Les communications aux courtiers en données exposent les faiblesses des mesures de sécurité en télécommunications

Résumé de conclusions d’enquête en vertu de la LPRPDE n^o 2007-372

[Principes 4.3, 4.7 et 4.7.1; article 2]

Le magazine Maclean’s du 21 novembre 2005 contenait un compte rendu de la façon dont le magazine a obtenu des relevés d’appels téléphoniques effectués par la commissaire à la protection de la vie privée du Canada, M^me Jennifer Stoddart, à partir de ses numéros de téléphone à la maison et de BlackBerry du travail, ainsi que les relevés de téléphone cellulaire d’un chef de la rédaction chez Maclean’s dont l’identité n’a pas été révélée. Les relevés en question ont été achetés par le journaliste à Locatecell.com, un courtier en données américain, lequel les avait obtenus des entreprises canadiennes de télécommunications Bell, TELUS Mobilité et Fido. Préoccupé par la façon dont ces communications ont pu avoir lieu, le commissaire adjoint à la protection de la vie privée a déposé des plaintes contre les entreprises canadiennes^{Note de bas de page 1}.

Les enquêtes ont révélé que Locatecell.com avait utilisé l’« ingénierie sociale » pour contourner avec succès les procédures d’authentification de la clientèle de Bell et de TELUS Mobilité. L’ingénierie sociale est un ensemble de techniques utilisées pour manipuler les gens et les amener à faire des choses ou à divulguer des renseignements confidentiels. L’obtention de renseignements personnels par faux-semblant, par exemple, consiste à créer et à utiliser un scénario afin d’obtenir des renseignements de la part d’une personne ciblée, habituellement au téléphone. Dans les cas en question, rien ne prouve que quiconque ait piraté les systèmes des entreprises ou que les divulgations aient été effectuées par des employés malhonnêtes.

Il demeure que des employés de chacune des trois organisations n’ont manifestement pas respecté les procédures d’authentification de la clientèle et ont donc omis de protéger adéquatement les renseignements personnels des clients. Le commissaire adjoint a conclu que ni les procédures d’authentification des entreprises ni la formation de leurs représentants du service à la clientèle n’étaient suffisamment complètes pour protéger les renseignements personnels des clients ou pour respecter les exigences de laLoi.

Le Commissariat s’est dit déçu par le manque de préparation de ces entreprises. L’ingénierie sociale est une menace reconnue pour la confidentialité des renseignements personnels des clients, et le problème des courtiers en données obtenant des relevés d’appel a été soulevé aux États-Unis au cours de l’été précédant les événements décrits dans ces plaintes. Le commissaire adjoint a donc été particulièrement troublé par le fait qu’on n’en avait pas fait assez pour alerter les employés de telles menaces et, donc, pour empêcher la communication des renseignements personnels des clients.

Néanmoins, le commissaire adjoint s’est réjoui du fait que les trois entreprises ont réexaminé leurs procédures d’authentification de la clientèle peu après les incidents. Même si les entreprises ont introduit d’importants changements, la commissaire adjointe était d’avis qu’elles pourraient en faire davantage pour corriger les faiblesses dans leurs politiques et procédures en ce qui concerne l’accès par des personnes non autorisées aux renseignements personnels des clients.  Il a suggéré qu’on apporte d’autres modifications à la formation des représentants du service à la clientèle et aux procédures de communication des renseignements personnels et d’authentification afin d’atténuer la menace de l’accès aux renseignements personnels par des personnes non autorisées. Les entreprises ont mis en œuvre toutes les mesures, à l’exception d’une seule, pour laquelle elles ont proposé des solutions de rechange qui ont été jugées acceptables par le commissaire adjoint. En conséquence, le commissaire adjoint a jugé que les plaintes contre les trois entreprises étaient fondées, mais qu’elles avaient été résolues depuis ce temps, étant donné les mesures correctrices prises par les organisations.

La section qui suit fournit de l’information supplémentaire sur les enquêtes et les délibérations du commissaire adjoint,  pour chacune des entreprises.

