Sélection de la langue

Recherche

Une institution financière prend de vigoureuses mesures correctives après que des mesures de sécurité insuffisantes et un stockage inutile ont rendu vulnérables aux atteintes à la vie privée des données sensibles

Rapport de conclusions d'enquête en vertu de la LPRPDE no 2015-007

Le 13 avril 2015


Aperçu

La Compagnie de Fiducie Peoples, institution financière sous réglementation fédérale ayant son siège à Vancouver (en Colombie-Britannique), a déclaré de son propre chef au Commissariat une atteinte à la sécurité de renseignements personnels sensibles de 12 000 consommateurs (dont le nom, la date de naissance, le numéro d’assurance sociale et le nom de jeune fille de la mère). Ayant reçu au cours de ce dialogue informel plusieurs plaintes de Canadiennes et de Canadiens touchés par l’incident, nous avons ouvert une enquête à l’initiative du commissaire pour déterminer si les mesures de protection de l’information et les pratiques de conservation de l’organisation étaient adéquates.

D’après notre enquête, la Compagnie de Fiducie Peoples n’a pas mis en place des mesures de sécurité technologiques et organisationnelles adéquates pour protéger les renseignements personnels recueillis auprès des consommateurs pour les besoins du traitement des demandes de produits en ligne, d’autant plus qu’il s’agissait d’information sensible. L’entreprise i) n’avait pas mis en place des mesures de sécurité adéquates au moment du développement, de la mise en œuvre et de la refonte de son portail de demandes en ligne; ii) présentait des lacunes au chapitre de la surveillance et de la maintenance continues de son système pour assurer une protection constante contre les menaces à la sécurité en constante évolution; et iii) n’avait pas adopté de procédures de protection de la vie privée adéquates pour sécuriser l’information au cours du développement et de la mise en œuvre des systèmes de traitement de l’information.

En conséquence, sans que l’organisation soit au courant, les renseignements des clients étaient stockés inutilement — en double et sans chiffrement — sur un serveur Web qui n’avait pas été mis à jour en vue de corriger une vulnérabilité bien connue et qui ne faisait l’objet d’aucune surveillance pour détecter d’éventuelles menaces à la sécurité.

Il n’était pas question dans les politiques de l’organisation en matière de conservation de l’information du stockage en double inutile de ces données, si bien que les renseignements personnels en question ont été conservés au-delà de la période pendant laquelle l’organisation en avait besoin aux fins du traitement des demandes des clients. En fait, si les renseignements personnels sensibles n’avaient pas été stockés sur le serveur Web, les pirates informatiques n’y auraient pas eu accès.

À terme, après l’incident et l’intervention de notre organisme, nous avons été heureux de constater que la Compagnie de Fiducie Peoples prenait rapidement des mesures exhaustives afin de limiter la portée de l’incident, d’atténuer le risque pour les personnes touchées et de réduire la possibilité qu’un incident similaire se reproduise en améliorant les mesures de sécurité.

Par exemple, la Compagnie de Fiducie Peoples a fait inscrire une note au dossier de crédit des personnes touchées par l’incident, leur a envoyé des lettres d’avis, a remanié son portail de demandes en ligne et a commencé à surveiller son système de demandes en ligne.

En conséquence, nous avons conclu que la plainte est fondée et résolue.

Plaintes déposées en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi » ou « LPRPDE »)

Plainte

  1. Le 7 janvier 2014, le commissaire à la protection de la vie privée du Canada a pris l’initiative d’une plainte contre la Compagnie de Fiducie Peoples en vertu du paragraphe 11(2) de la Loi.
  2. Plus précisément, sur la base de l’information recueillie avant le début de notre enquête, la commissaire par intérim alors en poste a estimé qu’il y avait des motifs raisonnables de faire enquête pour déterminer si la Compagnie de Fiducie Peoples contrevenait :
    1. au principe 4.7 de l’annexe 1 de la Loi en ne mettant pas en place des mesures de sécurité appropriées dans les circonstances;
    2. au principe 4.5 de l’annexe 1 de la Loi en conservant les renseignements personnels des clients plus longtemps que nécessaire pour la réalisation des fins déterminées.

