Une banque laisse un ordinateur connecté dans une aire publique; une cliente obtient des renseignements sensibles relatifs à un compte personnel sans mot de passe

Résumé de conclusions d'enquête en vertu de la LPRPDE n^o 2003-177

[Principe 4.7 de l'annexe 1]

Plainte

Une cliente s'est plainte du fait qu'une banque avait omis d'instaurer des mesures de sécurité appropriées pour la protection de ses renseignements personnels dans une succursale établie en magasin.

Résumé de l'enquête

Pendant qu'elle attendait d'être servie dans une succursale bancaire située dans un supermarché, la plaignante a aperçu un ordinateur dans une aire ouverte. Voyant que l'écran était allumé et pensant que l'appareil visait à fournir au public des renseignements bancaires de nature générale, elle a tapé son nom et son adresse comme requis. L'ordinateur a par la suite affiché un écran de renseignements relatifs à ses comptes à la banque, y compris ses numéros de carte de crédit, ses limites de crédit et ses soldes. Comme l'ordinateur ne lui avait pas demandé de mot de passe ni de code d'usager, elle s'est inquiétée de ce que quiconque connaissant son nom et son adresse ait pu tout aussi facilement obtenir les mêmes renseignements personnels sensibles la concernant, peut-être à des fins illicites, comme le vol d'identité. Ses craintes quant aux procédures de sécurité de la banque se sont accentuées lorsque l'employé de la banque l'a plus tard laissée regarder pendant qu'il tapait son mot de passe lequel, dit-elle, est apparu en clair à l'écran pendant qu'il procédait à une ouverture de session sur un autre ordinateur.

L'incident s'est produit dans une succursale typique de la banque établie en magasin, consistant en un guichet automatique, un bureau fermé muni d'un terminal d'ordinateur réservé à l'usage des employés, ainsi que d'un autre terminal d'ordinateur installé dans une aire ouverte mais également réservé à l'usage des employés, bien qu'il n'y ait eu aucun avis à cet effet. Deux employés travaillaient à la succursale ce jour-là, mais un n'était pas à son poste au moment de l'incident et l'autre s'occupait d'un client dans le bureau fermé.

La banque a qualifié l'incident de simple erreur commise par un employé. Le dernier employé à avoir utilisé l'ordinateur installé dans l'aire ouverte avait omis de clore la session avant de laisser l'appareil sans surveillance. Une telle négligence constitue une infraction à la politique et aux procédures de la banque en matière de sécurité. Plus précisément, d'après une directive figurant dans le manuel de sécurité, l'ordinateur doit être déconnecté lorsqu'il n'est pas utilisé.

Suite à la plainte, la banque a pris deux grandes mesures correctives. D'abord, elle a entrepris de sensibiliser les employés de diverses façons, notamment en envoyant des avis aux employés des succursales établies en magasin, en affichant en permanence un message sur son site intranet et en incluant des lignes directrices officielles dans les manuels de formation destinés aux nouveaux employés. Ensuite, elle a installé un nouveau système informatique avec fonction de sécurité intégrée, c'est-à-dire un écran de veille protégeant les mots de passe et qui s'active automatiquement si le clavier reste inactif pendant 15 minutes.

Pour ce qui est de l'allégation de la plaignante selon laquelle elle avait pu reconnaître des caractères en clair dans le mot de passe de l'employé, la banque a indiqué que, avec le système informatique en usage au moment de l'incident, les mots de passe apparaissaient sous la forme de symboles, et non pas de caractères en clair. La banque a émis l'idée que la plaignante avait soit pris le code d'usager de l'employé ou d'autres données servant à l'ouverture de session pour le mot de passe de celui-ci, ou encore avait reconnu des caractères en clair à partir du clavier au lieu de l'écran de l'ordinateur. La plaignante a pour sa part soutenu que, peu importe comment les caractères ont été aperçus, les employés de la banque qui procèdent à une ouverture de session ne devraient pas laisser les clients voir l'écran ou le clavier d'ordinateur.

Conclusions du commissaire

Rendues le 5 juin 2003

Compétence : Depuis le 1^er janvier 2001, la Loi sur la protection des renseignements personnels et les documents électroniques (Loi) s'applique à toute installation, tout ouvrage, toute entreprise ou tout secteur d'activité fédéral. Le commissaire avait compétence dans cette cause, parce que la banque est une installation, un ouvrage, une entreprise ou un secteur d'activité fédéral au sens de la Loi.

Application : Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.