Résumé de l’enquête no 1 – Bell Canada

Le journaliste de Maclean’s a réussi à obtenir les détails des appels téléphoniques des deux comptes de M^me Stoddart chez Bell Canada, et il affirme les avoir obtenus de Locatecell.com. M^me Stoddart n’était pas au courant de la communication par Bell des détails de ses appels téléphoniques et n’y a donc pas consenti.

Après avoir été mis au courant de la question, Bell a mené un examen de ses systèmes et a conclu que ces derniers n’avaient pas été compromis. On n’a pas non plus démontré que des activités internes suspectes pouvaient mettre en cause un employé. Après des contrôles supplémentaires, il a été établi que l’information personnelle de la cliente avait été obtenue par l’entremise d’une procédure connue sous le nom de « ingénierie sociale »

En analysant les registres du système vocal automatisé de Bell, l’entreprise a déterminé que, le 2 novembre 2005, un certain nombre d’appels téléphoniques provenant des États-Unis ont été faits à un numéro particulier des lignes de service à la clientèle de Bell. La plupart des appels ont été gérés par le système vocal automatisé. On a essayé d’accéder aux demandes en libre-service dans le système, mais ces tentatives se sont avérées vaines, car la personne qui téléphonait n’a pas pu déjouer le processus de validation.

En ce qui concerne deux des appels, la personne qui téléphonait a été mise en communication avec un représentant du service à la clientèle. Bell Canada a identifié les représentants du service à la clientèle (RSC) qui ont répondu aux appels. L’un d’eux ne travaille plus pour Bell et n’a pas pu être joint. L’autre RSC a déclaré qu’elle ne se souvenait pas de l’appel en question, vu le volume d’appels qu’elle traite chaque jour, dont de nombreuses demandes de renseignements sur la facturation.

Lorsque les relevés de Locatecell.com ont été comparés aux relevés de facturation de Bell, ils ne reflétaient pas la demande originale et contenaient de nombreuses différences dont la forme donne à penser que les numéros ont été communiqués verbalement et que quelqu’un a essayé de les taper simultanément sur un clavier. Bell n’a fourni aucune copie de ces factures à Locatecell.com. Les renseignements détaillés concernant les appels ont plutôt été fournis verbalement, par téléphone.

Afin de déterminer la façon dont Locatecell.com a pu obtenir les relevés d’appels, Bell a présenté une demande de renseignements par l’intermédiaire du site de Locatecell.com. Deux appels ont été effectués à partir des mêmes lieux aux États-Unis que les appels précédents. Locatecell.com a répondu à la demande de contrôle le jour même, fournissant les renseignements qui avaient été demandés.

Bell a identifié les RSC qui ont traité ces appels de Locatecell.com. Dans les deux cas, l’auteur de l’appel a utilisé des techniques de faux-semblant et les RSC n’ont pas confirmé l’identité de la personne qui appelait avant de communiquer les relevés détaillés des appels.

Bell a effectué d’autres contrôles. Le courtier en données a encore une fois usé de faux‑semblant pour soutirer des renseignements sur les relevés d’appel. Il a réussi une fois.

Le Commissariat a examiné les procédures de validation de l’entreprise en place au moment de l’incident, les contrôles d'appels subséquents ainsi que les mesures correctives adoptées. Après l’incident et les contrôles additionnels, Bell a rapidement modifié ses procédures de validation afin de mieux se protéger contre le faux-semblant pour obtenir un accès non autorisé aux renseignements sur les clients et a émis des rappels et fourni une formation supplémentaire aux RSC concernant l’importance de la protection de la confidentialité et du respect des procédures de validation. Bell a modifié à nouveau ses procédures quelques mois plus tard, prenant en compte la rétroaction négative des clients au sujet de la quantité d’informations qu’ils doivent fournir au cours du processus de validation.

