Sélection de la langue

Recherche

Des employés d’une entreprise ont contourné les protocoles d’authentification, permettant ainsi à des fraudeurs d’accéder à plusieurs reprises au compte d’un client

Conclusions en vertu de la LPRPDE no 2021-004

Le 30 mars 2021


Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

Description

Un particulier s’est plaint au Commissariat que Fido n’avait pas protégé ses renseignements personnels contre un accès non autorisé, ce qui avait permis à des fraudeurs d’accéder aux renseignements personnels sur son compte et de les modifier. Il a également allégué que Fido avait répondu à sa demande d’accès en fournissant les renseignements demandés sous une forme qui n’était pas généralement compréhensible.

Points à retenir

  • Les organisations doivent veiller à mettre en place des mesures de sécurité adéquates pour protéger les renseignements personnels de leurs clients contre tout accès et utilisation non autorisés.
  • Les imposteurs peuvent profiter du fait que des employés ne suivent pas les protocoles d’authentification pour obtenir un accès non autorisé à des comptes.
  • Les organisations doivent donc s’assurer que :
    • les protocoles d’authentification de l’identité des titulaires de compte et les protocoles permettant de signaler les comptes présentant un risque accru de fraude sont facilement accessibles au personnel, clairs et faciles à suivre;
    • une formation d’appoint est dispensée de façon périodique aux gestionnaires et au personnel afin, entre autre, de leur rappeler que le fait de ne pas authentifier correctement l’identité des titulaires de compte peut avoir des conséquences importantes et entraîner des dommages;
    • des systèmes de rétroaction proactifs sont en place pour assurer le suivi et remédier aux cas de non-respect des protocoles d’authentification par le personnel.
  • Les organisations peuvent choisir de donner accès à des enregistrements d’appels téléphoniques plutôt que de fournir des transcriptions de ces appels; toutefois, les organisations qui décident de répondre aux demandes d’accès de cette manière doivent s’assurer que l’accès est fourni sous une forme généralement compréhensible.

Rapport de conclusions

Aperçu

Le plaignant dans cette affaire a prétendu que Fido Solutions Inc. (Fido), une filiale de Rogers Communications Inc. (Rogers), avait omis de protéger ses renseignements personnels contre tout accès non autorisé. Pendant plusieurs jours en janvier 2019, des fraudeurs ont accédé aux renseignements personnels sur le compte du plaignant et les ont modifiés, même après qu’il a ajouté un numéro d’identification personnel (NIP) et des questions secrètes de sécurité à son compte. Le plaignant a également soulevé des préoccupations quant à la réponse qu’il a obtenue lorsqu’il a demandé l’accès aux transcriptions des appels entre les fraudeurs et les représentants du service à la clientèle (RSC) de Fido.

Le Commissariat a examiné les enregistrements des appels téléphoniques au cours desquels différentes personnes ont appelé Fido en se faisant passer pour le plaignant et ont obtenu l’accès au compte de ce dernier. Nous avons appris que lors de chaque appel, les fraudeurs ont obtenu accès même s’ils n’avaient pas réussi à authentifier leur identité au moyen des divers protocoles d’authentification de Fido. Nous avons considéré que les nombreux manquements des différents RSC en matière d’authentification de l’identité étaient révélateurs d’un problème systémique au niveau des mesures de sécurité, et nous avons donc formulé certaines recommandations pour que l’organisation se conforme à la LPRPDE. En réponse à nos recommandations, Fido s’est engagée à mettre en œuvre, d’ici le 30 novembre 2021, de nombreuses mesures visant à s’assurer que les protocoles d’identhentification sont mieux compris et respectés par leur personnel. Nous estimons donc que cet élément de la plainte est fondé et résolu de manière conditionnelle.

