. Le verrouillage de leur dossier empêche la plupart des organisations d'accéder à leurs renseignements (par exemple, pour une vérification de crédit). Cela offre une protection durable contre le vol d'identité en limitant la capacité des voleurs d'identité d'obtenir la vérification de crédit normalement requise pour obtenir un prêt au nom d'une personne.
153. Plusieurs plaignants se sont dits préoccupés par les mesures correctives offertes aux Canadiens par Equifax Canada à la suite de l’incident. Parmi les préoccupations, mentionnons l'absence d'une option de gel du crédit (comme l'option Lock & Alert susmentionnée) et la durée de la surveillance du crédit, car les voleurs pourraient tout simplement attendre la fin de la première année de surveillance du crédit pour utiliser l'information. À notre avis, il s'agit là d'une préoccupation valable.
154. Equifax Canada soutient qu'une seule année de surveillance du crédit est raisonnable, puisqu'il s'agit de la période habituelle offerte par les organisations, y compris les institutions du gouvernement fédéral, après une atteinte à la vie privée^{Note de bas de page 16}. Toutefois, étant donné le rôle central que joue Equifax Canada dans l'industrie, qui se concentre sur la collecte, l'utilisation et la communication de renseignements personnels sensibles sur le crédit et connexes au crédit, de telles comparaisons sont d'une pertinence limitée. De plus, Equifax Canada n'a fourni aucune information quant à l'efficacité de la période d'un an pour prévenir le vol d'identité.
155. En ce qui concerne le produit Lock & Alert, Equifax Canada a indiqué que même si une loi a été adoptée pour obliger les agences d’évaluation du crédit à geler le crédit en Ontario, cette loi n'est pas encore en vigueur, mais plutôt dans l’attente de l'élaboration des règlements. Elle a soutenu que si seule Equifax Canada offrait un produit de type Lock & Alert, avant que le gel du crédit ne soit exigé par la loi, les prêteurs pourraient simplement vérifier le crédit d'une personne par l'entremise d'une autre agence d’évaluation du crédit canadienne si elle découvrait que l'accès au dossier de crédit d'Equifax Canada avait été verrouillé par une personne. Elle a donc indiqué qu'elle explorerait la possibilité de créer quelque chose de semblable selon l'évolution du droit canadien.
156. Equifax Canada a également noté que les consommateurs canadiens peuvent déjà mettre une alerte à la fraude de six ans dans leur dossier de crédit Equifax Canada (actuellement offert gratuitement). Un signalement de fraude oblige les organisations qui procèdent à une vérification de crédit à prendre des mesures précises pour communiquer avec la personne afin de vérifier son identité avant d'accorder du crédit. Le défaut de suivre les instructions de l'avis de fraude constituerait une violation des conditions de service d'Equifax Canada auprès de ses membres (organisations) et pourrait entraîner des mesures punitives de la part d'Equifax Canada, si elles étaient signalées. Toutefois, contrairement à un gel du crédit, une alerte à la fraude ne permet pas aux consommateurs d'empêcher l'accès à leur dossier de crédit pour une vérification de crédit non autorisée, et un consommateur ne peut ajouter une alerte à la fraude à son dossier que s'il croit avoir déjà été victime de fraude ou de vol d'identité.
157. Dans ce contexte, pour les raisons susmentionnées, nous sommes d'avis qu'Equifax Canada a l'obligation de faire plus pour offrir une protection durable aux Canadiens touchés qu’une brève période de surveillance du crédit.
     1. Premièrement, comme nous l'avons décrit précédemment, Equifax Canada dispose, en tant qu'agence d’évaluation du crédit (AEC), d'un plus large éventail d'outils pour assurer la protection contre l'utilisation non autorisée d'identificateurs personnels compromis à des fins du vol d'identité de crédit. Cela s'explique en grande partie par sa capacité, à titre d’AEC la plus grande au Canada, d'aider à prévenir les vérifications frauduleuses de crédit.
     2. Deuxièmement, pour les consommateurs des États-Unis, Equifax Inc. elle-même, en reconnaissance du risque persistant que l'incident présente pour les consommateurs et en reconnaissance de sa vaste gamme d'outils en tant qu'AEC, a offert de façon proactive aux consommateurs américains un produit de gel du crédit gratuit et accessible « à vie ». Les Canadiens touchés sont confrontés dans une large mesure aux mêmes risques que les Américains touchés.
     3. Troisièmement, bien que les AEC ne sont pas encore obligées d'offrir des gels de crédit au Canada, il s'agit clairement d'une mesure de protection contre le risque persistant pour les personnes touchées qui découle des manquements d'Equifax Canada et d'Equifax Inc. en matière de mesures de protection et qui convient au rôle central que joue Equifax Canada en tant qu'AEC.
158. Par conséquent, en ce qui concerne les mesures de protection contre l'utilisation non autorisée des renseignements canadiens compromis, la plainte est fondée.