Les clients ont depuis assez longtemps la possibilité d’établir un mot de passe pour accéder à leur compte. S’il y a un mot de passe sur un compte, le client doit le fournir à des fins de validation. On donne aussi l’instruction aux RSC d’offrir le service de mot de passe aux clients ayant diverses préoccupations, dont des préoccupations concernant la protection de la vie privée.

Les RSC reçoivent une formation sur l’authentification des clients dans le cadre de leur première formation en tant que nouveaux employés. Ils ont un accès facile à toutes les pratiques de l’entreprise et ils reçoivent des renseignements concernant toutes les nouvelles procédures. Les RSC ont reçu une formation en personne au sujet des nouvelles procédures de validation des clients, et ils bénéficient d’un encadrement continu.

Nous avons parlé aux RSC concernés par les appels de contrôle ainsi qu’à celle qui a communiqué les relevés d’appel de M^me Stoddart. Tous ont reconnu avoir reçu une formation sur la validation des clients au cours de leur première formation d’employé. Ils ont affirmé n’avoir reçu aucune autre formation sur la validation des clients avant la mise en œuvre des nouvelles procédures à la fin de 2005. En ce qui concerne la confidentialité des renseignements des clients, deux étaient au courant de ce concept et ont reconnu avoir reçu une formation sur la protection des renseignements personnels et l’éthique. Les deux autres RSC n’étaient pas au courant et ont affirmé qu’ils n’avaient pas reçu de formation sur la protection des renseignements personnels et sur l’éthique.

En ce qui concerne la confidentialité des renseignements des clients, les employés doivent chaque année s’engager par écrit à respecter le code de conduite de l’entreprise, qui inclut une section sur la protection des renseignements personnels des clients. On donne aux employés une série de documents, que nous avons étudiés, concernant la politique de protection des renseignements personnels de l’entreprise et, plus précisément, la confidentialité des relevés des clients.

Le 14 novembre 2005, Bell émettait un communiqué soulignant l’importance de la protection des renseignements des clients. Bell a fait remarquer qu’on a usé de subterfuges et de fausses déclarations et que les entreprises et les clients concernés avaient été victimes de fraude. On affirmait dans le communiqué que Bell avait renforcé ses mesures de sécurité, reconnaissant que cela allait causer des inconvénients aux clients qui demandent en toute légitimité leurs renseignements personnels. On soulignait également que l’entreprise poursuivait ses efforts d’enquête pour déterminer si une action en justice pourrait mettre un terme aux pratiques frauduleuses.

Ce cas se heurte aux articles suivants de la Loi sur la protection des renseignements personnels et les documents électroniques (la Loi) : Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 prévoit que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.

Pour rendre sa décision, le commissaire adjoint s’est appuyé sur les considérations suivantes :

• Personne ne conteste le fait que Bell a communiqué à Locatecell.com les relevés d'appel associés aux deux comptes téléphoniques de M^me Stoddart à son insu et sans son consentement, contrairement à ce qu'énonce le principe 4.3.
• Les circonstances dans lesquelles la communication a eu lieu n'ont pu être établies, à l'exception du fait que les relevés ont été communiqués verbalement par deux RSC.
• Le commissaire adjoint était préoccupé par le fait que les contrôles subséquents des services de Locatecell.com effectués par Bell ont révélé que certains RSC de Bell ne respectaient pas les politiques et les procédures d'authentification des clients, contrairement à ce qu'énoncent les principes 4.7 et 4.7.1.
• Par suite de la communication, Bell a revu ses procédures d'authentification de la clientèle et a entrepris de former ses RSC aux nouvelles procédures. En 2007, Bell a aussi introduit dans son système vocal automatisé un nouveau « service de reconnaissance vocale », qui permet aux clients qui le veulent de s'inscrire au service et de l'utiliser comme méthode d'authentification.

Résumé de l'enquête no 2 — TELUS Mobilité

Le journaliste a aussi obtenu de Locatecell.com un relevé des appels de téléphone cellulaire d'un compte TELUS Mobilité. On a d'abord supposé que les relevés d'appel en question étaient associés au numéro du BlackBerry fourni par le Commissariat à M^me Stoddart, mais on a plus tard établi qu'ils étaient associés au numéro de BlackBerry d'un membre du personnel.

