Des déchets trouvés sur l'autoroute renferment les renseignements personnels de clients d’une entreprise

Résumé d’incident no 7

Incident

Un tiers a communiqué avec le Commissariat pour l’informer que des documents contenant des renseignements financiers de nature délicate semblaient disséminés sur un long tronçon d’une autoroute.

Après avoir déterminé quelle organisation était responsable des documents, nous l’avons rapidement informée de la situation. L’organisation a expliqué avoir placé la plupart des dossiers de ses clients et documents financiers dans un grand nombre de boîtes scellées au moment de la fermeture de l’un de ses magasins. Ces boîtes ont été transférées de façon sécuritaire par une entreprise de gestion et de déchiquetage de documents vers l’une de ses installations de stockage.

Les documents relatifs aux clients qui ne se trouvaient pas dans les boîtes scellées auraient dû être détruits de façon sécuritaire, mais certains d’entre eux ont été placés par erreur dans une poubelle, puis dans un camion à destination d’une décharge. Ils seraient tombés du camion pendant le transport pour se retrouver partout sur l'autoroute. L’entreprise a confirmé qu’elle avait mis en place des procédures pour détruire les documents relatifs aux clients, mais que ces procédures n’avaient pas été suivies dans ce cas.

L’entreprise n’a pu confirmer quelle quantité de données provenant du magasin fermé avait été détruite de façon sécuritaire. Elle n’a pas pu dire non plus, d’après les documents transportés vers la décharge, combien d’entre eux contenaient des renseignements personnels. Elle n’a donc pas été en mesure d’identifier les personnes touchées par l’incident pour les en aviser.

Résultat

Cet incident est attribuable à une erreur humaine. À la lumière de l’évaluation des risques et des avantages effectuée dans ce dossier, il a été convenu qu’aucune autre mesure ne pouvait être prise pour atténuer le préjudice causé par l’incident puisque le magasin avait déjà fermé ses portes.

Observation finale

Ce cas illustre clairement les conséquences non voulues d’une élimination inadéquate des renseignements personnels par une entreprise qui met fin à ses activités. Les organisations prennent de plus en plus de mesures pour se protéger contre les menaces auxquelles la technologie expose les renseignements personnels dont elles sont responsables. Pourtant, ces organisations doivent également tenir compte des menaces physiques qui peuvent elles aussi entraîner des atteintes graves à la sécurité des données. L’incident montre également que les politiques et les procédures d’une organisation visant un traitement approprié des renseignements personnels ne sont pertinentes que si elles sont mises en pratique. La nécessité d’appliquer ces politiques et procédures perdure tout au long du cycle de vie d’une organisation, entre autres lorsqu’elle ferme un magasin ou met fin à ses activités.

Pour obtenir de plus amples renseignements, les organisations devraient consulter le document d’orientation du Commissariat intitulé Conservation et retrait des renseignements personnels : Principes et pratiques exemplaires.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :