Lettre de conformité au Commissariat à la protection de la vie privée du Canada (le Commissariat) par WestJet, une société en nom collectif de l’Alberta (WestJet)
Conditions générales
- Le Commissaire à la protection de la vie privée du Canada (le Commissaire) veille au respect de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE, ou la Loi), qui régit la collecte, l’utilisation et la communication de renseignements personnels par les organisations du secteur privé dans le cadre d’activités commerciales.
- Le 5 août 2025, au titre du paragraphe 11(2) de la LPRPDE, le Commissaire a pris l’initiative de lancer une enquête (dossier PIPEDA-051877) sur une atteinte à la vie privée ayant touché les systèmes de WestJet le ou vers le 12 juin 2025 (l’atteinte), particulièrement en ce qui concerne le caractère adéquat des mesures de sécurité qui étaient en place à WestJet au moment de l’atteinte ainsi que le caractère adéquat des avis qu’elle a envoyés aux individus touchés.
- WestJet a accepté de respecter les engagements énoncés dans la présente lettre de conformité (la lettre) à la demande du Commissaire. Dans la présente, WestJet confirme les mesures qu’elle a déjà prises pour protéger davantage les renseignements personnels depuis l’atteinte et s’engage à fournir des renseignements supplémentaires et à accomplir certaines tâches supplémentaires liées à l’atteinte.
- Lorsque le Commissaire sera convaincu que WestJet a respecté tous les engagements énoncés dans la lettre, l’enquête à l’initiative du Commissaire sera abandonnée conformément à l’alinéa 12,2(1)c) de la LPRPDE, puisque l’organisation aura fourni une réponse juste et équitable. Le Commissaire peut toujours, à sa discrétion, poursuivre son enquête ou en étendre la portée, en vertu du paragraphe 11(2) de la LPRPDE, s’il juge que WestJet n’a pas respecté les engagements énoncés dans la présente lettre ou si de nouvelles préoccupations en matière de protection de la vie privée relatives à la situation sont portées à son attention. Si l’enquête à l’initiative du Commissaire a été abandonnée et que de nouvelles préoccupations en matière de protection de la vie privée sont portées à l’attention du Commissaire, il peut initier une nouvelle enquête conformément au paragraphe 11(2) de la LPRPDE.
- Le Commissaire peut demander à WestJet de fournir des renseignements et des documents afin de vérifier qu’elle respecte les engagements qu’elle a pris dans la présente lettre.
- Le Commissaire peut demander à WestJet de prendre d’autres engagements après avoir examiné toute information supplémentaire qu’il reçoit relativement à cette affaire.
- Le Commissaire peut communiquer ou rendre publique la présente lettre ou une partie de celle-ci en vertu de l’article 20 de la LPRPDE.
- Il est entendu que le Commissaire estime que rien dans la présente lettre n’empêche le Commissaire d’exercer les attributions que lui confère la Loi ou ne lui impose de restrictions à cet égard.
- La présente lettre ne constitue pas une reconnaissance de responsabilité ou de faute par WestJet et ne doit pas être interprétée en ce sens, ni une conclusion ou un rapport de conclusions du Commissaire, au titre de l’article 13 de la LPRPDE, selon laquelle WestJet aurait enfreint ou enfreindrait la LPRPDE.
Vue d’ensemble de l’incident
Les faits relatifs à l’atteinte, tels qu’ils sont connus à la date de la signature de la présente lettre et tels qu’ils ont été confirmés par WestJet, sont les suivants :
- Le 12 juin 2025, WestJet a été touchée par un incident de cybersécurité au cours duquel un tiers non autorisé (auteur malveillant) a utilisé des tactiques de piratage psychologique pour obtenir l’accès au compte utilisateur d’un employé disposant de privilèges administratifs. L’auteur malveillant s’est fait passer pour l’employé et a utilisé les renseignements personnels de celui-ci. Il a ainsi pu contourner les mesures de sécurité, dont l’authentification multifacteur (AMF), et accéder aux renseignements personnels stockés dans le réseau de WestJet. Il s’est ensuite déplacé de manière latérale dans les systèmes de WestJet pour déployer un rançongiciel, obtenir le contrôle des serveurs virtuels, puis accéder à des données conservées dans le nuage de WestJet et les exfiltrer.
- WestJet a constaté l’atteinte le jour même. L’organisation a rapidement pris des mesures pour contenir l’atteinte et a publié un avis public sur son site Web le 13 juin 2025 Note de bas de page 1. Dans les jours suivants, WestJet a mis à jour cet avis en fonction des nouveaux renseignements disponibles.
- Le 14 juin 2025, WestJet a signalé l’atteinte au Commissariat.
- L’atteinte touchait les renseignements personnels d’environ 5 164 000 employés et clients canadiens de WestJet. La nature des renseignements touchés par l’atteinte variait d’une personne à l’autre, en fonction des interactions de chacune avec WestJet. Il pouvait s’agir, selon le cas, du nom, de la date de naissance, de l’adresse courriel, de l’adresse postale, du numéro de téléphone, du sexe, de renseignements relatifs aux réservations de voyage récentes ou de renseignements sur le passeport ou d’autres pièces d’identité délivrées par le gouvernement.