En ce qui a trait à la réponse de Fido à la demande d’accès du plaignant, nous avons reconnu que Fido pouvait fournir au plaignant l’accès aux enregistrements des appels plutôt qu’aux transcriptions des appels. Le plaignant a prétendu que certains renseignements étaient absents des enregistrements. Nous avons confirmé que les quelques renseignements caviardés des appels originaux n’étaient pas des renseignements personnels du plaignant. Cependant, nous avons constaté que les versions éditées des enregistrements des appels, auxquelles le plaignant a eu accès, étaient de mauvaise qualité sonore. Étant donné que le plaignant ne pouvait pas mettre les enregistrements sur pause, ni les rembobiner ou les rejouer, et qu’il a dû les écouter sur un ordinateur portatif dans un point de vente Fido à aire ouverte, nous sommes d’avis que Fido n’a pas fourni au plaignant un accès sous une forme généralement compréhensible. Nous avons fait part de nos préoccupations à Fido. L’entreprise a réévalué sa position et a divulgué les transcriptions des appels en question, que le plaignant a obtenues le 22 mars 2021. Nous estimons que cet élément de la plainte est fondé et résolu.

Plainte et contexte

  1. Le plaignant prétend que Fido a contrevenu à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou la Loi) i) en omettant de protéger les renseignements personnels détenus dans son compte contre tout accès non autorisé; et ii) en omettant de fournir des transcriptions d’appels en réponse à sa demande d’accès à des renseignements personnels.
  2. Rogers est l’un des plus importants fournisseurs de services sans fil au Canada. Fido est une filiale de Rogers qui fournit, entre autres, des services sans fil. Lors de cette enquête, Rogers a répondu à nos demandes d’information au nom de Fido.
  3. Le plaignant était un client de Fido. Entre le 4 et le 10 janvier 2019, des activités frauduleuses ont été enregistrées dans son compte. Il s’est rendu compte de la situation le 8 janvier 2019, lorsqu’il a reçu un appel d’une représentante du service à la clientèle (RSC) de Fido qui le rappelait pour poursuivre leur conversation et conclure une « transaction » après que leur appel ait été interrompu. Tous deux se sont rapidement rendu compte que la personne avec laquelle la RSC avait parlé auparavant se faisait passer pour le plaignant. Il a été déterminé par la suite que c’était la troisième fois qu’un fraudeur appelait Fido en prétendant être le plaignant. Le lendemain, le plaignant a ajouté un numéro d’identification personnel (NIP) et des questions secrètes de sécurité à son compte. Malgré ces mesures supplémentaires d’authentification, les fraudeurs ont pu accéder au compte du plaignant au moins une fois de plus.
  4. En fin de compte, durant les quelques jours qu’ont duré les activités frauduleuses, le même fraudeur ou d’autres fraudeurs ont appelé Rogers à cinq reprises et ont pu, chaque fois, accéder au compte du plaignant. Ce faisant, les fraudeurs ont eu accès aux renseignements personnels du plaignant, notamment son nom, sa date de naissance, son code postal, son numéro de compte et son adresse électronique.
  5. Le plaignant a communiqué avec Fido pour lui faire part de ses inquiétudes concernant l’accès non autorisé à son compte. Il a également présenté une demande d’accès à Fido pour obtenir les transcriptions des appels entre les RSC de Fido et les fraudeurs. En réponse à cette demande, Fido a reconnu que certains de ses renseignements personnels avaient été divulgués de manière inappropriée, mais a refusé de lui fournir les transcriptions des appels téléphoniques ou des copies des enregistrements audio, évoquant des préoccupations quant à la protection de la vie privée des fraudeurs. Le plaignant prétend que, bien qu’elle lui ait offert la possibilité d’écouter les appels téléphoniques dans un magasin de détail, Fido lui a d’abord dit qu’il ne pourrait pas écouter les enregistrements dans un espace calme désigné, s’asseoir, prendre des notes détaillées ou régler le volume pendant l’écoute des enregistrements. Le plaignant a indiqué que Fido lui a finalement permis de s’asseoir et de prendre quelques notes manuscrites, mais qu’il n’a pas pu mettre les enregistrements sur pause, les rembobiner ou régler le volume.
  6. Le plaignant, insatisfait de la réponse qu’il a reçue de Fido, a déposé la présente plainte auprès du Commissariat.

Analyse

Question 1 : Déterminer si Fido a protégé adéquatement les renseignements personnels du plaignant.

