Sélection de la langue

Recherche

Durant un appel au service d’assistance, une entreprise de services informatiques accède à distance à l’ordinateur portable d’un client sans demander le consentement explicite de ce dernier

Conclusions en vertu de la LPRPDE nº 2021-007

Le 24 mars 2021


Plainte déposée en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (la « Loi »)

Description

Le plaignant a affirmé que dans le cadre d’un appel au service d’assistance d’une entreprise de services informatiques, un technicien de l’entreprise a accédé à distance à son ordinateur portable sans son consentement explicite. Nous avons conclu que l’intimé n’a pas été en mesure de fournir des éléments de preuve démontrant qu’il a obtenu un consentement explicite valable l’autorisant à accéder à l’ordinateur du plaignant, ou aux ordinateurs des clients en général, à l’aide d’un logiciel d’accès à distance. Nous avons également conclu que l’intimé n’avait pas mis en place des mesures de sécurité adéquates, soit des mesures qui correspondaient au degré de sensibilité des renseignements vulnérables des clients, pour empêcher l’accès non autorisé aux ordinateurs des clients.

Points à retenir

  • Les organisations qui utilisent un logiciel d’accès à distance pour fournir des services d’assistance informatique devraient faire preuve de transparence envers leurs clients quant à l’existence de ce logiciel, à son fonctionnement et à la manière dont le consentement à son utilisation est obtenu.
  • Les ordinateurs des particuliers peuvent contenir des informations personnelles sensibles, comme des mots de passe, des informations sur des comptes financiers, des communications ou des images intimes.
  • Les organisations qui souhaitent accéder à l’ordinateur d’un particulier doivent généralement :
    • obtenir un consentement explicite pour le faire;
    • être capable de démontrer que le client a fourni son consentement; et,
    • mettre en place des mesures de protection robustes pour empêcher les employés d’obtenir un accès non autorisé.

Conseils pour les particuliers

  • Même si le Commissariat n’a trouvé aucune information selon laquelle l’outil d’accès à distance avait été utilisé à des fins malveillantes, il a observé par le passé des exemples de cas où des acteurs malveillants ont utilisé des renseignements personnels fournis à des fournisseurs de services comme vecteur d’attaque.
  • Pour plus d’information sur la manière de détecter une arnaque de soutien technique et sur ce qu’il faut faire dans de telles situations, veuillez consulter le blogue du Commissariat : L’accès à distance : une porte ouverte sur vos renseignements personnels.

Rapport de conclusions

Aperçu

Le plaignant a acheté un nouvel ordinateur portable auprès d’une entreprise de services informatiques (l’« intimé ») sur le site Web d’un détaillant de produits électroniques (le « site Web de vente au détail »). Des services d’assistance étaient compris dans une offre spéciale proposée avec l’ordinateur portable.

Le plaignant a allégué que, dans le cadre d’un rendez-vous avec le service d’assistance de l’intimé, un technicien a utilisé un logiciel d’accès à distance préinstallé pour accéder à son ordinateur portable sans son consentement.

L’intimé a affirmé qu’il n’enregistrait pas de copies des affichages des écrans d’ordinateur de la clientèle consultés par ses techniciens ni ne recueillait de quelque autre manière que ce soit des renseignements personnels (documents, photographies, etc.) sur les ordinateurs de la clientèle, dans le cadre de la prestation de ses services d’assistance. Plus précisément, il n’a extrait aucun des renseignements du plaignant de son ordinateur portable.

À notre avis, comme l’accès à distance pourrait permettre aux techniciens de consulter des renseignements personnels stockés par l’utilisateur sur son ordinateur, parmi lesquels peuvent figurer des renseignements sensibles et de grande valeur (p. ex., des renseignements financiers, des renseignements médicaux, des documents privés, des photos et des identifiants utilisateur), l’intimé aurait dû obtenir un consentement explicite pour qu’un tel accès lui soit accordé.

