Document d’information

Perte d’un disque dur contenant les renseignements personnels de bénéficiaires de prêts d’études canadiens

OTTAWA, le 25 mars 2014 — En 2012, Emploi et Développement social Canada (EDSC), anciennement Ressources humaines et Développement des compétences Canada, a perdu un disque dur portatif contenant les renseignements personnels de 583 000 bénéficiaires de prêts d’études canadiens. Le disque dur contenait également des renseignements personnels sur 250 employés d’EDSC. EDSC n’a pas pu déterminer si la disparition du disque dur était attribuable à une erreur humaine ou si elle découlait d’un geste délibéré visant à nuire.

Que s’est-il passé?

Dans son enquête, le Commissariat à la protection de la vie privée du Canada a cerné des faiblesses en ce qui a trait à quatre types de mesures de contrôle, lesquelles constituent les piliers d’une saine gestion des renseignements personnels.

  1. Mesures de contrôle physiques
    • Les politiques d’EDSC exigent que les dispositifs portatifs comme celui en cause soient rangés dans un classeur muni d’un verrou lorsqu’ils ne sont pas utilisés. Or, notre enquête a permis d’établir que le disque dur était souvent laissé sans protection pour des périodes prolongées. Même lorsque le disque dur était rangé dans un classeur, ce classeur n’était pas verrouillé et se trouvait dans un bureau ouvert.
    • EDSC n’a pas noté le numéro de série du disque dur et n’en a assigné la responsabilité à aucun employé.
  2. Mesures de contrôle technologiques
    • Les politiques d’EDSC ne considèrent pas de tels dispositifs portatifs comme des dispositifs posant un risque élevé d’atteinte à la sécurité des renseignements personnels. Par conséquent, EDSC n’a procédé à aucune évaluation du risque sur le plan de la sécurité pour ce disque dur.
    • EDSC a laissé aux employés le soin de décider de chiffrer ou non les données de nature délicate conservées sur les dispositifs de stockage.
    • Les données de nature délicate conservées sur le disque dur n’étaient protégées par aucun mot de passe ou mécanisme de cryptage.
  3. Mesures de contrôle administratives
    • EDSC ne possédait aucune liste des dispositifs de stockage portatifs utilisés par l’unité responsable des prêts étudiants.
    • EDSC ne faisait aucun suivi de l’utilisation du disque dur par les employés.
    • Aucune véritable mesure de contrôle n’avait été mise en place pour les renseignements personnels stockés sur le disque dur.
    • EDSC ignorait la teneur exacte de l’information sauvegardée sur le disque dur portatif lorsqu’on a découvert sa disparition.
  4. Mesures de contrôle liées à l’application des mesures de sécurité par le personnel
    • Le personnel concerné d’EDSC n’avait pas une bonne compréhension du contenu du disque dur, de sa nature délicate et des risques pour les renseignements personnels que pose l’utilisation de tels dispositifs de stockage portatifs.
    • Les employés d’EDSC n’étaient pas suffisamment conscients des mesures de gestion de l’information, des responsabilités en matière de sécurité, des mesures de contrôle relatives aux technologies de l’information et des menaces relatives aux renseignements personnels, des sujets qui sont tous abordés dans les politiques ministérielles.

Résumé

Au moment de la disparition du disque dur, EDSC s’était doté de politiques sur la protection des renseignements personnels et la sécurité qui, sur papier, respectaient les exigences du gouvernement en matière de protection des renseignements personnels. Nous croyons cependant qu’EDSC n’a pas su transposer ses propres politiques en pratiques opérationnelles éclairées.

Que recommande le Commissariat à la protection de la vie privée du Canada?

Au terme de son enquête, le Commissariat à la protection de la vie privée du Canada conclut que la plainte déposée contre EDSC en vertu de la Loi sur la protection des renseignements personnels est fondée, ce qui signifie qu’il y a eu infraction à la Loi. Dans les conclusions du rapport final, on formule dix recommandations, dont les suivantes :

  • Suivi régulier des mesures de contrôle physiques, car elles constituent un élément-clé du programme de sécurité d’EDSC;
  • Utilisation des processus établis pour cerner et évaluer les nouveaux risques relatifs à la protection des renseignements personnels et à la sécurité;
  • Réalisation d’un examen exhaustif de l’ensemble du matériel d’EDSC, afin de vérifier que la cote de sécurité appropriée a été attribuée à tous les renseignements personnels ainsi qu’à tous les dispositifs sur lesquels ils sont stockés;
  • Utilisation de dispositifs de stockage portatifs en dernier recours seulement, et protection de tous les renseignements personnels stockés sur des dispositifs portatifs par des technologies efficaces, par exemple, le cryptage des données;
  • Tenue d’un inventaire de ce type de matériel, par exemple à l’aide de codes à barres, afin d’en permettre le suivi;
  • Inspections ou examens de sécurité à intervalles réguliers de ces dispositifs afin de vérifier que les renseignements personnels sont bien protégés;
  • Mise en œuvre d’une formation élargie et d’un programme de sensibilisation traitant de la sécurité et de la confidentialité. La participation à ces cours devrait être obligatoire et faire l’objet d’un suivi;
  • Prise de mesures pour faire le suivi des pratiques de gestion des renseignements personnels.

Qu’a fait EDSC?

EDSC a accepté toutes les recommandations du Commissariat à la protection de la vie privée du Canada et a pris des mesures importantes pour mettre en œuvre les changements nécessaires. Voici les mesures prises pour donner suite à six des recommandations indiquées ci-dessus :

  • Logiciel de sécurité empêchant l’utilisation de dispositifs de stockage portatifs sur les ordinateurs sans l’autorisation de la direction;
  • Rondes de sécurité dans les bâtiments d’EDSC et élaboration d’un cadre de sécurité;
  • Examen de tout le matériel, suivi de la destruction des documents éphémères, puis de la classification des documents restants au niveau de sécurité adéquat;
  • Gestion centralisée de tous les dispositifs de stockage portatifs. Les ordinateurs portatifs, les clés USB et les disques durs portatifs font l’objet d’un suivi par numéro de série et d’une surveillance lorsqu’ils sont branchés au réseau du Ministère;
  • Dans le cadre d’une vérification interne sur la sécurité des technologies de l’information, examen des dispositifs de stockage portatifs pour s’assurer qu’ils sont utilisés aux fins approuvées seulement;
  • Nouvelle stratégie d’apprentissage intégrée qui met l’accent sur la protection des renseignements personnels. La participation est obligatoire pour tous les employés et des tests, aussi obligatoires, ont lieu aux deux ans.

Conclusion

Dans son enquête, le Commissariat à la protection de la vie privée du Canada a cerné une lacune majeure en ce qui a trait à l’application des politiques d’EDSC sur la protection des renseignements personnels et la sécurité aux activités courantes du Ministère. Cette lacune a entraîné une faiblesse des contrôles de gestion, des contrôles de sécurité physique et, plus important encore, un manque de connaissance des politiques et des procédures ministérielles de la part des employés. Le Commissariat fera un suivi dans un an pour évaluer les progrès réalisés par EDSC en ce qui a trait à la mise en œuvre de mesures visant à donner suite aux recommandations formulées ainsi que ses efforts continus en vue d’améliorer la gestion des renseignements personnels détenus par le Ministère.

Date de modification :