Contexte

  1. La Compagnie de Fiducie Peoples est une société de fiducie sous réglementation fédérale appartenant à des intérêts privés qui a son siège à Vancouver, en Colombie-Britannique. Elle offre des services financiers, notamment des hypothèques, des comptes de dépôt et des cartes de crédit sécurisées et prépayées dans un portail en ligne, par l’intermédiaire d’un centre d’appels et dans des succursales situées à Vancouver, à Calgary et à Toronto.
  2. Le 7 octobre 2013, après que huit clients lui eurent signalé avoir reçu des messages textes leur demandant d’appeler sans tarder la Compagnie de Fiducie Peoples en composant un numéro de téléphone aux États-Unis (les « messages hameçons »), l’entreprise a envisagé la possibilité d’une atteinte à la sécurité. Les messages ne provenaient pas de la Compagnie de Fiducie Peoples et le numéro n’était pas actif.
  3. Un consultant indépendant (le « consultant ») dont la Compagnie de Fiducie Peoples avait retenu les services a confirmé l’incident, sa cause et son ampleur (analyse détaillée ci-après). L’entreprise a alors déclaré de son propre chef l’incident au Commissariat le 15 octobre 2013.
  4. À la suite de cette déclaration, le Commissariat a amorcé un dialogue informel avec la Compagnie de Fiducie Peoples pour mieux comprendre la cause et les répercussions de l’incident.
  5. Au cours de ce dialogue, nous avons reçu de nombreuses plaintes de personnes touchées par l’atteinte à la vie privée. Les allégations des clients se rapportaient en grande partie à l’insuffisance des mesures de sécurité mises en place par la Compagnie de Fiducie Peoples pour protéger leurs renseignements personnels contre toute consultation ou communication non autorisées.
  6. Comme il est mentionné au paragraphe 2 ci-dessus, la commissaire par intérim alors en poste a estimé qu’il y avait des motifs raisonnables de croire qu’une enquête devait être menée sur les problèmes de sécurité et de conservation de l’information soulevés dans les plaintes déposées par de nombreuses personnes auprès de notre organisme.

Résumé de l’enquête

  1. Les faits exposés ci-après concordent avec un énoncé des faits convenu avec le mis en cause et sont fondés sur les déclarations et la documentation connexe remise au Commissariat par la Compagnie de Fiducie Peoples, notamment un rapport produit par le consultant. Nous tenons à souligner que l’entreprise a bien collaboré et a été réceptive à nos demandes tout au long de l’enquête.

Détails de l’atteinte à la vie privée

  1. Le consultant a déterminé que des pirates informatiques avaient eu accès à l’information sur les clients stockée dans une base de données de la Compagnie de Fiducie Peoples (la « base de données piratée ») hébergée sur un « serveur Web », qui renfermait les renseignements fournis par les clients pour ouvrir un compte de dépôt ou obtenir une carte de crédit sécurisée par le portail de demandes en ligne de l’entreprise (le « portail Web »).
  2. La base de données piratée renfermait les renseignements personnels d’environ 12 000 consommateurs, notamment des clients et des tiers liés (p. ex. des garants et des bénéficiaires de garanties). Pour chaque personne touchée, les renseignements en question comprennent généralement le nom, la date de naissance, l’adresse, le numéro d’assurance sociale, l’information sur l’emploi, les coordonnées, le nom de jeune fille de la mère (question de sécurité) et, dans le cas de 12 personnes, des renseignements bancaires émanant d’autres institutions financières (aux fins de virements de fonds électroniques). Les types de renseignements stockés dans la base de données varient d’une personne à l’autre en fonction du type de produit pour lequel le client avait présenté une demande par le portail Web.
  3. La Compagnie de Fiducie Peoples a constaté par la suite que les pirates informatiques avaient peut-être aussi eu accès à une autre base de données sur le serveur Web, qui renfermait uniquement de l’information désuète concernant des comptes détenus auprès de l’entreprise, en l’occurrence des comptes inactifs.
  4. Le système bancaire interne du mis en cause a été isolé du serveur Web, sauf pour le courriel. Rien n’indique que des renseignements autres que ceux stockés sur le serveur Web ont été dévoilés.
  5. Il est impossible de déterminer avec exactitude le moment où les pirates informatiques ont eu accès pour la première fois à la base de données, car on dispose des journaux du serveur uniquement à partir du 8 septembre 2013, soit 30 jours avant la date de l’examen mené par le consultant. En examinant les journaux à sa disposition, ce dernier a constaté des activités suspectes débutant le 24 septembre 2013. Toutefois, d’après les déclarations des clients remontant jusqu’au 3 octobre 2013, la Compagnie de Fiducie Peoples dispose d’indices montrant que les messages hameçons avaient commencé dès le 18 septembre 2013. Mais comme certaines personnes qui n’étaient pas clientes ont également reçu ces messages, la Compagnie de Fiducie Peoples estime que les messages reçus plus tôt n’étaient probablement pas associés à l’incident mettant en cause le serveur Web.