L’intimé a soutenu que son technicien avait obtenu du plaignant un consentement verbal explicite l’autorisant à utiliser le logiciel d’accès à distance pendant l’appel. Toutefois, le plaignant a contesté cette affirmation. De plus, l’intimé n’a pas été en mesure de fournir des éléments de preuve démontrant qu’il a obtenu un consentement explicite valable l’autorisant à accéder à distance à l’ordinateur du plaignant à l’aide du logiciel.

En outre, le plaignant s’est demandé si l’intimé protégeait adéquatement ses renseignements personnels et ceux d’autres clients contre l’accès non autorisé et la surveillance par les membres de son personnel dans le cadre de l’utilisation du logiciel d’accès à distance.

L’intimé a souligné la présence de certaines mesures de sécurité, indiquées ci-dessous. Nous avons inclus nos commentaires sur celles-ci dans certains cas.

  1. L’accès au logiciel en question était limité à un petit nombre de techniciens employés par l’intimé et était enregistré et surveillé par le fournisseur du logiciel. De plus, ces techniciens devaient se connecter à un portail Web necessitant une authentification à deux facteurs pour accéder au logiciel.
  2. L’accès à distance nécessitait l’utilisation d’un numéro d’identification client unique, fourni au technicien par le client. Cependant, ce numéro était fourni au préalable par l’intimé. De plus, il était fixe. De ce fait, les techniciens pouvaient utiliser le même numéro à plusieurs reprises pour accéder à l’ordinateur du client.
  3. Les techniciens pouvaient accéder à l’ordinateur du client seulement s’il était allumé et connecté à Internet. De plus, un utilisateur assis devant son ordinateur pouvait voir que quelqu’un avait ouvert une session d’accès à distance sur son appareil. Cependant, les gens laissent parfois leur ordinateur allumé et connecté en leur absence, auquel cas ils ne sont pas témoins des accès non autorisés pouvant se produire.
  4. Le logiciel ne permettait pas aux utilisateurs de copier ou d’enregistrer les renseignements personnels des clients pendant les sessions d’accès à distance. Cependant, cela n’empêcherait pas un technicien de copier des renseignements par d’autres moyens (p. ex., en utilisant un téléphone portable, un appareil photo ou un stylo et du papier).

Certains autres outils d’accès à distance nécessitent une intervention en temps réel de l’utilisateur de l’ordinateur sur son appareil (p. ex., en cliquant dans une case de consentement ou en entrant un code) pour confirmer qu’il a connaissance de l’accès d’un tiers et qu’il y consent. De plus, de tels outils permettent à l’utilisateur de mettre fin unilatéralement à une session d’accès à distance à tout moment (p. ex., en cliquant dans une case affichée à l’écran). Toutefois, l’intimé s’en remettait au consentement verbal obtenu par ses techniciens, conformément à des protocoles non documentés, de sorte qu’il n’était pas en mesure de démontrer que les techniciens avaient effectivement obtenu le consentement nécessaire avant d’accéder à l’appareil du client.

À la lumière de ce qui précède, nous avons finalement conclu que l’intimé n’avait pas mis en œuvre des mesures de sécurité adéquates en vertu de la LPRPDE, soit des mesures qui correspondaient au degré de sensibilité des renseignements vulnérables.

Au cours de notre enquête, l’intimé a fait l’objet d’une restructuration, dans le cadre de laquelle il a mis un terme à son service d’assistance personnelle et à son utilisation du logiciel d’accès à distance qu’il avait installé sur les ordinateurs de certains clients.

Nous avons donc conclu que la plainte, qui concerne le consentement et les mesures de sécurité, est fondée et résolue.

Contexte et plainte

  1. Le plaignant a allégué qu’au cours d’un appel au service d’assistance de l’intimé, ce dernier a accédé à son ordinateur portable sans son consentement en activant et en utilisant un logiciel d’accès à distance qu’il avait préinstallé sur l’appareil. De plus, le plaignant a mis en doute la façon dont l’intimé protégeait ses renseignements personnels et ceux d’autres clients contre l’accès non autorisé et la surveillance par les membres de son personnel dans le cadre de l’utilisation de ce logiciel.

À propos de l’intimé et de ses services

  1. L’intimé vend des ordinateurs à des petites entreprises et à des particuliers dans ses locaux commerciaux, sur son site Web et sur les sites Web de vente au détail de tiers.
  2. L’intimé offrait des services de gestion informatique à des particuliers par l’intermédiaire de son service d’assistance personnelle. Au cours de notre enquête, l’intimé a cessé d’offrir ces servicesNote de bas de page 1.
  3. Au cours de notre enquête, l’intimé a indiqué qu’il comptait plus de 530 clients commerciaux et individuels abonnés aux deux services d’assistance.
  4. Le service reposait principalement sur l’accès à distance : le client communiquait avec le service d’assistance concerné de l’intimé par courriel ou par téléphone. Les techniciens du service d’assistance utilisaient alors un logiciel d’accès à distance préinstallé pour accéder à l’ordinateur du client, trouver la cause du problème et le régler.
  5. Les clients pouvaient également s’abonner au service supplémentaire de sécurité et de gestion des correctifs offert par l’intimé, un service grâce auquel les techniciens veillaient, à distance, à ce que les ordinateurs des clients soient tenus à jour à l’aide des mises à jour et des correctifs de sécurité les plus récents.
  6. L’intimé a expliqué que ses services d’assistance personnelle étaient groupés avec des ordinateurs portables vendus en ligne sur un site Web de vente au détailNote de bas de page 2, en janvier et février 2019. Ces services exigeaient la préinstallation d’un logiciel d’accès à distance sur les ordinateurs des clientsNote de bas de page 3.

Interactions du plaignant avec l’intimé

  1. En février 2019, le plaignant a acheté un ordinateur portable sur un site Web de vente au détail. L’intimé, qui était un fournisseur tiers préapprouvé sur le site Web, a exécuté la commande du plaignant.
  2. Le plaignant a transféré ses renseignements personnels et ceux des membres de sa famille dans le nouvel ordinateur portable immédiatement après l’avoir reçu. Ce faisant, il n’a pas été en mesure d’installer le logiciel antivirus qu’il utilisait habituellement, car l’intimé avait déjà préinstallé un autre logiciel antivirus sur l’ordinateur portable. Le plaignant a communiqué avec le service d’assistance personnelle par courriel pour demander qu’on supprime le logiciel antivirus. Ce faisant, il a fourni au service d’assistance le numéro d’identification client unique qui lui avait été fourni par l’intimé, conformément aux instructions de l’intimé qui figuraient dans la documentation fournie avec l’ordinateur portable.
  3. Le service d’assistance personnelle a ensuite envoyé une commande de désinstallation à l’ordinateur portable du plaignant, ce qui a déclenché la suppression du logiciel antivirus préinstallé. Il n’a pas été nécessaire d’accéder à distance à l’ordinateur portable du plaignant pour ce faire.
  4. Par la suite, le plaignant a commencé à recevoir, à répétition, une demande qui l’invitait à entrer un mot de passe lié à une application de suite bureautique qui avait également été préinstallée par l’intimé sur son ordinateur portable. Pour remédier à ce problème, le plaignant a communiqué avec le service d’assistance personnelle, lui fournissant à nouveau son numéro d’identification client.
  5. Le 25 mars 2019, un technicien a pris rendez-vous avec le plaignant, lui indiquant ce qui suit : « [l’opération] prendra environ 10 minutes et sera effectuée à distance […] Votre ordinateur doit être allumé et connecté à Internet pendant le rendez-vous. » [traduction]
  6. Le plaignant a accepté le rendez-vous avec le service d’assistance personnelle et celui-ci a eu lieu plus tard dans la journée. Lors du rendez-vous, le plaignant a demandé au technicien de désinstaller l’application de suite bureautique. Le plaignant a affirmé avoir été surpris lorsque le technicien a immédiatement commencé à déplacer le curseur de sa souris à l’écran de son ordinateur portable sans l’en avoir averti et sans avoir obtenu son consentement explicite au préalableNote de bas de page 4. Il s’est demandé comment l’intimé avait pu obtenir un tel accès à son ordinateur portable.
  7. Le technicien a supprimé l’application de suite bureautique. Le plaignant a alors demandé au technicien si l’intimé avait préinstallé un autre logiciel sur son ordinateur portable. Le technicien a affirmé que l’intimé avait préinstallé un « agent d’accès à distance ». Le plaignant a demandé qu’on le supprime, et le technicien s’est immédiatement conformé à la demande.

