La commissaire dépose une plainte relative aux mesures de protection contre la CIBC
Résumé de conclusions d’enquête en vertu de la LPRPDE no 2008- 395
[Principes 4.7 et 4.7.1]
Leçons apprises
- Les politiques et les procédures en matière de sécurité sont essentielles, mais ne sont pas, à elles seules, suffisantes pour protéger les renseignements personnels contre la perte ou le vol. L’efficacité des mesures de protection et de sécurité est fonction de l’application diligente et uniforme par une organisation de ses politiques et procédures.
- L’application diligente et uniforme des politiques et des procédures en matière de sécurité dépend en grande partie de la formation continue en matière de protection des renseignements personnels offerte aux employés et aux membres de la direction. On peut ainsi favoriser et maintenir une bonne sensibilisation aux préoccupations liées à la sécurité des renseignements au sein de l’organisation.
- Il est d’autant plus important de prêter attention aux mesures de protection et de sécurité dans des situations où une organisation décide, pour une raison quelconque, de déroger de ses politiques et pratiques courantes en matière de gestion des renseignements. Avant d’agir de la sorte, l’organisation doit procéder à une évaluation minutieuse des risques et mettre en œuvre des mesures préventives appropriées.
- Lorsqu’elle soupçonne qu’il y a eu vol ou fraude, une organisation devrait informer la police le plus tôt possible afin d’éviter que les éléments de preuve ne deviennent périmés ou ne soient corrompus.
La plainte
Le 17 janvier 2007, la commissaire à la protection de la vie privée du Canada a déposé une plainte contre la Banque Canadienne Impériale de Commerce (CIBC). Cette plainte touchait les mesures de protection et de sécurité de cette banque.
La CIBC avait signalé précédemment au Commissariat qu’un paquet censé contenir un disque dur renfermant les renseignements personnels de plus de 400 000 clients, anciens et actuels, de la société de fonds mutuels Talvest avait été envoyé par voie terrestre de Montréal (Québec) à Markham (Ontario) et était arrivé à destination intact, mais vide. La banque avait ajouté que les données en question n’avaient pas été chiffrées. À ce moment-là, la société de fonds mutuels Talvest était une filiale de la CIBC.
Résultat de l’enquête
À la suite de l’enquête du Commissariat, la commissaire adjointe a déterminé que la CIBC n’avait pas respecté les principes de protection prévus dans la LPRPDE en n’appliquant pas de manière appropriée les politiques et les procédures régissant le transfert des données en question. Même si elle était satisfaite, dans l’ensemble, de la réaction de la CIBC dans cette affaire, notamment du fait qu’elle avait informé les clients concernés, et des mesures correctives mises en place pour régler les problèmes qu’elle avait elle-même cernés dans le cadre de son enquête, elle était tout de même préoccupée par le fait que la CIBC n’avait pas été en mesure, au bout du compte, de déterminer si un transfert de données à un lecteur portatif avait été effectué.
Dans un rapport préliminaire, la commissaire adjointe a fait part de sa préoccupation au sujet du manque de responsabilité de la CIBC sur le plan technique. Elle a recommandé à la banque d’examiner les logiciels d’application offerts sur le marché afin d’intégrer à son réseau une application qui lui permettrait de déterminer si des données ont été copiées sur un dispositif de stockage portatif et, dans l’affirmative, quand et par qui.
En réponse, la CIBC a informé le Commissariat qu’elle avait commencé à chercher un produit adéquat et qu’elle évaluerait la possibilité de mettre en œuvre une telle solution dans un environnement Windows (environnement dans lequel les transferts de données en question avaient été tentés). La banque a ajouté qu’elle évaluait les répercussions liées à la possibilité de désactiver les dispositifs de stockage portables permettant de se connecter aux serveurs Windows.
À la suite de cette réponse favorable de la CIBC, la commissaire adjointe a conclu que la plainte était fondée et résolue.
Résumé de l’enquête
L’incident
Le 13 décembre 2006, dans le cadre d’un projet de consolidation des serveurs, la CIBC a transféré les dossiers de Talvest de ses installations de Montréal (Québec) à son centre informatique de Markham (Ontario). Habituellement, la CIBC aurait utilisé son réseau interne pour procéder à un tel transfert, mais, dans ce cas, on a jugé que le processus habituel était susceptible d’avoir un effet négatif sur les activités de Montréal et d’accaparer toutes les capacités réseau disponibles. La CIBC a plutôt décidé de déroger à sa pratique courante en copiant les dossiers Talvest sur deux disques durs portables et en envoyant les deux lecteurs identiques séparément, un par voie terrestre et l’autre par voie aérienne, afin de garantir que les données seraient reçues rapidement et qu’il n’y aurait pas d’interruption des activités.
Les deux paquets sont arrivés intacts au Centre informatique de Markham. Le paquet envoyé par voie aérienne a été ouvert le 14 décembre 2006, et on y a trouvé un disque. Le 15 décembre 2006, le paquet envoyé par voie terrestre a été ouvert, et on a découvert qu’il était vide.
Les renseignements manquants auraient été liés au processus d’ouverture et d’administration des comptes de 470 752 clients, anciens et actuels, de Talvest. Les dossiers auraient contenu, selon le cas, des noms de clients, des adresses, des signatures, des dates de naissance, des numéros de compte bancaire, des détails sur les bénéficiaires et des numéros d’assurance sociale.
Réaction de la CIBC
Plus tard dans la journée du 15 décembre 2006, les employés du Centre informatique de Markham ont avisé le responsable de la protection des renseignements personnels et les personnes chargées de la sécurité de l’organisation de l’absence du disque. Le 16 décembre, les employés du Centre informatique de Markham ont entrepris une fouille des lieux incluant une inspection minutieuse des zones d’expédition et de réception. Les employés du bureau montréalais de la CIBC ont procédé eux aussi à une fouille minutieuse de leurs installations.
Le 18 décembre 2006, les personnes chargées de la sécurité organisationnelle de la CIBC ont lancé une enquête minutieuse, y compris la réalisation de 45 entrevues, notamment avec les employés ayant participé au transfert des données, à l’empaquetage des lecteurs et à leur expédition et réception.
Le 22 décembre 2006, le responsable de la protection des renseignements personnels de la CIBC a rapporté l’incident au Commissariat à la protection de la vie privée.
Le 8 janvier 2007, puisqu’il y avait possiblement eu activité criminelle, la CIBC a signalé l’incident à la police de Montréal.
Le 17 janvier 2007, la CIBC a commencé à envoyer des lettres aux clients concernés, les informant de l’incident et des mesures préventives prises par la banque dans l’éventualité où leurs dossiers auraient été consultés ou utilisés de manière appropriée. Ces lettres incluaient les renseignements suivants :
- la CIBC/Talvest allait indemniser les clients qui pourraient prouver, documents à l’appui, qu’ils avaient perdu de l’argent en raison de l’accès non autorisé à des renseignements personnels figurant dans les dossiers manquants;
- la CIBC/Talvest offrait aux clients concernés, s’ils le désiraient, l’occasion de s’inscrire à un service de contrôle du crédit;
- la CIBC/Talvest travaillait avec la police dans le cadre de l’enquête sur l’incident et tentait de récupérer les données de sauvegarde manquantes;
- la CIBC/Talvest allait répondre aux questions par l’entremise de son équipe de service à la clientèle dévouée et du site Web de Talvest.
Le 18 janvier 2007, la CIBC a publié un communiqué contenant l’adresse d’un site Web où une foire aux questions détaillée concernant l’incident pouvait être consultée.
Le disque manquant
Le disque manquant n’a toujours pas été retrouvé. Rien n’indique non plus que des renseignements personnels stockés sur celui-ci ont été consultés ou utilisés de manière inappropriée.
La police de Montréal n’a pas été en mesure de trouver le disque manquant dans le cadre de son enquête sur une possible fraude, enquête qui est maintenant terminée. Elle a informé le Commissariat que son enquête s’est révélée non concluante, puisqu’elle n’a pas pu rassembler des éléments de preuve suffisants pour s’acquitter du fardeau de la preuve exigé dans le cadre d’enquêtes criminelles.
La CIBC n’a pas été en mesure elle non plus de trouver le disque manquant, malgré sa propre enquête. Puisqu’il n’y avait aucun signe d’altération et puisque le représentant du service de messagerie qui était venu chercher le paquet avait remarqué sa légèreté relative et avait demandé à voix haute s’il y avait quelque chose dedans (le disque dur portable aurait dû peser quatre ou cinq livres), la CIBC juge hautement probable qu’il n’y ait jamais rien eu dans le paquet. En outre, même après une importante enquête interne, la banque n’a pas été en mesure d’établir avec certitude si un transfert de données à un deuxième disque dur avait réellement eu lieu.
Un contrôle continu par la banque a, jusqu’à présent, permis de constater qu’il n’y a eu aucun accès non autorisé aux comptes des clients concernés, et rien n’indique qu’il y a eu des vols d’identité ou de la fraude liés à l’incident. La CIBC considère l’absence de conséquences négatives jusqu’à présent comme un élément permettant de prouver qu’un deuxième disque dur portable contenant les renseignements personnels des clients de Talvest n’a jamais existé.
Préoccupations soulevées et réactions de la CIBC
Durant son enquête interne sur l’incident, la CIBC a cerné un certain nombre de lacunes dans le contenu et l’application de ses politiques et procédures de sécurité, notamment celles liées à la manipulation et au déplacement des renseignements confidentiels.
Le Commissariat a confirmé que la CIBC a mis en place beaucoup de mesures pour combler ces lacunes et prévenir des incidents semblables à l’avenir. Parmi ces mesures correctives, mentionnons les mesures importantes suivantes :
- modification des politiques, procédures et lignes directrices liées au déplacement de renseignements confidentiels afin de clarifier et renforcer les exigences, au besoin;
- mise en œuvre d’un programme amélioré de formation et de sensibilisation à l’intention des employés œuvrant dans le domaine des technologies au sujet des politiques et des procédures clés régissant la gestion des renseignements;
- nouvelles procédures d’approvisionnement sur le marché international et de traitement des paiements liées à l’envoi et à la réception de paquets par messagerie;
- examen de l’incident et des politiques et procédures pertinentes par des cadres principaux chargés de la technologie et leur équipe de gestion;
- examen par la direction, conformément aux politiques de la CIBC en matière d’emploi, des gestes des employés impliqués dans l’incident. Des mesures disciplinaires ont été prises contre plusieurs d’entre eux.
Préoccupations soulevées par le Commissariat
Durant l’enquête du Commissariat au sujet de la plainte de la commissaire, nous avons soulevé quatre préoccupations précises : (1) l’absence de chiffrement; (2) l’absence de supervision durant le transfert des données; (3) l’apparent manque de responsabilisation technique dans le cadre du transfert des données; (4) l’apparent retard dans la notification des autorités.
Absence de chiffrement : Vu la possibilité que des données non chiffrées soient obtenues et consultées par des parties non autorisées, le Commissariat a demandé à la CIBC d’expliquer pourquoi les dossiers Talvest n’avaient pas été chiffrés et quelles mesures la banque avait prises afin de garantir qu’à l’avenir, dans des situations semblables, les données seront dûment chiffrées.
Absence de supervision durant le transfert des données : Selon les éléments de preuve, l’importante tâche du transfert des dossiers Talvest du serveur au disque dur portable et de l’empaquetage des disques durs était la responsabilité d’un seul employé qui, apparemment, travaillait seul et sans supervision. Le Commissariat a demandé à la CIBC d’expliquer pourquoi une telle situation était survenue et quelles mesures précises elle avait prises pour garantir que de tels transferts de données soient, à l’avenir, supervisés de manière appropriée.
En ce qui a trait aux questions liées au chiffrement et à la supervision, la CIBC a répondu comme suit :
- Si les renseignements en question avaient été transférés par le truchement du réseau de la CIBC conformément aux pratiques habituelles, aucune intervention humaine n'aurait été nécessaire afin de garantir le succès du transfert et aucun chiffrement n'aurait été nécessaire puisque les données n'auraient pas quitté les installations et les systèmes informatiques protégés de la banque.
- En l'occurrence, pour les raisons mentionnées ci-dessus, la CIBC a décidé de ne pas utiliser sa pratique courante. Selon la terminologie utilisée par la banque, le transfert de données est devenu un « projet », faisant l'objet de politiques et de procédures exceptionnelles. Il y avait bel et bien de telles politiques en place, mais, dans la situation en question, elles n’ont pas été suivies. Malgré sa nature exceptionnelle, la méthode proposée de transfert de données n’a pas fait l’objet d’une évaluation adéquate du risque et de la menace. En outre, l’approbation préalable et explicite des membres compétents de la direction de la CIBC n’a pas été obtenue. Cela explique à la fois le fait que les données n’étaient pas chiffrées et que le processus n’a pas été géré et supervisé adéquatement.