Circonstances ayant contribué à l’incident

  1. Au cours de l’automne 2013, des intrus ont piraté la base de données en question en exploitant une faille du portail Web de la Compagnie de Fiducie Peoples. Plus précisément, il a été déterminé que des pirates informatiques avaient pu avoir accès à la base de données au moyen d’un éditeur Web (c.-à-d. une application utilisée pour la conception et la maintenance de sites Web) désuet et vulnérable que l’on avait laissé inutilement sur le serveur Web. Le portail Web, qui avait été conçu à l’origine par un tiers dont la Compagnie de Fiducie Peoples avait retenu les services en 2005, a été remanié au début de 2013 par un autre entrepreneur. Ce dernier a utilisé un nouvel éditeur Web pour gérer le site Web remanié, mais il a laissé sur le serveur Web l’éditeur précédent (l’« ancien éditeur ») même s’il n’était plus nécessaire. La Compagnie de Fiducie Peoples a expliqué qu’elle ignorait que l’ancien éditeur se trouvait encore sur le serveur Web au moment de l’incident. C’est pourquoi elle n’a pris aucune mesure de sécurité supplémentaire pour empêcher tout accès non autorisé lorsqu’une vulnérabilité particulière de l’ancien éditeur a été largement rendue publique en février 2013. En fait, l’entreprise n’était pas au courant des mises à jour dont avait fait l’objet l’ancien éditeur depuis son utilisation pour la conception du site Web initial en 2005.
  2. L’entrepreneur dont la Compagnie de Fiducie Peoples a retenu les services pour la refonte de son site Web et de son portail de demandes en ligne possédait une expérience limitée dans l’élaboration de sites Web destinés à l’industrie des services financiers. Le contrat conclu par l’entreprise avec ce tiers n’imposait aucune exigence concernant les mesures de sécurité de l’information minimales.
  3. Les renseignements étaient stockés sur le serveur Web, d’où ils pouvaient être transférés dans le système bancaire interne de la Compagnie de Fiducie Peoples. L’information sur les demandes était envoyée du serveur Web au système bancaire interne de l’entreprise immédiatement après la transmission de la demande par le client. Toutefois, ces données étaient également stockées indéfiniment sur le serveur Web sous une forme non chiffrée. La base de données piratée renfermait des données non chiffrées sur les clients remontant jusqu’au 20 décembre 2007.
  4. Entre 2005 (conception initiale du site Web) et 2013 (incident), la Compagnie de Fiducie Peoples n’a fait aucun test ni exercé aucune surveillance de suivi pour déceler les vulnérabilités éventuelles du portail ou du serveur Web.
  5. Au moment de l’incident, la Compagnie de Fiducie Peoples avait un document de formation sur la sensibilisation à la sécurité interne pour donner des instructions concernant certains aspects des mesures de protection des données à l’intention de ses employés. Cependant, elle ne s’était pas dotée d’une politique détaillée sur la sécurité de l’information expliquant la façon de traiter et de protéger les renseignements personnels.

Réaction à l’incident

  1. En plus de déclarer l’incident au Commissariat et de retenir les services d’un consultant pour analyser sa cause et son ampleur, la Compagnie de Fiducie Peoples a pris des mesures afin de limiter la portée de l’incident, d’atténuer le risque pour les personnes touchées et de réduire la possibilité qu’un incident similaire se reproduise en améliorant les mesures de sécurité.

Limitation de la portée de l’incident

  1. Dès que l’incident a été confirmé, la Compagnie de Fiducie Peoples a pris plusieurs mesures pour en limiter la portée. Plus précisément, elle a :
    1. mis hors ligne le portail de demandes en ligne et la base de données connexe à laquelle les pirates informatiques avaient eu accès;
    2. éliminé de la base de données piratée toute l’information sur les clients;
    3. retiré du serveur Web l’ancien éditeur;
    4. instauré des vérifications systématiques pour s’assurer qu’aucun renseignement sur les clients n’était stocké dans la base de données piratée;
    5. commencé à accepter les demandes de produits uniquement par téléphone jusqu’à ce qu’elle puisse régler les problèmes concernant les mesures de sécurité dans le portail Web.