TELUS Mobilité a pu déterminer quel représentant du service à la clientèle (RSC) a communiqué les renseignements. Le courtier en données a encore utilisé la technique du faux‑semblant. La RSC concernée était une employée relativement nouvelle et, pour se montrer serviable, a communiqué les renseignements sur le relevé d'appel et n'a pas authentifié la personne qui appelait conformément aux procédures établies.

La personne qui téléphonait a essayé d'accéder aux renseignements du compte par l'intermédiaire du système de reconnaissance vocale intégré de TELUS Mobilité, mais n'a pas réussi à déjouer le processus de validation.

Pour ce qui est de savoir pourquoi on a communiqué les relevés d'appel de l'employé du Commissariat plutôt que ceux de M^me Stoddart, lesquels avaient été demandés, on a présumé que, puisque le numéro de BlackBerry de l'employé apparaît sur le même compte organisationnel que celui de M^me Stoddart, la RSC a peut‑être accédé par inadvertance aux renseignements associés à l'employé plutôt qu'aux renseignements sur le compte associé à M^me Stoddart, comme le demandait la personne qui téléphonait.

Cette personne a demandé à examiner trois factures, soit celles des mois d'août, septembre et octobre, et a demandé la date et le numéro de chaque appel et le nombre de fois par jour où apparaissait le même numéro. Après que la RSC l'a informé des appels pour la période de facturation de septembre et octobre, il a dit que cela suffisait et l'appel a pris fin.

Environ une semaine après l'appel, au cours d'une réunion ordinaire avec son gestionnaire, la RSC a mentionné l'appel, qui avait éveillé ses soupçons. On a informé l'employée au sujet des étapes à suivre à l'avenir lorsqu'elle serait confrontée à un appel suspect.

Selon TELUS Mobilité, l'entreprise traite en moyenne plusieurs millions d'appels par année de la part de clients et, avant cet incident, elle n'a eu connaissance d’aucun autre incident de ce genre.

Nous avons comparé les renseignements de facturation du numéro de l'employé du Commissariat avec les appels que Locatecell.com a fourni à Maclean’s à la suite de sa demande de renseignements au sujet de M^me Stoddart. Nous avons remarqué des erreurs et des omissions qui donnent à penser que les renseignements ont été fournis verbalement et assez rapidement.

Les BlackBerrys de M^me Stoddart et ceux des employés du Commissariat font partie du compte organisationnel du Commissariat. Au moment de la communication, le compte ne contenait pas de NIP. TELUS Mobilité a des procédures de validation précises pour les appels traités par un RSC concernant un compte organisationnel sans NIP.

Au cours de leur formation comme nouveaux employés, les RSC reçoivent une formation sur les procédures d'authentification. Ils peuvent avoir accès aux procédures en tout temps. TELUS Mobilité envoie également des rappels périodiques aux RSC au sujet de l'authentification.

TELUS Mobilité a fourni des documents au Commissariat en ce qui concerne l'évaluation des RSC et l’affichage des procédures de vérification ainsi que du matériel de formation relatif à d’autres questions, y compris l'ingénierie sociale. On exige aussi des RSC qu'ils participent aux programmes d'apprentissage qui abordent la question de la protection des renseignements personnels des clients. Deux de ces cours doivent être suivis annuellement.

TELUS Mobilité a pris un certain nombre de mesures afin de régler le problème, y compris informer les employés sur l'ingénierie sociale et insister sur l'importance du respect des procédures établies. On pourrait apporter d'autres modifications à ces procédures.

Afin de déterminer les méthodes utilisées par Locatecell.com et d'autres courtiers en renseignements, TELUS Mobilité a effectué un contrôle de ses services. Une seule des demandes par courriel de TELUS Mobilité aux courtiers en données a fait l’objet d’un accusé de réception, mais aucun dossier ne lui a été transmis par un courtier.