Plainte du plaignant au détaillant de produits électroniques

  1. Préoccupé par ce qui s’était passé, le plaignant a signalé l’affaire au détaillant de produits électroniques, l’exploitant du site Web de vente au détail, qui a fait part des préoccupations du plaignant à l’intimé.
  2. Le détaillant de produits électroniques a demandé à l’intimé s’il avait obtenu le consentement explicite du plaignant par l’intermédiaire de l’écran de l’ordinateur portable de ce dernier, avant d’accéder à distance à l’ordinateur. Si ce n’était pas le cas, le détaillant a demandé à l’intimé s’il pouvait lui fournir un enregistrement de son appel avec le plaignant pour vérifier que le technicien de l’intimé avait obtenu le consentement verbal du plaignant avant d’accéder à son ordinateur portable.
  3. Dans sa réponse, l’intimé n’a fourni aucune preuve du consentement du plaignant. Il a confirmé que l’ordinateur portable du plaignant s’accompagnait de son offre spéciale « [CPVP : nom caviardé] » (l’« offre spéciale »), soit un abonnement d’un an à un logiciel antivirus, à une suite bureautique et à un service d’assistance personnelle. Il avait donc fallu installer des logiciels supplémentaires sur l’ordinateur portable avant qu’il ne soit expédié au plaignant.
  4. L’intimé a expliqué que chaque fois que ses techniciens fournissaient une assistance à distance à un client, ce dernier était toujours avisé et impliqué dans le processus d’accès à distance. Dans le cas concerné, son technicien était au téléphone avec le plaignant pour la demande de désinstallation du logiciel en question. L’intimé a ajouté qu’il n’était pas prévu que le logiciel d’accès à distance susciterait un sentiment d’insécurité chez un client et qu’il l’a supprimé rapidement de l’ordinateur portable du plaignant à sa demande.
  5. Par la suite, l’intimé a offert un remboursement complet au plaignant, à condition que ce dernier lui retourne l’ordinateur portable. Le plaignant a décliné l’offre et a ensuite déposé une plainte auprès du Commissariat au sujet des pratiques de l’intimé en matière de protection des renseignements personnels.

Renseignements soumis par le détaillant de produits électroniques

  1. Au cours de l’enquête, nous avons demandé des renseignements au détaillant de produits électroniques. Le détaillant a répondu à nos questions techniques et nous a fourni une copie de l’accord d’utilisation de son site Web de vente au détail et des documents connexes.
  2. Le détaillant a confirmé que l’intimé était un fournisseur d’ordinateurs tiers approuvé sur son site Web. Conformément à l’accord qu’il avait conclu avec le détaillant, l’intimé était tenu de se conformer à ses obligations légales, y compris à ses obligations en matière de protection des renseignements personnels.
  3. Le détaillant a confirmé qu’il n’avait reçu aucune autre demande de renseignements de la part de clients au sujet de l’intimé, relativement à la question de l’accès à distance.
  4. À la suite de ses discussions avec le Commissariat, le détaillant de produits électroniques a modifié l’accord d’utilisation de son site Web de vente au détail pour interdire explicitement aux fournisseurs tiers de préinstaller un logiciel de connexion à distance, ainsi que des logiciels espions et des logiciels de suivi, sur des ordinateurs ou d’autres appareils vendus sur son site.

Analyse

Question 1 : L’intimé obtenait-il un consentement valable avant d’accéder à distance aux ordinateurs portables?