  1. Nous avons constaté que Fido n’a pas protégé adéquatement les renseignements personnels du plaignant. Les RSC, à plusieurs reprises, ont omis de suivre les protocoles d’authentification, et ont ensuite omis de mettre une alerte sur le compte du plaignant dès qu’ils ont été informés d’une activité frauduleuse, ce qui a finalement entraîné la divulgation non autorisée de ses renseignements personnels.
  2. Selon le principe 4.7, les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. En outre, selon le principe 4.7.1, les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol, ainsi que contre l’accès, la divulgation, la copie, l’utilisation ou la modification non autorisée.
  3. Le plaignant allègue que Fido n’a pas protégé ses renseignements personnels et, qu’en conséquence, les RSC de Fido ont fourni ses renseignements personnels à des fraudeurs. Le plaignant est d’avis que peu importe que Fido ait ou non des protocoles de sécurité, ses RSC sont fortement incités à donner la priorité aux ventes et aux profits plutôt qu’à la protection des renseignements personnels des clients. Il estime également que Fido ne dispose pas de mesures de sécurité adéquates pour empêcher l’accès non autorisé aux comptes de ses clients.
  4. Selon les Lignes directrices en matière d’identification et d’authentificationNote de bas de page 1 du Commissariat, « [l]a rigueur des processus d’authentification doit être proportionnelle au risque auquel sont exposées l’organisation et la personne. »
  5. Fido a expliqué au Commissariat qu’elle dispose de protocoles que les RSC doivent suivre lorsqu’ils authentifient l’identité d’un appelant. Conformément à ces protocoles :
    1. les RSC sont censés saluer le client, cerner le problème pour lequel la personne appelle et authentifier l’identité de l’appelant en vérifiant la date de naissance et le code postal du titulaire du compte;
    2. si un client a configuré un NIP ou un identifiant vocal sur son compte comme mesure d’authentification supplémentaire, le RSC doit confirmer l’identité du titulaire du compte en utilisant cette méthode d’authentification particulière;
    3. si l’appelant ne fournit pas le bon NIP ou si l’authentification par identification vocale échoue, le RSC doit authentifier l’identité de l’appelant à l’aide de questions originales, comme le montant de la dernière facture, le nom d’autres personnes autorisées sur le compte ou les quatre derniers chiffres de la carte d’identité du titulaire du compte;
    4. si l’appelant ne répond pas correctement à trois questions originales, le RSC doit demander à l’appelant de se présenter à un point de vente pour authentifier son identité à l’aide d’une pièce d’identité émise par le gouvernement.
  6. Fido a fourni au Commissariat les enregistrements des cinq appels téléphoniques entre ses RSC et les fraudeurs. Selon notre examen des appels, nous constatons que dans tous les cas, les différents protocoles d’authentification de Fido décrits ci-dessus ont été contournés par les RSC.
  7. Par exemple, lors du premier appel, le fraudeur a fourni le numéro de téléphone du plaignant, mais le mauvais nom. Le RSC qui traitait cet appel a répondu au fraudeur en révélant le nom du plaignant. Au cours du même appel, le RSC a ensuite fourni au fraudeur des renseignements supplémentaires, notamment le numéro de compte du plaignant, sa date de naissance, son adresse et le nombre de lignes téléphoniques associées au compte. Nous constatons que, conformément au protocole d’authentification de Fido, les renseignements divulgués au cours de ce premier appel sont ceux qui servent normalement à authentifier l’identité d’un appelant. À vrai dire, les renseignements que le RSC a fournis au fraudeur lors du premier appel sont précisément ceux que les fraudeurs ont utilisés pour continuer d’accéder au compte du plaignant lors des appels ultérieurs à Fido.
  8. Lors du deuxième appel téléphonique, un fraudeur n’a pas réussi à authentifier son identité à l’aide de l’identification vocale, et le RSC a néanmoins accordé à l’individu l’accès au compte du plaignant, en utilisant sa date de naissance et son code postal.
  9. Lors du cinquième et dernier appel que nous avons examiné, le fraudeur a fourni deux fois le mauvais NIP et a fourni deux fois une mauvaise réponse aux questions originales, bien que le RSC lui ait fourni de nombreux indices. Dans ce dernier exemple, le RSC a également donné au fraudeur l’accès au compte, et le fraudeur a ensuite modifié l’adresse électronique ainsi que le NIP du compte.
  10. Fido a indiqué au Commissariat qu’une « alerte éclair » avait été ajoutée au compte du plaignant après ce dernier appel téléphonique, car un cas de prise de contrôle du compte avait été observé. Cette alerte éclair devait rappeler aux RSC l’importance de respecter la politique d’accès au compte. Étant donné qu’elle était au courant des activités frauduleuses dans le compte du plaignant depuis le troisième appel (c.-à-d. lorsqu’une RSC a communiqué avec le plaignant), Fido a mis en œuvre trop tard cette mesure qui aurait pu alerter les RSC d’un risque accru et ainsi empêcher tout autre accès non autorisé aux renseignements personnels du plaignant.
  11. À notre avis, les multiples ratés de l’authentification de l’identité constatés dans ce cas sont révélateurs d’un problème systémique des mesures de sécurité. Bien que Fido ait établi et mis en œuvre des protocoles exigeant que les employés authentifient l’identité des appelants à l’aide de plusieurs méthodes d’authentification, chaque RSC qui a traité le compte du plaignant au cours de cette période a contourné ces protocoles. Conformément aux lignes directrices du Commissariat, pour que les mesures d’authentification soient efficaces, les employés doivent connaître et respecter les politiques établies pour empêcher des personnes d’avoir un accès non autorisé aux renseignements personnels des clients. À notre avis, il est important que les organisations mettent en œuvre des mesures pour s’assurer que les processus qu’elles ont mis en place sont respectés, surtout lorsque des employés peuvent avoir des motifs qui les incitent à contourner certains protocoles (par exemple l’atteinte d’objectifs de vente). Pour les raisons précitées, nous estimons que Fido contrevient au principe 4.7.