- WestJet a confirmé qu’aucune donnée relative aux cartes de crédit ou de débit (numéro, date d’expiration, code de vérification de carte [CVC]), aucun mot de passe pour invités ni aucun numéro d’assurance sociale n’avait été obtenu dans le cadre de cette atteinte.
- Le 23 juillet 2025, WestJet a commencé à envoyer des avis directement à tous les employés touchés par l’atteinte.
- Le 7 août 2025, WestJet a commencé à envoyer des avis directement aux autres individus touchés par l’atteinte.
- WestJet a également donné un avis indirect au sujet de cette atteinte en affichant un bandeau dans le haut de son site Web, en publiant plusieurs messages dans la section Salle de presse de son site Web et en créant une nouvelle page WebNote de bas de page 2 consacrée à l’atteinte.
- WestJet a veillé à ce que les individus touchés par l’incident puissent recevoir des renseignements supplémentaires sur la situation. WestJet a établi un centre d’appels spécialisé par l’intermédiaire d’un tiers, a publié une FAQ détaillée sur son site Web et est restée disponible pour répondre aux questions des individus touchés par l’entremise de son centre d’appels de soutien à la clientèle.
- WestJet a offert un abonnement de 24 mois aux services de surveillance du crédit et de protection contre le vol d’identité. L’organisation a mis au point un outil de recherche à usage interne pour veiller à ce que les individus touchés qui ont été avisés indirectement de l’atteinte à la vie privée puissent accéder aux mêmes ressources de surveillance du crédit que les individus qui ont été avisés directement.
- Lorsque les individus touchés étaient mineurs, WestJet a avisé les parents et les tuteurs des mesures qu’ils pouvaient prendre pour ajouter le numéro d’assurance sociale de l’individu mineur à une base de données d’alertes de risque élevé de fraude, étant donné que les individus mineurs ne sont pas admissibles aux services de surveillance du crédit.Note de bas de page 3
Dans sa déclaration initiale au Commissariat et dans ses observations subséquentes, WestJet a expliqué qu’elle avait pris plusieurs mesures pour corriger la situation, notamment celles-ci Note de bas de page 4 :
- Protection de l’identité et de l’accès : Contrôles de l’identité et de l’accès renforcés, réinitialisation complète des identifiants, exigences d’AMF resserrées, vérification de l’identité améliorée et mesures de protection plus strictes pour l’accès à distance et privilégié. En particulier, WestJet a :
- Mis en œuvre l’AMF obligatoire pour les comptes de Récompenses WestJet (comptes d’invités externes) et resserré les exigences d’AMF pour les comptes employés et entrepreneurs, y compris pour les comptes privilégiés, pour lesquels l’entreprise est passée de méthodes d’AMF moins sécurisées à des méthodes d’AMF plus sécurisées, comme des applications d’authentification sécurisées et des clés électroniques;
- Revu ses privilèges et processus d’accès aux systèmes afin de renforcer les pratiques exemplaires et les besoins opérationnels en matière de sécurité, notamment par la mise en œuvre de contrôles d’accès fondés sur le « droit d’accès minimal » et sur les rôles;
- Mis à jour ses contrôles d’accès fondés sur le risque pour s’assurer que les décisions relatives à la vérification de l’identité et aux autorisations d’accès sont prises en tenant compte du comportement de l’utilisateur dans le contexte et des signaux de risque de sécurité, et mis en œuvre un processus vérifié exigeant la vidéo en direct ou la reconnaissance en personne pour la grande majorité des réinitialisations des identifiants et des renseignements d’AMF des employés, sous réserve d’exceptions très limitées sur le plan opérationnel.
- Renforcement de l’infrastructure et du réseau (c’est-à-dire la mise en œuvre de mesures de sécurité renforcées) : Mise en œuvre de mesures supplémentaires pour renforcer les systèmes et l’infrastructure essentiels, y compris les services d’annuaire, les réseaux et les appareils des employés; renforcement des mesures de protection pour les plateformes et les applications opérationnelles sensibles.
- Détection des menaces et réponse : Renforcement des capacités avancées de détection et de réponse, amélioration des opérations de sécurité vingt-quatre heures sur vingt-quatre, sept jours sur sept, soutien spécialisé pour la chasse aux menaces afin d’améliorer et d’accélérer la détection et le confinement des menaces possibles ainsi que les enquêtes. Les outils de surveillance et de détection utilisent maintenant l’analyse comportementale pour détecter les activités anormales des utilisateurs, ainsi que des déclencheurs supplémentaires de journalisation et d’alerte pour accroître la surveillance des activités potentiellement non autorisées, le tout soutenu par un processus structuré d’acheminement aux échelons supérieurs et une journalisation élargie pour accroître la visibilité dans l’ensemble du réseau. WestJet effectue aussi régulièrement des tests de pénétration pour mesurer l’efficacité de ses mesures de contrôle.