Recommandation

159. Pour les fins de notre recommandation dans la présente affaire, nous avons tenu compte de deux facteurs. Tout d’abord, comme il est décrit au paragraphe 148, à notre avis, l’article 4.7.1 de la LPRPDE exige que les organisations prennent des mesures d'atténuation appropriées après une atteinte à la vie privée pour protéger les renseignements personnels compromis contre toute utilisation non autorisée future par des acteurs malveillants. Ensuite, nous avons tenu compte de la nécessité que des mesures correctives appropriées soient prises par Equifax Canada afin de réduire le risque de préjudice pour les personnes découlant des contraventions liées aux mesures de sécurité, à la conservation, à la responsabilité et au consentement mentionnées aux sections 1 à 5 du présent rapport. Nous avons donc recommandé qu’Equifax Canada offre à toutes les personnes touchées une forme de protection durable contre le vol d’identité; à notre avis, cela serait accompli au moyen d’un service de gel du crédit gratuit ou à faible coût, ainsi que d’une surveillance du crédit sur une période prolongée.

Conclusion

160. Equifax Canada a signé un accord de conformité qui l’engage à mettre en place un éventail de mesures correctives relatives aux contraventions décrites dans le présent rapport. En fonction de ces engagements, en ce qui a trait aux constatations présentées aux sections 1 à 5 du présent rapport, nous concluons que les plaintes sont fondées et conditionnellement résolues. En ce qui a trait à la constatation présentée à la section 6, nous concluons que la plainte est fondée et partiellement résolue, étant donné qu’Equifax Canada s’est engagée à fournir une surveillance du crédit sur une période prolongée d’au moins quatre ans, mais qu’elle n’a pas accepté de fournir un service de gel du crédit gratuit ou à faible coût.

Résumé des recommandations

161. Les recommandations suivantes portent sur les contraventions mentionnées aux sections 1, 2 et 3 du présent rapport, c’est-à-dire les mesures de sécurité et la conservation des renseignements personnels détenus par Equifax Inc., et la responsabilité d’Equifax Canada. Nous avons recommandé à Equifax Canada de :
     1. Mettre en œuvre une procédure pour tenir à jour l'entente écrite avec Equifax Inc. qui couvre tous les renseignements personnels canadiens sous la gestion d'Equifax Canada recueillis par Equifax Inc. et communiqués à Equifax Inc.
     2. Mettre en place un solide programme de surveillance par Equifax Canada du respect des exigences de l'entente, ainsi qu’un cadre structuré pour régler tout problème qui pourrait survenir en vertu de cette entente.
     3. Relever les renseignements personnels de Canadiens qui ne devraient plus être conservés par Equifax Inc. selon son calendrier de conservation et les supprimer.
     4. Tous les deux ans, pour une période de six ans, fournir au Commissariat :
        1. un rapport d'Equifax Canada détaillant ses activités de surveillance de la conformité à l'entente décrite au point b. ci-dessus;
        2. un rapport de vérification et une attestation, couvrant tous les renseignements personnels de Canadiens traités par Equifax Inc., conformes à une norme de sécurité acceptable et effectués par un vérificateur externe compétent;
        3. une évaluation par un tiers des pratiques de conservation d'Equifax Inc. portant sur tous les renseignements personnels de Canadiens traités par Equifax Inc.
162. Les recommandations suivantes portent sur les contraventions mentionnées à la section 5 du présent rapport, c’est-à-dire les mesures de sécurité des renseignements personnels d’Equifax Canada. Nous avons recommandé à Equifax Canada de :
     1. Fournir au Commissariat un rapport détaillé de vérification de la sécurité et une attestation, couvrant tous les renseignements personnels canadiens dont elle est responsable, conformes à une norme de sécurité acceptable et effectués par un vérificateur externe compétent tous les deux ans pour une période de six ans.