Atténuation du risque pour les personnes touchées

  1. La Compagnie de Fiducie Peoples a pris plusieurs mesures afin d’atténuer le risque pour les personnes touchées par l’incident :
    1. Elle a modifié les procédures d’authentification de manière à utiliser des renseignements d’identification autres que ceux dévoilés au cours de l’incident.
    2. L’organisation a retenu les services de deux agences d’évaluation du crédit de premier plan, soit Equifax et TransUnion, pour inscrire une note au dossier de crédit de chaque personne touchée afin que les organisations chargées d’évaluer leur solvabilité puissent prendre des mesures de précaution supplémentaires pour vérifier l’identité du demandeur. On n’a pas offert aux clients touchés la possibilité de refuser l’inscription de cette note à leur dossier de crédit, mais ils pouvaient par la suite la faire retirer en présentant une demande directement à Equifax ou à TransUnion. En l’absence de demande de retrait, la note restera au dossier pendant six ans.
    3. La Compagnie de Fiducie Peoples a avisé les institutions financières dont émanaient les renseignements personnels se rapportant aux 12 personnes touchées, qui avaient été communiqués aux fins de virements de fonds électroniques.
    4. L’organisation a envoyé une lettre à chaque personne touchée pour l’aviser de l’incident. Les lettres étaient adaptées en fonction des renseignements dévoilés, qui varient selon le produit demandé. Chaque lettre indiquait i) la nature de l’incident; ii) les renseignements dévoilés; iii) le risque de vol d’identité associé à l’incident; iv) les stratégies proposées afin d’atténuer le risque de fraude et un renvoi aux ressources concernant le vol d’identité affichées sur le site Web du Commissariat; v) des détails sur la note inscrite au dossier de crédit de l’intéressé ainsi que la marche à suivre pour la faire retirer; et vi) les coordonnées du responsable de la protection de la vie privée à la Compagnie de Fiducie Peoples à qui s’adresser pour poser des questions ou soulever des préoccupations.

Réduction de la possibilité qu’un incident similaire se reproduise

  1. Enfin, la Compagnie de Fiducie Peoples a mis en place plusieurs mesures de sécurité pour réduire la possibilité qu’un incident similaire se reproduise à l’avenir :
    1. L’entreprise a entièrement restructuré l’architecture de son portail de demandes en ligne.
      1. Les renseignements associés aux demandes sont maintenant transmis directement par un « serveur de formulaires », sous une forme chiffrée, à un « serveur intermédiaire » interne, puis à une base de données sur le « serveur de la base de données ».
      2. Les renseignements associés aux demandes ne sont jamais stockés sur le serveur de formulaires.
      3. Le serveur intermédiaire protège la base de données en authentifiant les renseignements avant leur transfert dans la base de données et en bloquant les intrusions extérieures.
      4. L’entreprise stocke sur un serveur Web distinct et indépendant le contenu Web général (p. ex. les brochures) pour permettre de meilleurs contrôles de sécurité sur le serveur de formulaires.
    2. La Compagnie de Fiducie Peoples a commencé à surveiller son système de demandes en ligne pour détecter les menaces et s’en protéger à l’avenir :
      1. En novembre 2013, l’entreprise a effectué un « test de pénétration » pour détecter toute vulnérabilité éventuelle du serveur Web. Elle n’en a détecté aucune.
      2. Un système automatisé surveille maintenant le serveur Web en continu pour détecter toute vulnérabilité éventuelle. À ce jour, il n’a détecté aucune vulnérabilité importante.
      3. La Compagnie de Fiducie Peoples a mis en place un calendrier d’application de correctifs et de mises à jour systématiques pour les serveurs Web.
    3. Elle a élaboré et mis en œuvre une politique sur la sécurité de l’information prévoyant des mesures de sécurité standard relativement i) à la préservation de la confidentialité de l’information sur les clients; ii) au stockage sécurisé de l’information; et iii) à la protection des données sur les dispositifs de stockage réseau. Ce document a été communiqué à tous les employés de la Compagnie de Fiducie Peoples et mis à leur disposition. L’entreprise a également créé un comité de protection de la vie privée et de sécurité de l’information, composé de membres de la haute direction, qui se réunit régulièrement pour discuter des questions de sécurité de l’information.