  1. Le principe 4.3 de l’annexe 1 de la LPRPDE précise que toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir.
  2. À notre avis, l’intimé n’a pas réussi à démontrer qu’il avait obtenu un consentement valable avant d’accéder à l’ordinateur portable du plaignant et aux ordinateurs des autres clients, ainsi qu’aux renseignements potentiellement sensibles qui s’y trouvaient, dans le cadre des appels du service d’assistance personnelle.
Position de l’intimé
  1. L’entreprise a nié avoir accédé à distance à l’ordinateur portable du plaignant sans son consentement. Elle a expliqué que le technicien de son service d’assistance personnelle avait effectué un appel de service convenu d’un commun accord avec le plaignant pour régler un problème technique touchant l’ordinateur portable du plaignant. Elle a souligné l’invitation envoyée par courriel au plaignant, dans laquelle le technicien a indiqué qu’il réglerait le problème du plaignant « à distance » et que le plaignant devait veiller à ce que son ordinateur portable soit allumé et connecté à Internet pour ce faire. Elle a également souligné le fait que le plaignant avait consenti à l’appel.
  2. L’intimé a confirmé que les techniciens de son service d’assistance ne présentaient aux clients aucune case à cocher ni bouton au moyen desquels ceux-ci pouvaient, par un clic, faire part de leur consentement à ce qu’on accède à distance à leur ordinateur.
  3. Cependant, l’intimé a affirmé que ses techniciens demandaient le consentement verbal explicite des clients du service d’assistance personnelle avant de lancer des sessions d’accès à distance. L’intimé a en outre affirmé qu’il demandait à chaque client son numéro d’identification pour lancer l’accès par l’intermédiaire du logiciel, utilisant une phrase du genre « Pourriez-vous me fournir votre numéro d’identification pour me permettre de prendre le contrôle à distance, de sorte que je puisse voir votre écran et prendre le contrôle de votre ordinateur. » L’intimé a ajouté que le technicien avait demandé au plaignant son consentement verbal avant de lancer la session d’accès à distance sur son ordinateur.
  4. L’intimé a ajouté que lorsque ses techniciens accédaient à distance à l’ordinateur d’un client, ils pouvaient voir le bureau de l’ordinateur du client et les fenêtres ou les fichiers qui y étaient ouverts. L’affichage à l’écran de l’ordinateur du client changeait visiblement pour indiquer qu’une session d’accès à distance était en cours, et le client pouvait voir exactement ce que le technicien faisait sur son ordinateur en temps réel.
  5. L’intimé a souligné qu’il n’a pas recueilli ni utilisé les renseignements personnels du plaignant par l’intermédiaire de son service d’assistance. Il n’a pas non plus surveillé, copié, ni récupéré les renseignements personnels du plaignant qui étaient stockés sur l’ordinateur portable de ce dernier pendant que le logiciel d’accès à distance y était installé.
Évaluation
  1. L’intimé a affirmé que le technicien de son service d’assistance personnelle avait obtenu le consentement verbal explicite du plaignant avant d’accéder à son ordinateur.
  2. À notre avis, le consentement explicite s’avère approprié pour l’accès à distance, qui peut permettre aux techniciens de consulter des renseignements personnels que l’utilisateur stocke sur son ordinateur (p. ex., des renseignements financiers, des renseignements médicaux, des documents privés, des photos et des identifiants utilisateur)Note de bas de page 5.
  3. Cependant, le plaignant a allégué que l’intimé n’avait pas obtenu son consentement verbal explicite et qu’il n’avait pris connaissance de l’accès à distance qu’après que le technicien eut pris le contrôle de son ordinateur.
  4. L’intimé n’a pas été en mesure de fournir au Commissariat des éléments de preuve (p. ex., un enregistrement de l’appel) qui permettent de démontrer que le plaignant a effectivement donné son consentement verbal explicite.
  5. La LPRPDE exige également que le consentement soit valable.Note de bas de page 6
  6. L’intimé n’a pas été en mesure de fournir des éléments de preuve qui établissaient ce que ses techniciens auraient dit aux clients pour solliciter leur consentement à l’accès à distance (p. ex., des directives internes ou un message de demande de consentement préétabli utilisé par ses techniciens), faisant à nouveau remarquer qu’il n’avait aucun enregistrement de son appel avec le plaignant.
  7. Nous avons également examiné les autres méthodes utilisées par l’intimé pour décrire aux clients le service offert par son service d’assistance personnelle. Ni le site Web de l’intimé, ni sa politique de confidentialité, ni les documents remis au plaignant et aux autres clients du site Web de vente au détail qui ont acheté des ordinateurs portables, n’expliquaient la façon dont les techniciens accéderaient à distance aux ordinateurs des clients pour fournir le service. Nous n’avons pas non plus reçu d’éléments de preuve démontrant que l’intimé avait informé les clients de son service d’assistance personnelle que leur numéro d’identification fonctionnait comme une « clé » et visait ainsi à permettre à ses techniciens d’accéder aux ordinateurs des clients à distance.
  8. À notre avis, l’intimé n’est pas parvenu à démontrer que ses techniciens ont obtenu un consentement explicite valable les autorisant à accéder à l’ordinateur du plaignant, ou aux ordinateurs des clients en général, à l’aide de son logiciel d’accès à distance.
  9. Enfin, l’intimé a affirmé que la fonctionnalité du logiciel d’accès à distance en question ainsi que son utilisation de celui-ci n’étaient pas différentes de celles de Quick Assist de Microsoft, une application que l’on trouve sur les ordinateurs dotés du système d’exploitation Windows 10. Bien que nous n’ayons pas évalué la conformité de Quick Assist à la LPRPDE, une question qui ne faisait pas partie des éléments faisant l’objet de l’enquête, le fonctionnement de cette application diffère largement de celui du processus utilisé par l’intiméNote de bas de page 7.

