Communiqué

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Une vérification révèle que les données des clients de Bureau en gros courent toujours des risques à la suite d’atteintes à la protection des données

Même si Bureau en Gros Ltée s’était engagée dans le passé à régler les problèmes liés à la revente des dispositifs de stockage de données retournés, une vérification réalisée par le Commissariat à la protection de la vie privée du Canada révèle que certains dispositifs retournés destinés à la revente contiennent toujours des données stockées par leur propriétaire précédent.

OTTAWA, le 21 juin 2011 — Selon une vérification portant sur la protection de la vie privée, Bureau en Gros n’a pas supprimé toutes les données de clients se trouvant dans des dispositifs de stockage retournés, tels des ordinateurs portatifs et des disques durs USB, destinés à la revente. Ce problème récurrent met en danger les renseignements personnels des clients, a indiqué Jennifer Stoddart, la commissaire à la protection de la vie privée du Canada.

« Les conclusions de la vérification sont particulièrement décevantes compte tenu du fait que nous avions déjà enquêté sur deux plaintes déposées contre Bureau en gros au sujet de dispositifs de stockage de données retournés, et que l’entreprise s’était alors engagée à prendre les mesures correctives nécessaires », a déclaré la commissaire Stoddart.

« À la suite de nos enquêtes, Bureau en gros avait renforcé ses procédures et ses mécanismes de contrôle. Or, la vérification a démontré que ceux-ci n’étaient pas appliqués de manière uniforme et n’étaient pas toujours efficaces, ce qui fait courir des risques importants aux renseignements personnels des clients. »

Un résumé des conclusions de la vérification figure dans le rapport annuel 2010  au Parlement concernant la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), que la commissaire a déposé aujourd’hui.

Dans le cadre de la vérification de Bureau en gros, ont été soumis à des tests les dispositifs de stockage de données destinés à la revente (c’est-à-dire des ordinateurs, des ordinateurs portatifs, des disques durs USB et des cartes mémoire) qui avaient été nettoyés et restaurés. Plus du tiers des 149 dispositifs de stockage de données testés (soit 54 dispositifs) contenaient encore des données sur les clients et, dans certains cas, des renseignements personnels de nature très délicate, comme des numéros d’assurance sociale, de carte d’assurance-maladie et de passeport, ainsi que des relevés de notes, des renseignements bancaires et des dossiers d’impôt.

Selon les conclusions de la vérification, même si les pratiques en matière de confidentialité de l’entreprise sont généralement bonnes, Bureau en gros n’a pas respecté ses obligations en vertu de la loi fédérale sur la protection des renseignements personnels applicable au secteur privé en ce qui a trait aux dispositifs de stockage de données retournés.

Le Commissariat à la protection de la vie privée a recommandé à Bureau en gros de revoir ses procédures relatives à la suppression des renseignements se trouvant dans les dispositifs de stockage de données et de mettre en place des mesures de contrôle renforcées afin d’éliminer toute possibilité que des renseignements personnels soient communiqués à des tiers.

Lorsqu’elle a réagi aux recommandations du Commissariat, Bureau en gros a déclaré qu’elle était alors en train de tester différents moyens de supprimer les données se trouvant sur des produits retournés, et ce sans détruire ni endommager les disques durs ou les systèmes d’exploitation.

« Il est décevant de constater que le problème à la source de notre vérification n’ait pas été résolu », a déclaré la commissaire Stoddart. Si Bureau en gros est incapable de supprimer toutes les données de clients qui se trouvent sur le dispositif d’un fabricant en particulier, elle ne devrait pas revendre ce dispositif. »

Le Commissariat à la protection de la vie privée a demandé à Bureau en gros de lui soumettre, d’ici le 30 juin 2012, un rapport rédigé par un tiers indépendant précisant de quelle manière l’entreprise s’est conformée aux recommandations formulées à la suite de la vérification.

Le rapport annuel 2010 de la commissaire comprend également une section portant sur la protection des renseignements personnels en ligne, notamment une enquête sur une plainte visant un important site de rencontre en ligne.

Au cours de l’enquête, le Commissariat à la protection de la vie privée s’est dit préoccupé du fait que eHarmony, une entreprise établie aux États-Unis, n’offre pas à ses utilisateurs l’option de retirer de manière définitive leurs renseignements personnels du site. L’entreprise s’est alors engagée à offrir à ses utilisateurs la possibilité de supprimer totalement leur compte et à établir une période de conservation de deux ans pour les données personnelles stockées dans des comptes inactifs. Le Commissariat s’est dit satisfait de la réponse de l’entreprise.

« Les enjeux de ce type gagnent en importance en raison du rôle central que joue Internet dans notre quotidien. La protection de la vie privée des utilisateurs de sites de rencontre en ligne — où tant de couples se forment de nos jours — constitue une question d’intérêt général », affirme la commissaire à la protection de la vie privée, Jennifer Stoddart.

Le rapport annuel contient également le résumé de plusieurs autres enquêtes et activités menées par le Commissariat à la protection de la vie privée en 2010.

Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d’agir à titre d’ombudsman et de protecteur du droit à la vie privée au Canada. La commissaire est responsable de l’application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique aux activités commerciales qui ont lieu dans les provinces de l’Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l’Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE s’applique aux entreprises du secteur privé sous réglementation fédérale ainsi qu’aux renseignements personnels transmis dans le cadre d’opérations interprovinciales et internationales.

- 30 -

Pour obtenir de plus amples renseignements, veuillez communiquer avec (à l’intention des médias seulement) :

Valerie Lawton
Commissariat à la protection de la vie privée du Canada
Courriel : Valerie.Lawton@priv.gc.ca

Date de modification :