Application de la loi

  1. Pour rendre notre décision, nous avons appliqué les principes 4.1.4, 4.5, 4.5.2, 4.5.3, 4.7, 4.7.1, 4.7.2 et 4.7.3 de l’annexe 1 de la Loi.
  2. Selon le principe 4.1.4, les organisations doivent assurer la mise en œuvre des politiques et des pratiques destinées à donner suite aux principes, y compris : a) la mise en œuvre des procédures pour protéger les renseignements personnels; b) la mise en place des procédures pour recevoir les plaintes et les demandes de renseignements et y donner suite; c) la formation du personnel et la transmission au personnel de l’information relative aux politiques et pratiques de l’organisation; et d) la rédaction des documents explicatifs concernant leurs politiques et procédures.
  3. Selon le principe 4.5, les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis à moins que la personne concernée n’y consente ou que la loi ne l’exige. On ne doit conserver les renseignements personnels qu’aussi longtemps que nécessaire pour la réalisation des fins déterminées. En particulier, le principe 4.5.2 précise notamment que les organisations devraient élaborer des lignes directrices et appliquer des procédures pour la conservation des renseignements personnels et que ces lignes directrices devraient préciser les durées minimales et maximales de conservation. Le principe 4.5.3 ajoute que l’on devrait détruire, effacer ou dépersonnaliser les renseignements personnels dont on n’a plus besoin aux fins précisées.
  4. Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. D’après le principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels quelle que soit la forme sous laquelle ils sont conservés. Selon le principe 4.7.2, la nature des mesures de sécurité variera en fonction du degré de sensibilité des renseignements personnels recueillis, de la quantité, de la répartition et du format des renseignements personnels ainsi que des méthodes de conservation. Les renseignements plus sensibles devraient être mieux protégés. Enfin, le principe 4.7.3 précise que les méthodes de protection devraient comprendre : a) des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux; b) des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif; et c) des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Analyse

Mesures de sécurité et obligation connexe de rendre des comptes

  1. À notre avis, la Compagnie de Fiducie Peoples n’avait pas mis en place des mesures de sécurité technologiques et organisationnelles adéquates pour protéger les renseignements personnels fournis par ses clients pour les besoins du traitement des demandes de produits en ligne.
  2. L’information à laquelle ont eu accès les pirates informatiques comprend des renseignements personnels sensibles, notamment des renseignements financiers ou des renseignements d’identification détaillés (p. ex. le numéro d’assurance sociale, la date de naissance et les réponses aux questions de sécurité) pouvant être utilisés à des fins d’hameçonnage ou de vol d’identité. L’entreprise aurait dû mettre en place des mesures de sécurité plus vigoureuses pour protéger ces renseignements sensibles contre tout accès non autorisé.
  3. À notre avis, au moment du développement et de la mise en œuvre puis de la refonte de son portail de demandes en ligne, la Compagnie de Fiducie Peoples n’a pas pris des mesures de sécurité adéquates proportionnelles à la sensibilité de l’information. Elle n’a pas non plus retenu les services d’entrepreneurs possédant une solide expérience dans la conception d’applications Web pour les services financiers. En outre, dans les contrats conclus avec les entrepreneurs, elle n’a imposé aucune exigence concernant les mesures de sécurité de l’information minimales. Par conséquent, i) les renseignements personnels sensibles de clients ont été stockés inutilement, en double et indéfiniment, sur un serveur vulnérable sous une forme non chiffrée et ii) des pirates informatiques y ont eu accès en tirant parti d’un éditeur Web vulnérable, qui était conservé inutilement sur le serveur Web, même après être devenu désuet.
  4. L’entreprise a aussi omis d’assurer une surveillance et une maintenance adéquates pour protéger en permanence les renseignements personnels stockés sur son serveur Web. Elle ne s’était dotée d’aucun programme pour mettre régulièrement à jour l’éditeur Web. C’est ainsi que la Compagnie de Fiducie Peoples a omis d’installer la mise à jour particulière visant à remédier à la vulnérabilité très médiatisée dont les pirates informatiques semblent avoir tiré parti pour s’emparer des renseignements personnels. L’organisation a également omis d’assurer une surveillance continue pour détecter les éventuelles failles ou menaces en matière de sécurité et prendre des mesures correctives proactives avant qu’un incident se produise. Aucune surveillance de cette nature n’était exercée depuis le lancement du site Web en 2005.
  5. Enfin, la Compagnie de Fiducie Peoples s’était dotée d’une politique sur la sécurité interne donnant des instructions aux employés concernant le traitement de l’information, mais il n’y était pas question des systèmes de l’organisation qui peuvent recueillir, utiliser et communiquer des renseignements personnels. Comme nous l’avons souligné ci-dessus, les vulnérabilités touchant ces systèmes proprement dits ainsi que leur développement et leur surveillance continue y sont pour beaucoup dans l’incident.
  6. En définitive, à notre avis, les mesures de sécurité et les procédures connexes mises en place par la Compagnie de Fiducie Peoples pour protéger les renseignements personnels n’étaient pas adéquates compte tenu de l’information sensible qu’elle doit recueillir pour fournir ses services financiers. Elles contrevenaient par conséquent aux principes 4.7 et 4.1.4a) de la Loi.
  7. Toutefois, nous sommes convaincus que People Trust a fort heureusement pris, après notre intervention, des mesures suffisantes, non seulement afin d’atténuer le risque pour les personnes touchées, mais aussi afin d’éviter qu’un incident similaire se reproduise à l’avenir. Plus précisément, l’organisation a apporté des améliorations substantielles de manière i) à atténuer le risque pour les personnes touchées (lettre d’avis, note au dossier de crédit, etc.); ii) à remanier son portail Web pour mieux se protéger contre les atteintes à la sécurité des renseignements associés aux demandes; iii) à renforcer les activités de surveillance et de maintenance pour s’assurer que les nouvelles mesures de sécurité mises en place demeurent efficaces; et iv) à mettre en œuvre des politiques et des procédures détaillées pour s’assurer que la protection de la vie privée est prise en compte dès l’élaboration des futures améliorations aux systèmes.

Conservation de l’information

  1. D’après notre enquête, tous les renseignements fournis par les clients par l’intermédiaire du portail de demandes en ligne étaient stockés sur le serveur Web inutilement, en double et indéfiniment. Comme cette information était conservée sur le serveur Web sans que l’organisation soit au courant, il n’en était aucunement question dans ses politiques et calendriers de conservation de l’information. De plus, l’organisation n’aurait pas dû conserver les renseignements en question après leur transfert dans son système bancaire interne sécurisé. Manifestement, elle les a donc conservés plus longtemps que nécessaire. Si l’information n’avait pas été stockée sur le serveur Web, les pirates informatiques n’y auraient pas eu accès.
  2. Nous estimons par conséquent que la Compagnie de Fiducie Peoples a contrevenu au principe 4.5 de l’annexe 1 de la Loi en conservant ces renseignements associés à des comptes inactifs.
  3. Nous sommes toutefois convaincus que les modifications mises en œuvre par l’organisation au cours de notre enquête, y compris celle assurant le transfert direct et sécurisé de l’information dans les systèmes internes de la banque sans qu’elle ne soit jamais stockée sur le serveur Web, ont répondu de façon satisfaisante aux préoccupations du Commissariat concernant la conservation de l’information.

Conclusion

  1. À notre avis, la Compagnie de Fiducie Peoples n’avait pas mis en place des mesures de sécurité et des procédures connexes adéquates pour protéger les renseignements personnels sensibles des clients recueillis par son portail de demandes en ligne et stockés sur son serveur Web. L’organisation a également conservé plus longtemps que nécessaire aux fins déterminées cette information, dont il n’était pas question dans ses politiques sur la conservation de l’information.
  2. Toutefois, nous prenons également acte du fait que, par suite de notre intervention, la Compagnie de Fiducie Peoples a pris rapidement des mesures importantes et concrètes pour répondre aux préoccupations que nous avions soulevées tant dans le contexte de notre dialogue préalable à l’enquête qu’au cours de l’enquête ouverte par le commissaire. Les mesures correctives consistaient à i) adopter une stratégie globale afin d’atténuer le risque pour les personnes touchées par l’incident; ii) cesser de conserver inutilement sur le serveur Web les renseignements personnels des clients; iii) améliorer les mesures de sécurité et les procédures connexes pour protéger l’information recueillie par le portail Web; et iv) mettre en place des procédures plus exhaustives pour favoriser l’élaboration de pratiques de protection des renseignements personnels dans l’avenir.
  3. En conséquence, nous concluons que la plainte est fondée et résolue.

 

Date de modification :