Dans ce cas précis, les articles suivants de la Loi sont pertinents : L’article 2 définit le terme renseignement personnel comme tout renseignement concernant un individu identifiable. Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire. Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 prévoit que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.

• En ce qui concerne les renseignements personnels, TELUS a soutenu que les renseignements obtenus par Locatecell.com ne constituaient pas des renseignements personnels au sens de l'article 2 de la Loi. TELUS a présenté les arguments suivants :
  • Un relevé des appels effectués par un employé dans le cadre de son travail et à partir d'un téléphone fourni par l'employeur devrait être considéré comme des renseignements d'ordre commercial de l'employeur plutôt que comme des renseignements personnels de l'employé.
  • Le numéro de BlackBerry était le numéro de téléphone de l'employé d'une organisation et était donc exclu de la définition des renseignements personnels énoncée à l'article 2.
  • Une liste des numéros appelés est associée à un employé, mais ne constitue pas de renseignements au sujet de cet employé. Ainsi, elle devrait être considérée comme des renseignements sur le produit du travail.
  • Locatecell.com n'était pas au courant que les relevés obtenus étaient ceux de l'employé et non ceux de M^me Stoddart, et n'aurait pas pu associer les relevés à l'employé. Il ne s'agissait donc pas de renseignements concernant un individu identifiable.

En rendant sa décision au sujet de TELUS, le commissaire adjoint a fait les réflexions suivantes :

• Il a fait valoir que les relevés de téléphone cellulaire sont en effet des renseignements personnels et a fait les raisonnements suivants :
  • La Loi ne fait aucune distinction entre les renseignements personnels et les renseignements d'ordre commercial. Les personnes auxquelles un employé décide de téléphoner pendant qu'il est au travail, y compris les appels personnels, constituent des renseignements personnels de cet employé.
  • C'est non pas le numéro de téléphone cellulaire de l'employé qui est mis en cause par la plainte, mais bien tout l'historique d'appels.
  • L'historique d'appels d'un employé n'est pas le résultat de son travail : il représente la façon dont cet employé effectue son travail afin d'en arriver au produit du travail. Ainsi, l'historique d'appels devrait être considéré comme les renseignements personnels « au sujet » de cet  employé.
  • Le fait que TELUS Mobilité n'ait pas communiqué les renseignements personnels de la personne demandée ne signifie pas que l'entreprise n'a pas communiqué les renseignements concernant un individu identifiable. Bien que le nom du  détenteur du BlackBerry n’avait pas été expressément communiqué avec son relevé d’appels, cela ne veut pas dire que cette personne ne pouvait pas être identifiée.  Il y avait effectivement une forte probabilité que Locatecell.com ou le journaliste (ou quiconque, finalement)  auraient été en mesure de recouper suffisamment d’informations pour être éventuellement en mesure de découvrir l’identité du détenteur du BlackBerry, en communiquant avec toutes les personnes figurant sur le relevé d’appels.  Ainsi, le relevé d’appels, lorsque pris dans son ensemble dans le présent contexte, était de l’information sur une personne « identifiable »
• Personne ne conteste le fait que TELUS Mobilité a communiqué à Locatecell.com les relevés d'appels associés au BlackBerry de l'employé du Commissariat à son insu et sans son consentement, contrairement à ce que prévoit le principe 4.3. La communication s’est produite parce que la RSC ne s’est pas assurée que la personne qui téléphonait et qui demandait des renseignements était autorisée à obtenir les renseignements.
• De plus, à ce moment, TELUS Mobilité n'avait pas mis en place de procédures afin de gérer le scénario qui a mené à la communication, en violation des principes 4.7 et 4.7.1. Depuis, TELUS a modifié ses procédures.
• Le commissaire adjoint a souligné que les autres facteurs de la communication étaient le manque d'expérience de la RSC et le fait que les tactiques employées par les courtiers en données n'ont pas été couvertes au cours de sa formation. Les RSC ont reçu, depuis, plusieurs bulletins concernant les tactiques utilisées par les courtiers en données.
• TELUS Mobilité a également pris un certain nombre de mesures pour prévenir de telles communications.