Le commissaire a d'abord signalé que, avec sa pratique qui consistait à installer dans les aires ouvertes de ses succursales établies en magasin des ordinateurs souvent laissés sans surveillance, la banque avait pris un risque considérable d'accès non autorisé aux renseignements personnels sensibles des clients. La question qui se posait était de savoir si la banque avait instauré des mesures de sécurité appropriées pour limiter ce risque et protéger les renseignements en question. Il a déterminé ce qui suit :

• Au moment de l'incident, la première mesure de sécurité à laquelle la banque s'était fiée pour protéger les renseignements sensibles relatifs aux comptes de la plaignante était une directive énoncée dans un manuel de sécurité, enjoignant aux employés de fermer l'ordinateur lorsqu'ils s'apprêtent à laisser l'appareil sans surveillance.
• Le simple fait qu'un employé de la banque ait négligé de suivre cette directive a, de fait, eu pour conséquence un accès non autorisé, par la plaignante, à des renseignements personnels sensibles. Bien qu'il se soit agi de ses propres renseignements personnels auxquels elle a eu accès par inadvertance, il n'en demeurait pas moins que la plaignante n'avait pas été autorisée à utiliser le système lui ayant donné accès aux renseignements.
• Bien qu'aucune communication inappropriée à un tiers n'ait eu lieu, le fait que l'employé ait négligé de suivre la directive avait aussi donné lieu à un risque important d'une telle communication.

Il est évident que, dans les circonstances, les mesures de sécurité auxquelles la banque se fiait n'étaient ni efficaces ni appropriées pour assurer la protection des renseignements personnels sensibles de la plaignante. Le commissaire a donc conclu que la banque avait clairement contrevenu au principe 4.7.

Il s'est aussi penché sur la question de savoir si la banque, grâce aux mesures correctives mises en place par la suite, était parvenue à se conformer aux dispositions de la Loi. En termes pratiques, la situation vécue à l'origine par la plaignante serait-elle essentiellement différente avec les mesures de protection désormais en vigueur à la succursale ?

Au sujet de la fermeture automatique de l'écran de l'ordinateur, le commissaire a fait remarquer que cette mesure, bien qu'elle représentait sans nul doute une amélioration, n'empêcherait pas en soi l'accès pendant le laps de 15 minutes et, par conséquent, ne peut pas être considérée comme une mesure de sécurité adéquate pour la protection des renseignements personnels sensibles. À son avis, toute période de temps pendant laquelle un ordinateur en marche est laissé sans surveillance - que ce soit 15 minutes ou une minute - présente un créneau suffisant pour un accès non autorisé à des renseignements. Ce qui s'imposait était une mesure de sécurité protégeant les renseignements personnels sensibles en tout temps, et pas une qui s'enclencherait après 15 minutes d'attente.

En ce qui concerne la seconde mesure corrective, le commissaire a fait remarquer qu'un employé au courant de la règle avait, pour des raisons inconnues, négligé de la suivre dans ce cas. Il a dit douter qu'un autre employé, peu importe la fréquence ou le sérieux des rappels de la règle, soit moins sujet aux circonstances du moment ou aux facteurs, quels qu'ils soient, ayant donné lieu à la négligence initiale. Tenant compte du facteur humain, le commissaire n'était pas convaincu qu'une directive plus ferme enjoignant aux employés de clore la session serait susceptible d'être, de quelque façon, plus efficace que la première. Il semblait plus probable au commissaire que le fait de se fier à une fonction de fermeture automatique après 15 minutes d'attente amènerait les employés à s'en contenter et diminuerait à leurs yeux l'urgence de clore la session manuellement.

En résumé, le commissaire est de l'avis que, malgré les mesures correctives prises, il demeure à la succursale en question et aux autres succursales de la banque établies en magasin un risque inacceptable d'accès non autorisé à des renseignements personnels sensibles des clients au moyen des ordinateurs installés dans les aires ouvertes au public. Il a déterminé que les mesures correctives prises par la banque suite à la plainte ne constituaient pas en soi des mesures de sécurité appropriées. Il a donc conclu que la banque était toujours en contravention du principe 4.7.

Le commissaire a conclu que la plainte était fondée.

Autres considérations

Le commissaire a recommandé que la banque :

1. revoie ses politiques et mesures de sécurité en matière d'information applicables à ses succursales établies en magasin et prenne des mesures appropriées pour s'assurer que l'accès à tout ordinateur grâce auquel on peut obtenir des renseignements personnels des clients soit restreint au personnel autorisé de la banque;
2. prenne des mesures appropriées pour s'assurer que les clients ne puissent pas voir les mots de passe ou autres données d'identification utilisées par les employés à l'ouverture d'une session.