Communiqué

L’enquête portant sur une atteinte à la sécurité des données chez VTech fait ressortir des failles de sécurité

Les mesures de sécurité inadéquates du fabricant de jouets connectés ont rendu vulnérables à un accès non autorisé des données sensibles de millions d’enfants partout dans le monde

GATINEAU (Québec), le 8 janvier 2018 – Une enquête portant sur une vaste atteinte à la sécurité des données chez VTech a révélé que le fabricant de jouets connectés n’avait pas bien protégé les renseignements personnels sensibles d’enfants.

L’atteinte à la sécurité des données survenue chez VTech Holdings Ltd. à la fin de 2015 a mis en péril la confidentialité des renseignements personnels de  millions de personnes dans le monde entier, dont plus de 500 000 enfants canadiens et leurs parents.

« L’enquête a mis en évidence plusieurs failles de sécurité importantes, a indiqué Daniel Therrien, commissaire à la protection de la vie privée du Canada. Nous sommes heureux que VTech ait amélioré ses systèmes et ses politiques de sécurité pour mieux protéger les renseignements personnels sensibles d’enfants. »

Le Commissariat à la protection de la vie privée du Canada est convaincu que ces mesures sont suffisantes et qu’elles réduiront le risque qu’un incident similaire se reproduise.

Le Commissariat a mené l’enquête en collaboration avec la Federal Trade Commission des États-Unis, qui a également annoncé aujourd’hui [en anglais seulement] avoir conclu une entente avec VTech. Il a aussi collaboré avec le commissaire à la protection des données et de la vie privée de Hong Kong, où se trouve le siège social de VTech.

Un intrus a profité d’une faille de sécurité bien connue pour pirater un réseau de VTech, à partir duquel il a accédé à d’autres réseaux de l’entreprise. Les bases de données piratées contenaient des renseignements tels que le nom, la date d’anniversaire, des photos et des enregistrements audio des enfants ainsi que l’adresse des parents et d’autres renseignements relatifs au compte.

L’enquête du commissaire à la protection de la vie privée a fait ressortir de nombreuses failles de sécurité touchant les essais et l’entretien de sécurité du système, les contrôles d’accès internes, la protection par cryptographie et la surveillance. Par exemple, certains renseignements, comme le nom ainsi que les questions et réponses de récupération du mot de passe, étaient stockés en clair.

En outre, VTech n’avait adopté aucune politique globale détaillée sur la sécurité des données, ce qui est essentiel pour s’assurer que les mesures de protection demeurent appropriées et que le personnel connaît et respecte les politiques et les procédures de sécurité.

Le rapport d’enquête du commissaire à la protection de la vie privée fait état d’importantes leçons pour les autres organisations qui recueillent des renseignements personnels d’enfants. En particulier, des mesures de sécurité renforcées sont nécessaires pour éviter tout accès non autorisé des renseignements sensibles.

Au sujet du commissaire à la protection de la vie privée du Canada

Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d’agir à titre d’ombudsman et de gardien du droit à la vie privée au Canada. Le commissaire est responsable de l’application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques, qui s’applique aux organisations du secteur privé au Canada.

Voir également :

Rapport de conclusions d’enquête – VTech Holdings Ltd.

Conseils pour les individus concernant la protection de la vie privée et l’Internet des objets

Communiqué de la Federal Trade Commission des États-Unis [en anglais seulement]

- 30 -

Renseignements supplémentaires

Tobi.Cohen@priv.gc.ca
819-994-5689

REMARQUE : Pour nous permettre de leur répondre rapidement, nous invitons les journalistes à envoyer par courriel toute demande d’entrevue ou de renseignements supplémentaires.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :