Rapport de conclusions d’enquête en vertu de la LPRPDE no 2015-007, Une institution financière prend de vigoureuses mesures correctives après que des mesures de sécurité insuffisantes et un stockage inutile ont rendu vulnérables aux atteintes à la vie privée des données sensibles

Extraits pertinents :

Contexte

3. La Compagnie de Fiducie Peoples est une société de fiducie sous réglementation fédérale appartenant à des intérêts privés qui a son siège à Vancouver, en Colombie-Britannique. Elle offre des services financiers, notamment des hypothèques, des comptes de dépôt et des cartes de crédit sécurisées et prépayées dans un portail en ligne, par l’intermédiaire d’un centre d’appels et dans des succursales situées à Vancouver, à Calgary et à Toronto.

4. Le 7 octobre 2013, après que huit clients lui eurent signalé avoir reçu des messages textes leur demandant d’appeler sans tarder la Compagnie de Fiducie Peoples en composant un numéro de téléphone aux États-Unis (les « messages hameçons »), l’entreprise a envisagé la possibilité d’une atteinte à la sécurité. Les messages ne provenaient pas de la Compagnie de Fiducie Peoples et le numéro n’était pas actif.

5. Un consultant indépendant (le « consultant ») dont la Compagnie de Fiducie Peoples avait retenu les services a confirmé l’incident, sa cause et son ampleur (analyse détaillée ci-après). L’entreprise a alors déclaré de son propre chef l’incident au Commissariat le 15 octobre 2013.

Résumé de l'enquête

Détails de l'atteinte à la vie privée

10. Le consultant a déterminé que des pirates informatiques avaient eu accès à l’information sur les clients stockée dans une base de données de la Compagnie de Fiducie Peoples (la « base de données piratée ») hébergée sur un « serveur Web », qui renfermait les renseignements fournis par les clients pour ouvrir un compte de dépôt ou obtenir une carte de crédit sécurisée par le portail de demandes en ligne de l’entreprise (le « portail Web »).

11. La base de données piratée renfermait les renseignements personnels d’environ 12 000 consommateurs, notamment des clients et des tiers liés (p. ex. des garants et des bénéficiaires de garanties). Pour chaque personne touchée, les renseignements en question comprennent généralement le nom, la date de naissance, l’adresse, le numéro d’assurance sociale, l’information sur l’emploi, les coordonnées, le nom de jeune fille de la mère (question de sécurité) et, dans le cas de 12 personnes, des renseignements bancaires émanant d’autres institutions financières (aux fins de virements de fonds électroniques). Les types de renseignements stockés dans la base de données varient d’une personne à l’autre en fonction du type de produit pour lequel le client avait présenté une demande par le portail Web.

14. Il est impossible de déterminer avec exactitude le moment où les pirates informatiques ont eu accès pour la première fois à la base de données, car on dispose des journaux du serveur uniquement à partir du 8 septembre 2013, soit 30 jours avant la date de l’examen mené par le consultant. En examinant les journaux à sa disposition, ce dernier a constaté des activités suspectes débutant le 24 septembre 2013. Toutefois, d’après les déclarations des clients remontant jusqu’au 3 octobre 2013, la Compagnie de Fiducie Peoples dispose d’indices montrant que les messages hameçons avaient commencé dès le 18 septembre 2013. Mais comme certaines personnes qui n’étaient pas clientes ont également reçu ces messages, la Compagnie de Fiducie Peoples estime que les messages reçus plus tôt n’étaient probablement pas associés à l’incident mettant en cause le serveur Web.

Circonstance ayant contribué à l'incident

16. L'entrepreneur dont la Compagnie de Fiducie Peoples a retenu les services pour la refonte de son site Web et de son portail de demandes en ligne possédait une expérience limitée dans l’élaboration de sites Web destinés à l’industrie des services financiers. Le contrat conclu par l’entreprise avec ce tiers n’imposait aucune exigence concernant les mesures de sécurité de l’information minimales.

18. Entre 2005 (conception initiale du site Web) et 2013 (incident), la Compagnie de Fiducie Peoples n’a fait aucun test ni exercé aucune surveillance de suivi pour déceler les vulnérabilités éventuelles du portail ou du serveur Web.

Application de la loi

24. Pour rendre notre décision, nous avons appliqué les principes 4.1.4, 4.5, 4.5.2, 4.5.3, 4.7, 4.7.1, 4.7.2 et 4.7.3 de l’annexe 1 de la Loi.

25. Selon le principe 4.1.4, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.

26. Selon le principe 4.5, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. En particulier, le principe 4.5.2 précise notamment que les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels et que ces lignes directrices devraient préciser les durées minimales et maximales de conservation. Le principe 4.5.3 ajoute que l’on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées.

27. Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. D’après le principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés. Selon le principe 4.7.2, la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. Enfin, le principe 4.7.3 précise que les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

ANALYSE

Mesures de sécurité et obligations de rendre des comptes

28. À notre avis, la Compagnie de Fiducie Peoples n’avait pas mis en place des mesures de sécurité technologiques et organisationnelles adéquates pour protéger les renseignements personnels fournis par ses clients pour les besoins du traitement des demandes de produits en ligne.

29. L’information à laquelle ont eu accès les pirates informatiques comprend des renseignements personnels sensibles, notamment des renseignements financiers ou des renseignements d’identification détaillés (p. ex. le numéro d’assurance sociale, la date de naissance et les réponses aux questions de sécurité) pouvant être utilisés à des fins d’hameçonnage ou de vol d’identité. L’entreprise aurait dû mettre en place des mesures de sécurité plus vigoureuses pour protéger ces renseignements sensibles contre tout accès non autorisé.

30. À notre avis, au moment du développement et de la mise en œuvre puis de la refonte de son portail de demandes en ligne, la Compagnie de Fiducie Peoples n’a pas pris des mesures de sécurité adéquates proportionnelles à la sensibilité de l’information. Elle n’a pas non plus retenu les services d’entrepreneurs possédant une solide expérience dans la conception d’applications Web pour les services financiers. En outre, dans les contrats conclus avec les entrepreneurs, elle n’a imposé aucune exigence concernant les mesures de sécurité de l’information minimales. Par conséquent, i) les renseignements personnels sensibles de clients ont été stockés inutilement, en double et indéfiniment, sur un serveur vulnérable sous une forme non chiffrée et ii) des pirates informatiques y ont eu accès en tirant parti d’un éditeur Web vulnérable, qui était conservé inutilement sur le serveur Web, même après être devenu désuet.

31 L’entreprise a aussi omis d’assurer une surveillance et une maintenance adéquates pour protéger en permanence les renseignements personnels stockés sur son serveur Web. Elle ne s’était dotée d’aucun programme pour mettre régulièrement à jour l’éditeur Web. C’est ainsi que la Compagnie de Fiducie Peoples a omis d’installer la mise à jour particulière visant à remédier à la vulnérabilité très médiatisée dont les pirates informatiques semblent avoir tiré parti pour s’emparer des renseignements personnels. L’organisation a également omis d’assurer une surveillance continue pour détecter les éventuelles failles ou menaces en matière de sécurité et prendre des mesures correctives proactives avant qu’un incident se produise. Aucune surveillance de cette nature n’était exercée depuis le lancement du site Web en 2005.

32. Enfin, la Compagnie de Fiducie Peoples s’était dotée d’une politique sur la sécurité interne donnant des instructions aux employés concernant le traitement de l’information, mais il n’y était pas question des systèmes de l’organisation qui peuvent recueillir, utiliser et communiquer des renseignements personnels. Comme nous l’avons souligné ci-dessus, les vulnérabilités touchant ces systèmes proprement dits ainsi que leur développement et leur surveillance continue y sont pour beaucoup dans l’incident.

Conservation de l'information

35. D’après notre enquête, tous les renseignements fournis par les clients par l’intermédiaire du portail de demandes en ligne étaient stockés sur le serveur Web inutilement, en double et indéfiniment. Comme cette information était conservée sur le serveur Web sans que l’organisation soit au courant, il n’en était aucunement question dans ses politiques et calendriers de conservation de l’information. De plus, l’organisation n’aurait pas dû conserver les renseignements en question après leur transfert dans son système bancaire interne sécurisé. Manifestement, elle les a donc conservés plus longtemps que nécessaire. Si l’information n’avait pas été stockée sur le serveur Web, les pirates informatiques n’y auraient pas eu accès.

36. Nous estimons par conséquent que la Compagnie de Fiducie Peoples a contrevenu au principe 4.5 de l’annexe 1 de la Loi en conservant ces renseignements associés à des comptes inactifs.

37. Nous sommes toutefois convaincus que les modifications mises en œuvre par l’organisation au cours de notre enquête, y compris celle assurant le transfert direct et sécurisé de l’information dans les systèmes internes de la banque sans qu’elle ne soit jamais stockée sur le serveur Web, ont répondu de façon satisfaisante aux préoccupations du Commissariat concernant la conservation de l’information.

Conclusion

38. À notre avis, la Compagnie de Fiducie Peoples n’avait pas mis en place des mesures de sécurité et des procédures connexes adéquates pour protéger les renseignements personnels sensibles des clients recueillis par son portail de demandes en ligne et stockés sur son serveur Web. L’organisation a également conservé plus longtemps que nécessaire aux fins déterminées cette information, dont il n’était pas question dans ses politiques sur la conservation de l’information.

39. Toutefois, nous prenons également acte du fait que, par suite de notre intervention, la Compagnie de Fiducie Peoples a pris rapidement des mesures importantes et concrètes pour répondre aux préoccupations que nous avions soulevées tant dans le contexte de notre dialogue préalable à l’enquête qu’au cours de l’enquête ouverte par le commissaire. Les mesures correctives consistaient à i) adopter une stratégie globale afin d’atténuer le risque pour les personnes touchées par l’incident; ii) cesser de conserver inutilement sur le serveur Web les renseignements personnels des clients; iii) améliorer les mesures de sécurité et les procédures connexes pour protéger l’information recueillie par le portail Web; et iv) mettre en place des procédures plus exhaustives pour favoriser l’élaboration de pratiques de protection des renseignements personnels dans l’avenir.

40. En conséquence, nous concluons que la plainte est fondée et résolue.

Dernière modification : le 6 janvier 2018 à 13 h 49 min.

Informations
Commentaires

Lois sur la protection des renseignements personnels

Un site utilisant la Plateforme OpenUM.ca

LPRPSP (QC)

Règlement général sur la protection des données UE 2016/679

LADOPPRP (QC)

LPRPDE (Can)

FIPPA (ON)

Charte des droits et libertés de la personne (QC)

Charte canadienne des droits et libertés

C.c.Q.

LCCJTI

Rapport de conclusions d’enquête en vertu de la LPRPDE no 2015-007, Une institution financière prend de vigoureuses mesures correctives après que des mesures de sécurité insuffisantes et un stockage inutile ont rendu vulnérables aux atteintes à la vie privée des données sensibles

Extraits pertinents :