Recommandations et réponse de Fido

  1. Nous avons donc recommandé à Fido d’améliorer ses mesures de sécurité pour s’assurer que le personnel comprend et suit les protocoles d’authentification, et que ces derniers sont efficaces. Plus précisément, nous avons recommandé que Fido :
    1. consolide les protocoles d’authentification documentés existants que le personnel de Fido doit mettre en application, notamment : i) les protocoles d’authentification ordinaires; ii) les protocoles permettant d’indiquer lorsqu’un compte présente un risque accru d’accès non autorisé; (iii) les protocoles renforcés dans l’éventualité d’un tel risque;
    2. fournisse une formation d’appoint périodique sur les protocoles d’authentification établis, et rappelle notamment aux employés : i) que le fait de ne pas authentifier correctement l’identité d’un titulaire de compte peut avoir des conséquences importantes et entraîner des dommages; ii) que l’organisation prend des mesures pour surveiller et garantir le respect des protocoles d’authentification pertinents; iii) qu’il y aura des conséquences à tout manquement. Les communications avec les employés peuvent inclure des messages juste à temps lorsqu’un employé est sur le point de contourner les protocoles.
    3. fournisse une formation d’appoint aux gestionnairess et au personnel sur les conséquences qui peuvent découler du non‑respect de ces protocoles par un employé (par exemple, encadrement et mesures disciplinaires progressive pouvant aller jusqu’au licenciement);
    4. mette en œuvre un mécanisme de rétroaction proactif relativement au non respect des protocoles d’authentification, en utilisant les outils internes de gestion des plaintes des clients et des fraudes répertoriées, afin de compléter la surveillance existante de la conformité des employés à tous les protocoles d’authentification.
  2. Fido s’est engagée à mettre en œuvre ces recommandations d’ici le 30 novembre 2021, soulignant son intention de les mettre en œuvre non seulement chez Fido, mais dans tous les centres d’appels des marques de Rogers. Fido s’est également engagée à fournir au Commissariat des documents confirmant la mise en œuvre de chacune des recommandations.

Question 2 : Déterminer si Fido a répondu à la demande d’accès du plaignant.

  1. Nous avons déterminé que Fido pouvait caviarder certains des renseignements des enregistrements auxquels elle a donné accès au plaignant, puisqu’il ne s’agissait pas de ses renseignements personnels, et rien n’indique que Rogers a retenu d’autres parties des appels visés. Nous avons également reconnu que Fido pouvait fournir un accès en permettant au plaignant d’écouter les enregistrements d’appels. Cependant, nous avons constaté que Fido n’a pas fourni un tel accès sous une forme généralement compréhensible, en raison de la mauvaise qualité des enregistrements et des conditions d’écoute.
  2. Le principe 4.9 de l’annexe 1 de la Loi établit que si elle le demande, une personne doit être informée de l’existence, de l’utilisation et de la divulgation de ses renseignements personnels et avoir accès à ces renseignements.
  3. Le plaignant a allégué que certaines parties des appels auxquels Fido lui a donné accès étaient manquantes parce qu’elles totalisaient beaucoup moins que les 2,5 heures dont on lui avait parlé au départ.
  4. Nous avons comparé les enregistrements des appels originaux aux versions éditées plus courtes auxquelles le plaignant avait eu accès. Nous notons que les appels originaux n’ont pas duré 2,5 heures, mais plutôt 1 heure et 27 minutes. Nous soulignons que, en réponse aux préoccupations du plaignant concernant la durée des enregistrements, Fido a informé le plaignant qu’elle avait peut-être initialement surestimé la durée des appels. Nous n’avons aucune preuve suggérant que les enregistrements originaux étaient incomplets.
  5. Les versions éditées duraient 1 heure et 24 minutes. Nous avons confirmé que les informations caviardées (environ trois minutes, sur les cinq enregistrements) étaient des informations fournies par le fraudeur qui n’étaient pas les renseignements personnels du plaignant.
  6. Le plaignant a également prétendu que Fido a entravé son droit d’accès en refusant de lui fournir une transcription des enregistrements des appels. Il a allégué que les enregistrements auxquels il a eu accès étaient de mauvaise qualité sonore, ce qui rendait difficile la compréhension de l’information, en particulier compte tenu des restrictions imposées par Fido pour les écouter, telles que décrites au paragraphe 5 ci-dessus.
  7. Dans son Bulletin d’interprétation : Accès aux renseignements personnels, le Commissariat note que « [l]a LPRPDE ne garantit pas que les personnes puissent avoir accès à leurs renseignements personnels sous une forme particulière (c.-à-d. enregistrements audio contre transcriptions) ou que des copies des renseignements doivent être fournies dans tous les cas – la LPRPDE précise seulement que l’accès doit être accordé au demandeur. » À notre avis, Fido n’était pas tenue de fournir l’accès sous forme de transcriptions et pouvait potentiellement satisfaire à l’exigence de fournir l’accès en permettant à un demandeur de se rendre dans ses locaux et d’écouter des enregistrements audio.
  8. Toutefois, conformément au principe 4.9.4, Fido était tenue de fournir l’accès sous une forme généralement compréhensible. À notre avis, elle ne l’a pas fait dans ce cas-ci.
  9. Le plaignant a pu écouter les enregistrements sur un ordinateur portatif verrouillé, dans un magasin Fido à aire ouverte. Le plaignant a souligné qu’il n’était pas en mesure de mettre les enregistrements sur pause, de les rembobiner ou de les rejouer. Fido a fait valoir qu’il pouvait régler le volume, alors que le plaignant a affirmé ne pas pouvoir le faire. Le plaignant n’a pu prendre que peu de notes manuscrites.
  10. En examinant les enregistrements audio, nous avons observé que la qualité sonore des versions éditées était moins bonne que celle des versions originales, de sorte que nous avons dû réécouter à maintes reprises plusieurs enregistrements pour comprendre l’information.
  11. Étant donné que le plaignant a dû écouter ces enregistrements dans un magasin de détail, sans possibilité de les mettre sur pause, de les rembobiner ou de les rejouer, nous sommes d’avis que la forme dans laquelle l’accès a été fourni dans ce cas n’était pas généralement compréhensible. Par conséquent, nous avons conclu que Fido contrevenait aux principes 4.9 et 4.9.4.
  12. Au cours de notre enquête, nous avons fait part à Fido de nos préoccupations quant à la mauvaise qualité sonore des enregistrements fournis au plaignant. Fido a réévalué sa position et a divulgué les transcriptions des appels en question, que le plaignant a obtenues le 22 mars 2021.

Conclusion

  1. En ce qui a trait au problème des mesures de sécurité, considérant que Fido s’est engagée à mettre en œuvre nos recommandations d’ici le 30 novembre 2021, le Commissariat estime que cet élément de la plainte est fondé et résolu de manière conditionnelle.
  2. Pour ce qui est de l’accès, considérant que Fido a fourni une transcription des appels en question au plaignant, le Commissariat estime que cet élément de la plainte est fondé et résolu.
Date de modification :