- Gouvernance, communication et sensibilisation : Amélioration des communications, de l’orientation et de la mobilisation des parties prenantes à l’échelle de l’organisation afin de renforcer la sensibilisation à la sécurité et de clarifier les attentes. WestJet a notamment mis à jour son programme interne de sensibilisation et de formation en matière de protection de la vie privée et de cybersécurité pour mettre davantage l’accent sur la formation à la sécurité basée sur les rôles et adaptée aux niveaux d’accès techniques et aux profils de risque. La formation comprend des rappels sur la force des mots de passe ainsi que des conseils sur la cybersécurité pour les employés ayant un accès privilégié, sur la façon de détecter les attaques par hameçonnage et par piratage psychologique et d’y répondre et sur la façon de signaler les problèmes en matière de cybersécurité et de protection de la vie privée.
Engagements
Dans la présente lettre, WestJet s’engage volontairement à prendre les mesures supplémentaires énoncées ci-dessous pour veiller à ce que les mesures de sécurité mises à jour soient adéquates, continuer à gérer les risques liés à l’atteinte et prévenir les atteintes futures afin de se conformer aux obligations qui lui incombent au titre de la LPRPDE.
Évaluation de la sécurité externe
-
- D’ici le 7 août 2026, à la demande du Commissaire, WestJet fournira au Commissaire un rapport sommaire confidentiel d’une évaluation de la sécurité qui aura été effectuée par une entreprise d’évaluation de la sécurité externe réputée et indépendanteNote de bas de page 5 et, à la demande du Commissaire, tiendra une séance d’information technique confidentielle pour répondre à toute question ou demande de clarification. En fournissant ce rapport sommaire confidentiel, WestJet ne renonce pas à ses privilèges sur l’évaluation. Ce rapport sommaire décrira l’évaluation qu’aura faite l’entreprise des mesures de sécurité de l’information de WestJet, y compris celles qui ont été mises à jour à la suite de l’atteinte, et comprendra au moins les éléments suivants :
- une description des améliorations apportées aux mesures de protection depuis l’atteinte;
- une évaluation de l’efficacité des mesures prises actuellement par WestJet pour protéger les renseignements personnels, pour prévenir et détecter les menaces et les risques de même nature que ceux qui ont donné lieu à l’atteinte et pour réagir à ces menaces et à ces risques;
- toute autre lacune que présentent les mesures de sécurité évaluées et les processus d’avis;
- des solutions recommandées et l’échéancier pour combler ces lacunes.
- D’ici le 7 septembre 2026, pour toute recommandation qui pourrait être incluse dans le rapport sommaire confidentiel mentionné à la partie 1., WestJet informera le Commissaire, de manière confidentielle, de ce qui suit (et ce faisant ne renonce pas au privilège sur l’évaluation) :
- si l’organisation a accepté chacune des recommandations;
- pour chaque recommandation que l’organisation n’a pas acceptée, les raisons de son refus et les mesures qu’elle propose de mettre en œuvre à la place (et le calendrier de mise en œuvre) pour atténuer les risques cernés;
- pour chaque recommandation acceptée par l’organisation,
- si la recommandation a été pleinement mise en œuvre;
- les mesures déjà prises par WestJet pour mettre en œuvre la recommandation;
- pour les recommandations qui n’ont pas encore été entièrement mises en œuvre, un plan qui précise les mesures que WestJet va prendre pour les mettre en œuvre et les dates auxquelles ces mesures seront achevées.
- D’ici le 7 août 2026, à la demande du Commissaire, WestJet fournira au Commissaire un rapport sommaire confidentiel d’une évaluation de la sécurité qui aura été effectuée par une entreprise d’évaluation de la sécurité externe réputée et indépendanteNote de bas de page 5 et, à la demande du Commissaire, tiendra une séance d’information technique confidentielle pour répondre à toute question ou demande de clarification. En fournissant ce rapport sommaire confidentiel, WestJet ne renonce pas à ses privilèges sur l’évaluation. Ce rapport sommaire décrira l’évaluation qu’aura faite l’entreprise des mesures de sécurité de l’information de WestJet, y compris celles qui ont été mises à jour à la suite de l’atteinte, et comprendra au moins les éléments suivants :
Les recommandations (ou le fait qu’aucune recommandation n’ait été formulée, le cas échéant) et la mise en œuvre des mesures visant à y donner suite seront examinées par le Commissaire, qui décidera si les mesures satisfont adéquatement aux exigences de la LPRPDE et constituent une réponse juste et équitable à l’enquête à l’initiative du Commissaire.
Signature
En signant la présente lettre, WestJet s’engage à respecter les conditions qui y sont énoncées.
SIGNÉE à la ville de Victoria, dans la province de la COLOMBIE-BRITANNIQUE, ce 8e jour de juillet 2026.
- Date de modification :