Extraits pertinents :

Contexte : 

1. Le 17 janvier 2007, TJX^{Note de bas de page1} et Visa ont informé le Commissariat à la protection de la vie privée du Canada (CPVP) et le Commissariat à l’information et à la protection de la vie privée de l’Alberta (CIPVP) que le réseau informatique de TJX avait fait l’objet d’une intrusion touchant les renseignements personnels d’environ 45 millions d’utilisateurs de cartes au Canada, aux États-Unis, à Puerto Rico, au Royaume-Uni et en Irlande. Cet avis a été reçu le jour même où TJX a diffusé un communiqué sur l’intrusion dans sa base de données de ses clients.

Survol :

3.L'expérience de TJX/WMI illustre bien comment la conservation d’importantes quantités de renseignements de nature délicate peut constituer un danger, particulièrement si les renseignements n’ont aucune utilité légitime ou si on les conserve plus longtemps que nécessaire. Même si la responsabilité de protéger des renseignements personnels existe indépendamment de l’exigence de limiter, dans la mesure du possible, la collecte de renseignements, les deux principes sont compatibles. Le fait de recueillir et de conserver une trop grande quantité de renseignements personnels constitue un fardeau en matière de sécurité qui n’est pas nécessaire. Par conséquent, les organisations ne devraient recueillir que le minimum de renseignements nécessaires aux fins indiquées et les conserver le moins longtemps possible, et ce, tout en les protégeant.

5. Très souvent, on peut compromettre un système de protection de manière très discrète, sans même que l’organisation en prenne connaissance. Jusqu’à ce que la brèche soit découverte, l’intrus peut avoir accès aux renseignements personnels des consommateurs et les utiliser pour commettre d’autres crimes. En plus des préjudices causés aux consommateurs, cela peut avoir un effet néfaste sur la réputation de l’organisation et ses relations avec ses partenaires d’affaires. Par conséquent, une fois qu’on a mis en place au besoin les mesures de sécurité, on doit les contrôler, les vérifier, les mettre à l’essai et les mettre à jour de manière proactive.

7. La leçon qu’il faut en tirer? Une des meilleures mesures de sécurité qu’une entreprise puisse adopter consiste à ne pas recueillir et conserver des renseignements personnels non nécessaires. Ce cas doit rappeler à toutes les organisations œuvrant au Canada d’évaluer mûrement les raisons pour lesquelles elles recueillent et conservent des renseignements personnels et de prendre les mesures de protection connexes.

Résumé de l'enquête : 

10. TJX est un détaillant de vêtements et d’accessoires pour la maison dégriffés aux États-Unis et à l’échelle internationale. WMI est une filiale appartenant à cent pour cent à TJX. WMI possède et gère 184 magasins Winners et 68 magasins HomeSense au Canada.

11. Le 18 décembre 2006, TJX a appris qu’on avait découvert un logiciel suspect dans une partie de son système informatique. TJX a immédiatement lancé une enquête et déterminé qu’il y avait de bonnes raisons de croire que son système informatique avait fait l’objet d’une intrusion et que l’intrus continuait d’avoir accès au système.

13. Le 22 décembre 2006, TJX a informé divers organismes américains d’application de la loi de l’intrusion présumée. Ayant reçu l’assentiment des organismes d’application de la loi, le 26 et le 27 décembre 2006, TJX a informé de l’intrusion présumée les banques, les émetteurs de cartes de crédit et de cartes de débit (les « cartes de paiement ») et les entreprises de traitement de chèques avec lesquels elle avait passé des contrats. Le 27 décembre 2006, TJX a aussi déterminé que, dans le cadre de l’intrusion informatique, quelqu’un avait aussi eu accès aux renseignements personnels de ses clients.

14. Au début de janvier 2007, TJX a informé les organismes de réglementation américains et la Gendarmerie royale du Canada du vol de renseignements personnels de consommateurs.

15. Le 18 février 2007, dans le cadre de son enquête, TJX a découvert des éléments de preuve indiquant que l’intrusion avait peut-être débuté plus tôt que ce qui avait été déterminé et qu’on avait peut-être eu accès à d’autres renseignements personnels de consommateurs. Le 21 février, TJX a annoncé publiquement ces constatations supplémentaires concernant la durée et l’ampleur de l’intrusion.