Question 2 : L’intimé disposait-il de mesures de sécurité adéquates pour empêcher l’accès non autorisé aux renseignements personnels des clients par son personnel?

  1. Le principe 4.7 de l’annexe 1 de la LPRPDE prévoit que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Le principe 4.7.1 prévoit que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés. De plus, le principe 4.7.3 indique que les méthodes de protection devraient comprendre ce qui suit : a) des mesures physiques; b) des mesures administratives; c) des mesures technologiques.
  2. À notre avis, l’intimé s’est principalement appuyé sur des protocoles qui empêchaient ses techniciens d’accéder au logiciel d’accès à distance, ainsi que sur des journaux ou des plaintes qui permettaient de déterminer si l’ordinateur d’un client avait fait l’objet d’un accès non autorisé. À notre avis, ces moyens n’étaient pas proportionnels au volume et à la sensibilité des renseignements stockés sur les ordinateurs des particuliers, des renseignements qui peuvent être d’une grande valeur pour les acteurs malveillants (p. ex., dans le but de commettre une fraude ou un vol d’identité).
Mesures de sécurité de l’intimé
  1. L’intimé a affirmé qu’il prenait la sécurité au sérieux lorsqu’il fournissait des services d’assistance à ses clients par la tenue de sessions d’accès à distance, soulignant qu’il mettait en œuvre des mesures de sécurité adéquates pour veiller à ne pas compromettre les renseignements personnels des clients dans le cadre de ces sessions.
  2. L’intimé a affirmé qu’il n’enregistrait pas de copies des affichages des écrans d’ordinateur de la clientèle consultés par ses techniciens ni ne recueillait de quelque autre manière que ce soit des renseignements personnels (documents, photographies, etc.) sur les ordinateurs de la clientèle, dans le cadre de la prestation de ses services d’assistance personnelle. Plus précisément, il n’a extrait aucun des renseignements du plaignant de son ordinateur portable.
  3. L’intimé a admis qu’il était théoriquement possible pour un technicien d’accéder à l’ordinateur d’un client sans autorisation, si le logiciel d’accès à distance était installé sur l’ordinateur et l’accès à distance était activé. Cependant, il a affirmé qu’il existait des mesures de sécurité qui faisaient en sorte qu’il était probable qu’un technicien activant une session d’accès à distance sans autorisation se fasse prendre en défaut.
  4. L’intimé a expliqué que pour obtenir un accès à distance, le technicien devrait d’abord se connecter à son application interne réservée aux membres. Les renseignements sur les clients, dont une « liste maîtresse » des numéros d’identification client nécessaires pour ouvrir une session d’accès à distance, étaient conservés dans cette application. L’accès à l’application était limité au personnel interne et exigeait de se connecter à un compte Microsoft associé à l’entreprise au moyen d’une méthode d’authentification à deux facteurs. L’accès était enregistré et visible par les administrateurs de l’intimé.
  5. De plus, après s’être connecté à l’application, un technicien devrait se connecter au portail Web du fournisseur du logiciel d’accès à distance pour ouvrir une session d’accès à distance. Seuls les techniciens de l’entreprise détenaient des comptes sur ce portail. L’accès au portail était également soumis à une méthode d’authentification à deux facteurs, et le fournisseur du logiciel enregistrait et surveillait toutes les activités ayant lieu sur le portail.