Résumé de l'enquête no 3 — Fido

Le magazine Maclean’s du 21 novembre 2005 contenait aussi un compte rendu de la façon dont le magazine a obtenu, par l'intermédiaire de Locatecell.com, les relevés du téléphone cellulaire Fido d'un chef de la rédaction de Maclean’s dont l’identité n’a pas été révélée. Le journaliste, par contre, refusait de divulguer le nom de ce chef de la rédaction à Fido et au Commissariat. Fido n’a donc pas pu fournir de détails précis au sujet de la présumée communication.

Fido, tout comme Bell et TELUS Mobilité, a testé les services de Locatecell.com afin de déterminer si le courtier en données pouvait obtenir des renseignements détaillés sur les appels des clients, comme on l'affirmait dans l'article du Maclean’s. L'entreprise a présenté une demande et Locatecell.com a fourni à Fido les détails des appels demandés. Afin de comprendre comment Locatecell.com a obtenu des renseignements, l'entreprise a suivi de près les agissements des RSC à l'égard de certains comptes de clients en particulier afin d’examiner leurs notes et actions. Fido a ensuite effectué deux achats d’information sur les comptes surveillés auprès de Locatecell.com. Dans un cas, Locatecell.com a pu obtenir des détails concernant les appels.

Fido a établi que les renseignements n'ont pas été communiqués par un employé malhonnête et que les communications n'étaient pas le résultat de systèmes compromis Il s'agit plutôt du fait que le courtier, comme dans les cas de Bell et de TELUS, avait usé de faux‑semblant pour obtenir les relevés.

Ce cas relève des dispositions suivantes de la Loi : Le principe 4.3 prévoit que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.

Le principe 4.7 stipule que les renseignements personnels  doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 énonce que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.

L'allégation de Maclean’s voulant que les relevés d'appel Fido d'un chef de la rédaction aient été communiqués sans que ce dernier en soit informé ou sans qu'il y ait consenti n'a pas pu être corroborée.

Fido a exécuté des tests supplémentaires et a conclu que Locatecell.com avait encore eu recours au faux‑semblant pour soutirer des renseignements sur les clients aux RSC. Les RSC ont divulgué des renseignements sans contrôler l'identité de la personne qui téléphonait, contrairement à ce que prévoit le principe 4.3. Le commissaire adjoint était préoccupé du fait que ces tests montraient que ce ne sont pas tous les RSC de Fido qui respectent les politiques et les procédures d'authentification du client, contrairement à ce que prévoient les principes 4.7 et 4.7.1.

Fido a fourni au Commissariat un tableau comparatif de ses procédures de validation précédant et suivant l'incident pour Fido et Rogers Wireless (Fido est une filiale de Rogers Wireless Inc.). La validation de la clientèle est obligatoire pour tous les RSC, et celui qui communique des renseignements est responsable de valider l'identité du client.

À la suite de l'incident, Fido/Rogers a pris des mesures afin d'éliminer la possibilité d'obtenir des relevés d'appel par l'intermédiaire de son système automatisé et a augmenté les exigences d'identification lorsqu'on parle avec un RSC.

Tous les RSC ont reçu des renseignements et ont dû s’engager par écrit à appliquer les nouvelles mesures de l'entreprise. Des mesures supplémentaires ont été créées pour s'assurer que les nouveaux RSC connaissent les procédures de validation des clients. On a aussi envoyé à tous les employés les renseignements concernant les tentatives d'obtenir illégalement des renseignements sur les clients et l’interdiction d'envoyer par télécopieur des détails sur les appels. Les points de vente au détail ont en plus reçu des instructions sur la validation. L'entreprise a également effectué un examen de ses procédures de validation.

Les RSC reçoivent une formation sur la confidentialité des renseignements personnels des clients, y compris la validation du client, dans le cadre de leur formation de nouveaux employés. L'information sur la validation de la clientèle peut être facilement consultée par les RSC en tout temps. Fido a également fourni de la documentation sur les politiques de confidentialité auxquelles les employés doivent adhérer.