17. TJX déclare que l’intrus a eu accès au système en juillet et en septembre 2005 et de la mi-mai 2006 à la mi-janvier 2007, mais qu’aucun renseignement sur les consommateurs n’a été subtilisé après le 18 décembre 2006.

Renseignements personnels des consommateurs touchés par l'intrusion

18. Selon TJX, en juillet, septembre et novembre 2005, et à divers moments de la mi-mai 2006 à la mi-janvier 2007, l’intrus a accédé, sans les voler, à certaines données des comptes de cartes de crédit de clients de WMI associées à une partie des transactions par cartes de crédit dans les magasins de WMI durant la période du 31 décembre 2002 au 28 juin 2004.

20. Cependant, selon TJX, en 2005, l’intrus a aussi obtenu un accès aux permis de conduire et à d’autres numéros d’identification provinciaux (appelés « numéros d’identification »), ainsi qu’aux noms et aux adresses connexes, d’environ 330 personnes ayant une adresse au Canada. Ces consommateurs avaient fourni ces renseignements à TJX après avoir rapporté des marchandises sans présenter leur reçu dans des magasins de TJX situés aux États-Unis, et ce, principalement durant les quatre derniers mois de 2003 et en mai et juin 2004.

23. En résumé, les renseignements personnels pertinents dans le cadre de la présente enquête sont les suivants :

• numéros de cartes de crédit, y compris les dates d’expiration, utilisées par les clients de WMI (ces renseignements étaient recueillis et conservés pour le traitement des paiements);
• noms, adresses et numéros de téléphone des clients de WMI enregistrés par voie électronique après novembre 2005;
• numéros de permis de conduire canadiens et autres numéros d’identification provinciaux, et noms et adresses utilisés par les clients de WMI (les renseignements des deux dernières puces étaient recueillis pour la prévention des fraudes)

Mesures de protection de sécurité sans fil en place au moment de la brèche

24. Au moment de la brèche, TJX comptait sur plusieurs mesures de protection technique dans ses magasins nord-américains afin de protéger les renseignements personnels, y compris le protocole de chiffrement WEP (protection équivalente au réseau câblé).

25. À la fin de septembre 2005, TJX a décidé d’améliorer la protection de ses réseaux sans fil en installant dans ses magasins le protocole de sécurité Wi-Fi Protected Access (WPA).

Mesures adoptées après l’incident

26. TJX/WMI a réagi à l’incident et a mis en place les mesures suivantes de sa propre initiative après avoir découvert la brèche :

• l’organisation a entrepris des enquêtes judiciaires et d’autres types d’enquêtes afin de vérifier et d’analyser la sécurité du système informatique de TJX et d’améliorer la sécurité de son système dans le cadre d’efforts continus visant à se protéger contre de futures tentatives d’intrusion;
• elle a communiqué avec des responsables de l’application de la loi; des enquêtes des forces de l’ordre se poursuivent aux États-Unis, et on procède à un certain nombre d’enquêtes réglementaires liées à l’intrusion informatique;
• TJX a diffusé un communiqué au sujet de l’intrusion informatique et affiché des alertes à jour à l’intention des consommateurs sur ses sites Web, y compris www.winners.ca et www.homesense.ca; TJX, au nom de WMI, a envoyé des lettres aux quelque 330 personnes possédant une adresse canadienne dont les numéros d’identification, ainsi que les noms et les adresses connexes, ont probablement été consultés durant l’intrusion informatique;
• TJX a aussi mis en place une ligne téléphonique d’aide gratuite 24 heures sur 24 et sept jours sur sept à l’intention des consommateurs (y compris les consommateurs canadiens) et mis en œuvre un certain nombre de changements techniques dont nos bureaux ont été informés;
• on purge maintenant les fichiers journaux conservés sur les serveurs RTS au bout de 24 à 48 heures, selon le moment où les renseignements sont stockés sur les serveurs.

Questions 

27. Les trois questions auxquelles on doit répondre avant de procéder à nos constatations sont les suivantes :

• L’organisation avait-elle un motif raisonnable pour conserver les renseignements personnels touchés par la brèche?
• L’organisation conservait-elle les renseignements conformément à la LPRPDE et à la PIPA?
• L’organisation avait-elle mis en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu’elle conservait?