- Parmi les mesures correctives que la CIBC a mises en œuvre, les politiques et les procédures concernant le chiffrement et le transfert des données ont été clarifiées. Ces politiques et procédures indiquent maintenant clairement que, lorsqu'il s'agit de transférer des données électroniques confidentielles au sein du réseau ou des installations de la CIBC, la première option doit toujours être d'utiliser le réseau interne de la banque pour procéder à la transmission. Cependant, lorsque le réseau ne peut être utilisé et que les renseignements doivent être transmis à l'extérieur de la CIBC, ils doivent être chiffrés conformément à une solution de chiffrement approuvée par la CIBC, et stockés sur un dispositif portatif. En outre, lorsqu'on voudra s'éloigner des pratiques courantes de l'organisation, il faudra utiliser un formulaire publié pour présenter une justification, mentionner les risques en cause et cerner toutes les mesures correctives permettant d'atténuer ceux-ci. Le formulaire exigera qu'on obtienne une approbation préalable explicite des membres compétents de la haute direction de la CIBC.
- En ce qui a trait à la supervision des employés, il y a des mesures de contrôle de l'accès en place afin de garantir que seuls les employés autorisés ont accès aux systèmes. En outre, en plus du fait que les employés doivent respecter le code de conduite, on a amélioré les activités de formation et de sensibilisation des employés à l'égard des politiques et des procédures pertinentes. Fait à noter, on a souligné aux employés que les transferts sur le réseau sont la méthode préférée de transfert des données.
Apparent manque de responsabilisation technique dans le cadre du transfert des données : Le Commissariat a demandé à la CIBC d’expliquer pourquoi elle n’avait pas été en mesure de déterminer par le biais d’un procédé technologique si les données avaient bel et bien été transférées du serveur à un deuxième disque dur portable.
La CIBC a répondu que l’environnement Windows utilisé pour les transferts de données en question ne gardait pas de piste de vérification permettant de confirmer la transmission des données à un disque dur portable. Dans le cadre de son enquête sur l’incident, la CIBC a pu déterminer qu’un dispositif comme un disque dur avait été connecté au système durant la période en question, mais pas s’il y avait réellement eu un transfert de données du système au dispositif. La banque a aussi clarifié qu’en plus de l’environnement Windows, son environnement informatique comporte un certain nombre d’autres technologies commerciales de pointe qui permettent toutes de conserver des pistes de vérification.
Apparent retard dans la notification des autorités : Plus précisément, le Commissariat était préoccupé par le fait que la CIBC semble avoir attendu 33 jours avant d’aviser les clients concernés. En outre, puisque la contamination des éléments de preuve peut, lorsqu’on attend trop longtemps, avoir des répercussions négatives sur les résultats d’une enquête criminelle, nous étions préoccupés par le fait que la CIBC semble avoir attendu 24 jours avant d’informer la police de Montréal. Nous avons demandé à la CIBC d’expliquer ces retards apparents.
Voici un résumé des explications fournies par la CIBC concernant le niveau d’effort requis pour informer tous les clients :
- Enquête par les personnes chargées de la sécurité organisationnelle de la CIBC : Douze employés chargés de la sécurité de l'organisation ont participé à l'enquête qui a débuté le 18 décembre 2006. Dans le cadre de l'enquête, on a procédé à plusieurs visites des lieux, à une fouille exhaustive des deux sites, à 45 entrevues auprès d'employés et à un examen juridique du système informatique. Cette enquête a pris fin le vendredi 5 janvier 2007. La CIBC a informé la police de Montréal le lundi 8 janvier 2007.
- Établissement de la liste des clients et validation de leur adresse : Cette activité s’est révélée chronophage puisqu'il fallait consulter 3,3 millions d'images, qui ont ensuite dû être associées de manière adéquate à la base de données existante sur les clients. Puisqu'il n'y avait pas de renseignements de tous les clients de Talvest sur le disque dur, le processus d'association était compliqué. De plus, d'importantes démarches de validation des adresses ont été requises pour les dossiers des clients inactifs.
- Rédaction des lettres et du communiqué : On avait besoin de plusieurs lettres différentes pour les clients, les conseillers en investissement et les courtiers. Les lettres et les communiqués devaient aussi être traduits en français.
- Arrangements avec les bureaux de crédit : Afin d'offrir des services de contrôle du crédit aux clients, la CIBC a dû négocier des modalités de contrat passées avec des bureaux de crédit. Il fallait donc coordonner et mettre en œuvre un processus d'enregistrement, qui incluait la création de formulaires adaptés aux clients et l'établissement de liens avec les bureaux afin de traiter les demandes.
- Site Web : Afin de répondre aux besoins des clients en matière d'information et d'inscription dans le cadre des services de crédit, la CIBC a dû préparer des pages Web et ajouter des liens appropriés. Le contenu devait être élaboré en français et en anglais et il fallait ajouter des liens logiciels vers les bureaux de crédit.
- Impression et envoi par la poste des lettres : La quantité de lettres exigeait à la fois l'établissement d’un processus de contrôle de la qualité et l'élaboration d'un processus de regroupement qui devaient être mis à l'essai avant d'être utilisés. Les lettres étaient classées par région géographique afin de faciliter leur livraison par Postes Canada. Elles ont été imprimées, glissées dans des enveloppes et postées de manière progressive pendant plusieurs jours afin de garantir que les centres d'appels étaient en mesure de répondre au nombre accru d'appels entrants.
- Centres d’appels : Vu le nombre de clients touchés, la CIBC a jugé essentiel de faire affaire avec un tiers afin de compléter ses propres ressources de centre d'appels interne. Il a fallu examiner les fournisseurs possibles. La prestation de soutien en français a dû être impartie. Il a fallu rédiger des scripts et former les employés internes et externes. En outre, on a créé un processus afin de fournir aux clients des copies de leurs documents lorsqu'ils en faisaient la demande. Il a fallu créer des lignes téléphoniques exclusives ainsi qu'un processus pour les clients qui souhaitaient transmettre une préoccupation ou une demande aux échelons supérieurs. Les heures d'exploitation ont dû être adaptées à plusieurs fuseaux horaires. Les responsables de la sécurité de l'organisation ont participé afin d'assurer la sécurité du processus.
- En conclusion, la CIBC a fait remarquer qu’il ne s’est écoulé que 19 jours ouvrables entre le début de son enquête interne par les responsables de la sécurité de l’organisation et le début des envois postaux. La banque a ajouté que, pour répondre à toutes les préoccupations et demandes de tous les clients sans soulever un vent de panique non nécessaire et en limitant les inconvénients, il a fallu aborder tous les facteurs énoncés ci-dessus avant d'informer les clients. Enfin, la banque a ajouté que les efforts pour aviser les clients s’étaient poursuivis malgré les problèmes liés à la disponibilité du personnel durant la période des Fêtes, alors que beaucoup d’employés de la CIBC et de ses fournisseurs ont remis leurs vacances et décidé de travailler de jour, de soir et la fin de semaine.
En ce qui a trait à l’apparent retard dans la notification de la police, la CIBC n’a offert aucune explication précise, et n’a fait que souligner le fait que la police de Montréal n’avait soulevé aucune préoccupation concernant la rapidité avec laquelle elle avait été avisée ni la possible contamination des éléments de preuve.
Conclusions
Rendues le 25 septembre 2008
Application : Le principe 4.7 stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Selon le principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que la consultation, la communication, la copie, l’utilisation ou la modification non autorisées et les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés.
Dans son rapport préliminaire sur la plainte, la commissaire adjointe a déclaré ce qui suit :
- Bien que je sois rassurée par le fait qu’aucun élément de preuve n’ait été découvert concernant le vol d’identité ou des pertes financières, j’ai été quelque peu déçue d’apprendre que ni la CIBC ni la police de Montréal ne semblent avoir été en mesure de déterminer avec certitude ce qui s’est produit exactement dans la présente affaire – c’est-à-dire, pourquoi un paquet contenant supposément un disque dur portable rempli de dossiers des clients de Talvest est arrivé vide à sa destination. Puisque je ne peux pas être certaine qu’un deuxième disque dur portable contenait des renseignements personnels ou a même existé, il m’est impossible de déclarer avec certitude que, dans les termes utilisés au principe 4.7.1, des renseignements personnels ont été perdus ou volés ou consultés, communiqués, copiés, utilisés ou modifiés à des fins non autorisées.
- Malgré cela, je peux affirmer sans l’ombre d’un doute ce que la banque a elle-même admis – que la CIBC n’a pas mis en place les mesures appropriées dans les circonstances pour protéger de manière convenable la grande quantité de renseignements personnels de nature délicate contre de telles éventualités. Même si je reconnais que des mesures de protection étaient en place au moment du transfert, notamment sous la forme de politiques et procédures de sécurité à appliquer dans le cadre des pratiques courantes, il ne fait aucun doute que les politiques et les procédures liées à la pratique non courante en question étaient dans une grande mesure déficientes ou, si elles étaient en place, n’étaient ni établies simplement par la banque ni appliquées de manière adéquate par les employés et les gestionnaires concernés. En général, les politiques et les procédures n’ont pas été dûment appliquées, et, puisque l’application des politiques et des procédures est aussi essentielle à la protection des renseignements personnels qu’elles le sont elles-mêmes, il ne fait aucun doute que la CIBC n’a pas respecté les principes 4.7 et 4.7.1.
- La question que je dois maintenant me poser est la suivante : la banque enfreint-elle encore ces principes? Ou est-ce que la CIBC, grâce aux mesures correctives qu’elle a mises en place, les respecte maintenant? Les mesures de protection de sécurité de la banque sont-elles maintenant suffisantes pour prévenir que des incidents semblables se produisent à l’avenir?
- Sur papier, du moins, les mesures correctives de la CIBC semblent régler plus ou moins adéquatement les problèmes que la banque a elle-même cernés durant son enquête sur l’incident. Comme toujours, cependant, un élément très important sera l’application des politiques et des procédures améliorées et, au bout du compte, l’efficacité des efforts de la banque pour éduquer et sensibiliser ses employés et pour garantir qu’ils appliquent avec diligence les politiques et les procédures pertinentes liées à la gestion des renseignements personnels.
- De manière générale, je suis satisfaite de la réaction de la banque à l’incident, particulièrement le fait qu’elle a avisé les clients concernés et a offert d’indemniser ceux qui auraient été victimes de pertes financières ou qui ont dû obtenir les services supplémentaires d’un bureau de crédit. J’ajouterai que, après avoir tenu compte de l’ensemble de la situation, je trouve que la période prise par la banque pour informer les clients était d’une durée raisonnable dans les circonstances, vu le nombre très important de clients à aviser, le niveau d’effort requis, la complexité du processus et la difficulté liée à la gestion d’un tel projet durant les Fêtes.
- En ce qui a trait aux préoccupations précises soulevées par le Commissariat dans l’affaire qui nous occupe, je suis, de manière générale, convaincue que les mesures correctives de la CIBC ont permis de régler adéquatement les problèmes liés à l’absence de chiffrement et au manque de supervision concernant le transfert des données. Cependant, encore faut-il que ces politiques et procédures améliorées soient appliquées de manière stricte et uniforme.
- Cependant, je ne suis pas convaincue que la CIBC a réglé notre préoccupation concernant l’absence de responsabilisation technique. Selon moi, l’aspect le plus troublant de l’affaire est le fait que la banque ne possédait pas et ne possède toujours pas la capacité technique de confirmer si oui ou non des données ont été transférées à un deuxième disque dur portable. Selon ce que j’en ai compris, il existe des logiciels d’application produits par des tiers qui peuvent fournir des détails sur les activités de transfert de dossiers sur un dispositif USB. J’aimerais souligner que, dans la situation qui nous occupe, si la CIBC avait possédé un tel logiciel, et si la banque avait donc été en mesure de confirmer dès le départ qu’aucun transfert à un deuxième disque n’avait eu lieu, aucune mesure supplémentaire n’aurait été nécessaire.
Mesure recommandée
Dans son rapport préliminaire, la commissaire adjointe a recommandé à la CIBC d’examiner les logiciels d’application offerts sur le marché afin d’intégrer à son réseau une application qui lui permettrait de déterminer si des données ont été copiées sur un dispositif de stockage portatif et, dans l’affirmative, quand et par qui.
Réponse de la CIBC à la recommandation
La CIBC a informé le Commissariat qu’elle avait commencé à chercher un produit adéquat et qu’elle allait évaluer la possibilité de mettre en œuvre une telle solution. La banque a ajouté qu’elle évaluait les répercussions liées à la possibilité de désactiver les dispositifs de stockage portables permettant de se connecter aux serveurs Windows.
Décision
À la lumière de la réaction favorable de la CIBC à la recommandation, la commissaire adjointe a produit un rapport final des constatations dans lequel elle conclut que la plainte déposée contre la CIBC par la commissaire à la protection de la vie privée du Canada était fondée et résolue.
Pratiques exemplaires
Dans son rapport préliminaire, la commissaire adjointe a aussi suggéré l’application par la CIBC de deux pratiques exemplaires afin d’améliorer sa réaction en cas d’incident futur semblable :
- Aviser la police le plus rapidement possible après avoir établi qu’il y a possiblement eu méfait.
- Puisque le Commissariat à la protection de la vie privée a été informé, inclure ce renseignement dans l’avis envoyé aux clients.
- Date de modification :