Mesures recommandées pour Bell, Telus Mobilité et Fido

Tout en reconnaissant les mesures que les entreprises ont déjà adoptées, le commissaire adjoint était d'avis qu'elles pourraient en faire davantage pour combler les lacunes de leurs politiques et procédures visant à atténuer la menace que constitue l'accès par des personnes non autorisées aux renseignements personnels des clients.

On a donc recommandé à Bell, TELUS Mobilité et Fido d'entreprendre un certain nombre d'actions précises pour améliorer la formation des représentants du service à la clientèle, pour limiter les communications de renseignements personnels et améliorer les procédures d'authentification. Les entreprises ont répondu qu'elles mettraient en œuvre toutes ses recommandations, sauf une. Toutefois, à l’égard de cette exception, ils ont suggéré d'autres mesures que le commissaire adjoint a trouvées acceptables.

En conséquence, le commissaire adjoint a conclu que les trois plaintes étaient fondées et résolues.

Le commissaire adjoint a fourni aux entreprises une copie de nos lignes directrices en matière d'identification et d'authentification, et a souligné les sections concernant les facteurs et la vérification de l'authentification.

Le commissaire adjoint a reconnu que les clients pourraient s'opposer à certains des changements mis en œuvre par les entreprises. Il a noté, toutefois, le rôle que joue la personne dans la protection de ses renseignements personnels en remettant en question et en évitant d'utiliser les processus d'authentification faibles, en choisissant des authentificateurs efficaces (p. ex. des mots de passe et des NIP choisis au hasard et difficiles à deviner), et en protégeant de façon responsable et continue leurs identificateurs et leurs authentificateurs. Les organisations peuvent faciliter la situation en fournissant aux clients des renseignements généraux sur l'importance de l'authentification.

Compte rendu sur les courtiers en données

Aux États‑Unis, la situation a changé au cours des derniers mois en ce qui concerne les courtiers en données tel que Locatecell.com : on a présenté des projets de loi, aux échelons fédéral et d'état, pour interdire l'utilisation des techniques de faux‑semblant pour obtenir, vendre ou demander des relevés téléphoniques. Certains de ces projets de loi ont été adoptés. De plus, plusieurs poursuites ont été déposées contre Locatecell.com par diverses organisations, y compris des compagnies de téléphone. Bell a obtenu une injonction contre Locatecell.com, ses directeurs et plusieurs sociétés affiliées, leur interdisant d'essayer d'obtenir des renseignements sur sa clientèle. TELUS Mobilité a également retenu les services d'un avocat américain pour entreprendre une poursuite contre les exploitants de Locatecell.com, mais a par la suite abandonné ce plan d'action lorsqu'il est devenu évident que Locatecell.com avait mis fin à ses opérations commerciales. En effet, les activités des courtiers en renseignements américains ont été stoppées dans bien des cas, ou réduites au minimum. Plusieurs des sites Web de courtiers en données ne sont pas accessibles, et le site de Locatecell.com est inopérant depuis quelque temps.

Néanmoins, cela ne veut pas nécessairement dire que la menace à la confidentialité des renseignements personnels a disparu, non plus que les courtiers en données aux États-Unis ou dans d'autres pays (particulièrement ceux qui n'ont pas de lois similaires en matière d'obtention de renseignements par faux-semblant). Au Canada, un projet de loi d'initiative parlementaire, le projet de loi C‑299, a été présenté en première lecture à la Chambre des communes le 17 mai 2006. L'objectif du projet de loi consiste à protéger les particuliers contre la collecte de leurs renseignements personnels par des moyens frauduleux ou par la supercherie (faux-semblant). À ce jour, le projet de loi n'a pas été adopté.

Comme l'indiquent nos lignes directrices, les menaces à la confidentialité des renseignements personnels émergent et évoluent constamment. Les organisations doivent adapter leurs politiques et leurs pratiques en vue de gérer ces nouveaux risques et de protéger les renseignements personnels qui leur sont confiés.