L’organisation avait-elle un motif raisonnable pour conserver les renseignements personnels touchés par la brèche?

31. Selon le principe 4.3 de la LPRPDÉ et l’alinéa 7(1)a) de la PIPA, on doit informer la personne et obtenir son consentement pour recueillir, utiliser ou communiquer ses renseignements personnels, sauf quand les lois le spécifient. Même lorsqu’on obtient un consentement de manière adéquate, la LPRPDÉexige, au principe 4.4, que l’organisation ne recueille que les renseignements personnels nécessaires aux fins déterminées et qu’elle procède de façon honnête et licite.

32. Le paragraphe 7(2) de la PIPA exige que les organisations ne demandent pas aux particuliers de fournir plus de renseignements personnels qu’il n’est nécessaire pour offrir un produit ou un service. Même si le consentement est obtenu de manière appropriée, la PIPA exige qu’une organisation recueille uniquement les renseignements personnels associés à des fins raisonnables [paragraphe 11(1)]. En outre, le paragraphe 11(2) de la même loi exige que les organisations recueillent uniquement les renseignements personnels raisonnablement nécessaires aux fins justifiant la collecte de renseignements.

33. Selon le principe 4.3.3 de la LPRPDÉ, une organisation ne peut pas, pour le motif qu’elle fournit un bien ou un service, exiger d’une personne qu’elle consente à la collecte, à l’utilisation ou à la communication de renseignements autres que ceux qui sont nécessaires aux fins légitimes et explicitement indiquées.

39. Nous reconnaissons que, quand de la marchandise est retournée sans reçu, il est raisonnable d’obtenir certains renseignements personnels sur les consommateurs. Dans d’autres cas, des détaillants ont fait part de leur préoccupation au sujet du fait qu’ils pouvaient être victimes de pertes financières en raison du retour de marchandise sans reçu. Par exemple, des personnes peuvent rapporter de la marchandise qui a été volée ou qui n’a pas été achetée chez le même détaillant.

41. Cependant, il n’en est pas ainsi dans le cas de la collecte des renseignements figurant sur le permis de conduire. Selon nous, il est possible de faire une analogie entre le fait de recueillir le numéro du permis de conduire comme identificateur numérique et le fait de recueillir le numéro d’assurance sociale. Le CPVP et le CIPVP ont déjà mentionné que le NAS n’est pas un identificateur de facto et qu’on ne devrait l’utiliser qu’à des fins législatives ou pour le versement de prestations sociales (comme il était prévu à l’origine).

42. Un permis de conduire est la preuve qu’une personne a le droit de conduire un véhicule motorisé : ce n’est pas une pièce d’identité permettant d’analyser ses habitudes de retour de marchandises. Toutefois, on trouve sur les permis de conduire un numéro unique que TJX peut utiliser pour procéder à des analyses de fréquence (le numéro proprement dit n’est pas pertinent). TJX a seulement besoin d’un numéro (n’importe quel numéro) qui peut être associé au client de manière uniforme (et un numéro qui est plus durable et plus précis qu’un nom et un numéro de téléphone).

43. En outre, le numéro de permis de conduire est une donnée extrêmement utile pour les fraudeurs et les voleurs d’identité qui cherchent à créer de fausses identités en utilisant des renseignements valides. Une fois les numéros figurant sur un permis de conduire compromis, il est très difficile, voire impossible, de les changer. C’est pourquoi les détaillants et les autres organismes devraient s’assurer qu’ils ne recueillent pas des renseignements sur l’identité à moins que ceux-ci ne soient nécessaires à la transaction.

44. Nous n’affirmons pas que le fait d’identifier les clients qui rapportent fréquemment de la marchandise et de procéder à des enquêtes afin de prévenir les pertes ne sont pas des activités légitimes. L’organisation a confirmé que son système de gestion des retours peut fonctionner quel que soit l’identificateur numérique utilisé. On n’a pas nécessairement besoin d’un permis de conduire ou d’un autre numéro d’identification provincial.

46. En résumé, nous déterminons qu’il est acceptable de demander le nom et l’adresse des clients, mais l’enregistrement des numéros d’identification est une pratique excessive et contraire au principe 4.4 de la LPRPDÉ ou au paragraphe 11(2) de la PIPA.

L’organisation conservait-elle les renseignements conformément aux Lois?

50. TJX a déclaré que les numéros de permis de conduire et les autres numéros d’identification étaient conservés indéfiniment. Puisque les intrusions se sont produites sur une longue période, les pirates informatiques ont pu tirer pleinement profit du téléchargement de renseignements qui n’auraient pas dû être conservés.

51. TJX n’a pas fourni d’argument convainquant concernant la nécessité de recueillir les numéros de permis de conduire dans le cadre de ses activités. Nous déterminons que la collecte de ces renseignements n’est pas admise en vertu des paragraphes 11(2) et 7(2) de la PIPA ni du principe 4.4 de la LPRPDÉ. Par conséquent, TJX ne peut pas conserver les renseignements personnels que les Lois ne lui permettent pas de recueillir.

53. TJX élabore actuellement des politiques et des pratiques détaillées en matière de conservation, y compris sur l’établissement de périodes de conservation de tout type de dossier.

54. TJX a aussi immédiatement décidé de limiter la période de conservation des données sur son serveur RTS. On conserve maintenant les données pour une durée spécifique et limitée aux fins de résolution de problème. Une telle mesure permet de réduire les vulnérabilités et les risques associés à une éventuelle brèche. TJX a affirmé qu’elle doit conserver les données sur les transactions par cartes de crédit et cartes de débit ailleurs dans l’organisation pendant 18 mois. Ce délai donne suffisamment de temps aux consommateurs pour contester les montants facturés, à TJX pour procéder à des vérifications et des rejets de débit et pour respecter ses obligations contractuelles avec les émetteurs de cartes de crédit. La question de la conservation des données est un élément du processus général d’examen des pratiques de protection des renseignements personnels actuellement en cours chez TJX, et nous nous attendons à ce que celle-ci inclut les présents renseignements dans ses politiques en matière de conservation des données.

Mesures recommandées 

55. Vu les mesures déjà mises en place par TJX/WMI, nous avons fait les recommandations suivantes à l’organisation avant de rendre notre décision concernant cette plainte :

• Collecte
  • Cesser de recueillir les numéros figurant sur les permis de conduire et d’autres numéros d’identification provinciaux des consommateurs qui rapportent des marchandises, et supprimer de tels renseignements de l’ensemble de ses bases de données.
  • Dans le cadre de la nouvelle politique de remboursement qui sera mise en place, informer clairement les clients des raisons pour lesquelles les renseignements personnels sont recueillis, de l’utilisation qu’on peut en faire et de leur éventuelle communication.
• Conservation
  • Nous fournir un exemplaire de ses procédures et pratiques définitives en matière de conservation des données d’ici le 1^er septembre 2007.

Conclusion concernant la collecte et la conservation des renseignements personnels

67. En conclusion, nous croyons que TJX/WMI a contrevenu aux dispositions de la LPRPDÉ et de la PIPA concernant la collecte et la conservation de renseignements personnels. Cependant, nous sommes heureux de voir que TJX/WMI a accepté d’appliquer nos recommandations; c’est pourquoi le CPVP et le CIPVP considèrent l’affaire comme réglée.

L’organisation a-t-elle mis en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu’elle conservait?

71. Nous avons déjà déterminé que TJX/WMI recueillait trop de données et les conservait trop longtemps. Durant l’enquête, nous avons tenté de déterminer si TJX avait bien évalué l’ensemble de ses systèmes et pleinement évalué leur vulnérabilité. Pour ce faire, nous avons tenté de déterminer si TJX a mis en place des mesures de protection « raisonnables » et si les risques en matière de sécurité étaient prévisibles. En outre, on a tenu compte de la probabilité des dommages, de la gravité du préjudice, du coût des mesures de prévention et des normes pertinentes relatives aux pratiques.

72. En ce qui a trait à la sécurité physique, au moment de la brèche, il y avait des mesures en place telles que du personnel de sécurité, des cartes d’identité avec photo, des cartes magnétiques, des caméras de surveillance et des verrous de sécurité.

73. En ce qui a trait aux mesures de sécurité organisationnelles et administratives, au moment de la brèche, TJX comptait sur une structure de gouvernance de la sécurité de l’information supervisée par un dirigeant principal de l’information, un code de conduite à l’intention des employés, un nombre limité d’autorisations de sécurité, une procédure de vérification des antécédents des employés, des procédures permettant de s’assurer que les employés qui quittent l’entreprise remettent leur carte d’identité, leur clé et leur carte magnétique, des cours de formation continue à l’intention des employés, et des politiques et lignes directrices en matière de sécurité.

74. En ce qui a trait à la sécurité du réseau, à l’exception de la sécurité sans fil, certaines mesures visant à restreindre l’accès au réseau étaient en place au moment de la brèche.

Gravité du préjudice 

75. On détermine la nature délicate des renseignements personnels en procédant à une évaluation des préjudices et des risques. Certains types de renseignements personnels peuvent plus facilement être utilisés à des fins préjudiciables ou servir à la fraude que d’autres types de renseignements.

76. Selon nous, le concept de « mesures de protection raisonnables » signifie que l’organisation doit tenir compte des préjudices éventuels associés aux renseignements conservés si ces derniers tombent entre de mauvaises mains. Au principe 4.7.2 de la LPRPDÉ, on recommande explicitement aux organisations de tenir compte du caractère délicat des renseignements lorsqu’elles mettent en place leurs mesures de sécurité.

77. Vu la nature des renseignements personnels auxquels ont eu accès les pirates, le nombre de personnes touchées et le temps écoulé avant que ne soit découvert l’intrusion, le préjudice pourrait être très grave. Les auteurs ont eu accès à des millions de numéros de carte de crédit pendant une longue période – assez longue pour commettre des fraudes relatives aux cartes de crédit ou pour communiquer les renseignements à d’autres aux mêmes fins. Même si les personnes qui découvrent des dépenses inhabituelles sur leur relevé de carte de crédit peuvent ne pas avoir à en assumer les coûts, les entreprises émettrices de cartes de crédit et les détaillants doivent les assumer. Cela pourrait entraîner d’importantes pertes pour ces organisations, sans mentionner les coûts associés au remplacement des cartes de crédit ayant fait l’objet d’une fraude.

Précautions raisonnables en matière de sécurité 

80. TJX a mis en place un protocole de chiffrement (WEP). Elle était en train de transformer ce protocole en protocole WPA au moment de la brèche. Selon nous, le protocole WEP ne fournit pas une protection suffisante puisqu’on peut le contourner relativement facilement. Il semble que l’intrus ait eu accès aux serveurs RTS et aux données sur les clients en raison de l’utilisation d’une norme de chiffrement inadéquate ou minimale. On ne peut pas utiliser le protocole WEP pour sécuriser un système puisqu’on peut facilement contourner la méthode de chiffrement utilisée; en outre, le protocole ne représente pas une protection adéquate pour un réseau. Nous reconnaissons que TJX procédait alors à la mise en œuvre d’une norme de chiffrement supérieure, et qu’une telle conversion exige un délai d’exécution (financement, planification et mise en œuvre).

81. Cependant, depuis 2003, des experts remettent en question l’utilisation du protocole WEP en tant que protocole sécuritaire. L’Institute of Electrical and Electronic Engineers (IEEE) est l’organisation qui, à l’origine, a élaboré la norme WEP. En juin 2003, l’IEEE même a recommandé de laisser tomber le protocole WEP et d’adopter le protocole WPA en tant que norme de chiffrement sans fil.

Mesures recommandées 

94. Vu les mesures déjà mises en place par TJX/WMI, nous avons fait les recommandations suivantes à l’organisation avant de rendre notre décision concernant cette plainte :

• Mesures de protection
  • Nous fournir un résumé de ses vérifications, y compris les constatations et les recommandations, afin d’assurer l’examen des recommandations en fonction des mesures de protection de TJX/WMI, qui, en tant qu’entreprise, a l’obligation de protéger les renseignements personnels conformément aux lois provinciales et fédérales et aux normes de l’industrie en matière de protection des renseignements personnels.
  • Nous informer des mesures qu’elle compte prendre pour mieux surveiller ses systèmes.
  • terminer la conversion en des normes de chiffrement supérieures, dresser la liste de ces normes et nous informer lorsque la conversion sera terminée, conformément au raisonnement et à l’analyse du présent rapport.

Conclusion concernant les mesures de protection

101. TJX a appliqué nos recommandations de telle manière que nous considérons que le volet de la plainte lié aux mesures de protection est « fondé et réglé » (CPVP) et « réglé » (CIPVP).