Communiqué

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Mystère entourant une possible atteinte à la protection des données en raison du manque de responsabilisation d'une banque

Le Commissariat à la protection de la vie privée se dit satisfait des mesures qu'a prises la CIBC pour corriger les faiblesses dans les politiques et les procédures de sécurité de la banque en ce qui concerne le traitement des renseignements personnels

Ottawa, le 27 novembre 2008 — Près d'un demi-million de personnes ne sauront probablement jamais si leurs renseignements personnels ont été compromis lors d'une atteinte à la protection des données survenue à la Banque Canadienne Impériale de Commerce (CIBC), selon le Commissariat à la protection de la vie privée du Canada.

La commissaire a entrepris une enquête après que la banque l'a informée de la disparition d'un disque dur contenant les renseignements personnels et les données financières de quelque 470 000 clients de la société de fonds mutuels Talvest, à l'époque une filiale de CIBC – Fonds mutuels. Le grand public et les médias se sont aussi grandement intéressés à cette affaire.

L’enquête a démontré que la banque ne pouvait pas confirmer si les renseignements personnels avaient bel et bien été transférés sur un disque dur.

« Il est inquiétant que la CIBC soit incapable de déterminer si on a bel et bien effectué un transfert de données sur un disque dur externe », précise la commissaire adjointe Elizabeth Denham.

En décembre 2006, dans le cadre d'un projet de consolidation des serveurs, la CIBC a transféré les fichiers de Talvest de Montréal à son centre informatique de la région de Toronto. Les fichiers de 470 752 comptes de clients actuels et anciens de Talvest contenaient, selon le cas, des noms de clients, des adresses, des signatures, des dates de naissance, des numéros de comptes bancaires, des détails sur les bénéficiaires et des numéros d'assurance sociale.

Les responsables ont décidé que la quantité de données était trop grande pour qu'on les transmette par l'entremise d'un réseau interne, ce qui était pratique courante à la banque. La CIBC a donc décidé de copier les fichiers sur deux disques durs identiques – l'un serait acheminé par voie terrestre, l'autre par avion.

La livraison par avion est arrivée à bon port sans incident, mais on a découvert que le paquet envoyé par voie terrestre était vide. Rien n'indique qu'il ait été manipulé sans autorisation.

La CIBC a avisé le Commissariat à la protection de la vie privée et la police après avoir cherché en vain le disque dur. Ce dernier n'a toujours pas été retrouvé.

Aucune preuve n'indique qu'on ait accédé indûment aux renseignements personnels que contenait le disque dur ou qu’on les ait utilisés d’une manière inappropriée. Autre fait à noter : le messager qui est passé prendre le colis à Montréal l'avait trouvé extrêmement léger et avait même demandé s'il contenait quelque chose.

La CIBC estime donc qu'il est fort possible que le colis ait été vide depuis le début. Malheureusement, il est impossible d'en être certain, puisque le système informatique de la CIBC n'a pas consigné si la copie des données sur le dispositif de stockage portatif avait été faite, non plus que le moment où la copie aurait été effectuée ni la personne qui s'en serait chargée. On remarque aussi un manque de supervision du processus de transfert de données.

« Si la CIBC avait suivi ses politiques et processus ou avait disposé d'un moyen technique pour déterminer si le transfert sur le second disque dur avait eu lieu, il n'aurait probablement pas été nécessaire de faire des démarches additionnelles », précise Mme Denham. « Que les renseignements personnels de plus de 470 000 personnes aient été ou non transférés sur un disque dur ne devrait pas rester un mystère. »

L'enquête du CPVP a également éveillé des préoccupations à l'idée que les renseignements personnels transférés n'avaient pas été chiffrés, malgré la possibilité que des parties non autorisées puissent accéder aux données et les consulter. Depuis, la CIBC a adopté une politique de chiffrement de l'information transférée à l'extérieur de la banque.

La banque a également instauré de nombreuses mesures de redressement pour corriger les faiblesses relatives au contenu et à l’application de ses politiques et procédures de sécurité, en particulier en ce qui a trait à la manipulation et au déplacement des données confidentielles.

Dans l'ensemble, la commissaire adjointe se dit satisfaite de la réaction de la CIBC. La plainte – initiée du propre chef de la commissaire – est jugée fondée et résolue.

Il est très important que les entreprises notifient le CPVP de toute atteinte à la protection des données personnelles. Les lignes directrices du CPVP sur la notification en cas d'atteinte à la vie privée sont disponibles en ligne au www.priv.gc.ca.

Un résumé plus détaillé des conclusions de l'enquête sur l'incident de la CIBC-Talvest est également disponible sur le site Web du CPVP.

La commissaire à la protection de la vie privée du Canada est mandatée par le Parlement pour agir à titre d’ombudsman, de défenseure et de gardienne en matière de droit à la vie privée et à la protection des renseignements personnels des Canadiennes et Canadiens.

— 30 —

Pour obtenir de plus amples renseignements ou pour toute demande d’entrevue avec les médias, communiquez avec :

Anne-Marie Hayden
Commissariat à la protection de la vie privée du Canada
Tél : 613-995-0103
Courriel : ahayden@priv.gc.ca

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :