Une enquête sur la perte d'un disque dur fait ressortir des leçons importantes pour toutes les organisations English
Nouvelles fournies par
Commissariat à la protection de la vie privée du Canada25 mars, 2014, 10:14 ET
OTTAWA, le 25 mars 2014 /CNW/ - À la suite de la disparition d'un disque dur portatif contenant les renseignements personnels de 583 000 bénéficiaires de prêts d'études, une enquête souligne la nécessité de s'assurer que les politiques officielles sur la vie privée et la sécurité ne sont pas que des mots sur papier.
Une enquête du Commissariat à la protection de la vie privée du Canada a été réalisée après qu'Emploi et Développement social Canada (EDSC), anciennement Ressources humaines et Développement des compétences Canada, a déclaré la perte d'un disque dur.
Un rapport d'enquête déposé au Parlement aujourd'hui expose en détail comment le disque dur était laissé sans protection pendant de longues périodes, n'était pas protégé par un mot de passe et contenait des renseignements personnels non cryptés. De plus, les employés qui manipulaient le disque dur n'étaient pas au courant de la nature délicate des renseignements qu'il contenait.
Selon le rapport, l'écart entre les politiques et les pratiques d'EDSC a entraîné des faiblesses en ce qui a trait aux mesures de contrôle de l'information, aux mesures de contrôle de la sécurité physique et, surtout, à la sensibilisation des employés aux politiques et aux méthodes du Ministère.
« Cet incident devrait servir d'exemple pour toutes les organisations, a indiqué Chantal Bernier, commissaire à la protection de la vie privée par intérim. Mettre les politiques sur papier n'est pas suffisant pour assurer la protection des renseignements personnels. Les politiques doivent être mises en pratique chaque jour et surveillées régulièrement.
Nous sommes heureux qu'EDSC ait accepté toutes nos recommandations et qu'il ait commencé à prendre les mesures nécessaires pour les mettre en œuvre. Nous espérons que cette enquête incitera d'autres ministères fédéraux et des organisations du secteur privé à passer en revue leurs propres politiques et pratiques en matière de protection des renseignements personnels. »
Le Commissariat a entamé son enquête en janvier 2013, après qu'EDSC a signalé qu'un disque dur contenant un nombre considérable de renseignements personnels était disparu depuis deux mois.
Malgré tous ses efforts, le Ministère n'a pas réussi à retrouver le disque dur et il n'a pas pu déterminer si la perte était attribuable à une erreur humaine ou à un geste délibéré visant à nuire.
Le personnel du Programme canadien de prêts aux étudiants d'EDSC a utilisé le disque dur d'une capacité d'un téraoctet du Ministère pour effectuer une sauvegarde des renseignements relatifs au Programme qui étaient stockés dans l'ordinateur central en vue de leur transfert entre les disques durs du réseau.
Le disque dur contenait le numéro d'assurance sociale, le nom, la date de naissance, l'adresse personnelle et le numéro de téléphone, ainsi que le montant et le solde des prêts, de 583 000 bénéficiaires du Programme canadien de prêts aux étudiants. Il contenait aussi le sexe, la langue et l'état civil de certains bénéficiaires.
En raison de pratiques ministérielles défaillantes, EDSC n'a pas été en mesure de déterminer de façon définitive quels renseignements se trouvaient sur le disque dur portatif ou à quand remontait leur dernière mise à jour.
Néanmoins, EDSC affirme que rien n'indique jusqu'à maintenant que les renseignements personnels susceptibles d'être contenus sur le disque dur aient été consultés ou utilisés à des fins frauduleuses.
Selon l'enquête, les employés d'EDSC ont enfreint certains articles de la Loi sur la protection des renseignements personnels - la loi fédérale sur la protection de la vie privée qui s'applique au secteur public - portant sur l'utilisation, la communication et la destruction des renseignements personnels.
EDSC a accepté les 10 recommandations formulées par le Commissariat et a déjà fait d'importants progrès quant à la mise en œuvre de certaines d'entre elles, notamment :
- Restreindre grandement l'utilisation de dispositifs de stockage portatifs et installer un logiciel sur les ordinateurs de bureau qui empêche l'utilisation de tels dispositifs sans autorisation;
- Examiner périodiquement les dispositifs de stockage portatifs pour s'assurer qu'ils sont utilisés uniquement aux fins autorisées;
- Passer en revue tous les fonds de documents, éliminer les documents temporaires et classifier les documents qui restent au niveau de sécurité approprié;
- Adopter une nouvelle stratégie d'apprentissage intégrée portant sur la protection des renseignements personnels et prévoir la participation obligatoire de tous les employés et l'administration obligatoire d'un test tous les deux ans.
Le Commissariat à la protection de la vie privée du Canada fera un suivi dans un an pour s'assurer qu'EDSC a réalisé des progrès quant à la mise en œuvre des recommandations formulées.
« Pour atténuer efficacement les risques liés à la protection des renseignements personnels, il doit exister une synergie entre les mesures de contrôle de la sécurité et les mesures de contrôle relatives à la protection des renseignements personnels. La mise en œuvre de telles mesures de contrôle aidera EDSC, et l'ensemble des organisations, à protéger adéquatement les renseignements personnels que les Canadiennes et les Canadiens leur confient, a déclaré la commissaire par intérim, Chantal Bernier. Afin de mieux traiter les questions plus vastes d'ordre systémique, nous menons présentement une vérification de l'utilisation de dispositifs de stockage portatifs par des institutions fédérales sélectionnées, et nous venons de rendre publics de nouveaux conseils à l'intention des organisations sur le sujet. »
À propos du Commissariat à la protection de la vie privée du Canada
Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d'agir à titre d'ombudsman et de gardien du droit à la vie privée au pays. La commissaire est chargée de l'application de deux lois fédérales relatives à la protection des renseignements personnels, soit la Loi sur la protection des renseignements personnels, qui s'applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s'applique aux organisations exerçant des activités commerciales dans les provinces de l'Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Pour leur part, le Québec, l'Alberta et la Colombie-Britannique se sont dotés de leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, les entreprises du secteur privé sous réglementation fédérale et les renseignements personnels obtenus dans le cadre d'opérations interprovinciales et internationales sont assujettis à la LPRPDE.
Voir aussi :
- Document d'information
- Rapport de conclusions
- Conseils à l'intention des institutions fédérales sur l'utilisation des dispositifs de stockage portatifs
SOURCE : Commissariat à la protection de la vie privée du Canada
Valerie Lawton, Commissariat à la protection de la vie privée du Canada
Courriel : [email protected]
REMARQUE : Pour accélérer le processus de réponse, nous demandons aux journalistes de bien vouloir soumettre toute demande d'entrevue ou de renseignements complémentaires par courriel.
Partager cet article