  6. L’intimé a expliqué que les techniciens ne pouvaient donc accéder à distance à l’ordinateur d’un client qu’une fois authentifié et à condition que l’ordinateur du client soit allumé et connecté à Internet.
  7. L’affichage de l’écran de l’ordinateur changeait pour indiquer à un client qu’une session d’accès à distance était en cours, le cas échéant. L’intimé a affirmé que si un client était témoin de ce changement et que l’accès n’était pas prévu, il pouvait lui signaler l’événement.
  8. Cependant, bon nombre de personnes laissent leur ordinateur allumé et connecté à Internet, même lorsqu’elles ne sont pas assises devant celui-ci. Dans de telles circonstances, un client ne serait pas présent pour assister à une activité non autorisée si une telle activité se produisait.
  9. Le logiciel ne permettait pas aux utilisateurs de copier ou d’enregistrer les renseignements personnels des clients pendant les sessions d’accès à distance. Cependant, cela n’empêcherait pas un technicien de copier des renseignements par d’autres moyens (p. ex., en utilisant un téléphone portable, un appareil photo ou un stylo et du papier).
  10. De plus, le numéro d’identification client, utilisé par l’intimé comme « clé » ou mot de passe, est une mesure de sécurité fixe et ponctuelle. À notre avis, cette mesure ne suffit pas pour assurer une protection contre l’accès à distance non autorisé aux ordinateurs des clients, surtout si une liste maîtresse des numéros d’identification client est conservée et accessible aux techniciens.
  11. À titre d’exemple, le plaignant a fourni son numéro d’identification client une première fois au service d’assistance personnelle de l’intimé, par courriel, le jour où il a reçu l’ordinateur portable. Exclusion faite de la liste maîtresse, le premier technicien auquel le numéro a été transmis (ou toute autre personne à qui celui-ci aurait décidé de révéler le numéro) a été mis au fait du numéro d’identification client du plaignant dès le jour où ce dernier a reçu l’ordinateur portable et aurait pu accéder à l’ordinateur lorsqu’il était allumé et connecté à Internet (même lorsque le client ne l’utilisait pas).
  12. Certains autres outils d’accès à distance (comme celui indiqué par l’intimé) nécessitent une intervention en temps réel de l’utilisateur de l’ordinateur sur l’appareil (p. ex., en cliquant dans une case de consentement ou en entrant un code) pour confirmer qu’il a connaissance de l’accès d’un tiers et qu’il y consent. De plus, de tels outils permettent à l’utilisateur de mettre fin unilatéralement à une session d’accès à distance à tout moment (p. ex., en cliquant dans une case affichée à l’écran). L’intimé s’en remettait toutefois au consentement verbal obtenu par ses techniciens, conformément à des protocoles non documentés, de sorte qu’il n’était pas en mesure de démontrer que les techniciens avaient effectivement obtenu un tel consentement.
  13. À la lumière de ce qui précède, à notre avis, l’intimé n’a pas mis en œuvre des mesures de sécurité adéquates, soit des mesures qui correspondaient au degré de sensibilité des renseignements vulnérables, contrevenant ainsi aux principes 4.7, 4.7.1 et 4.7.3 de l’annexe 1 de la LPRPDE.
Modification de la structure et des pratiques de l’entreprise
  1. Au cours de notre enquête, l’intimé nous a informés qu’il avait modifié sa structure organisationnelle et ses opérations et qu’il avait cessé d’offrir des services d’assistance personnelle.
  2. L’intimé s’est scindé en deux entreprises distinctes : l’intimé, sous un nouveau nom, et l’entreprise A [CPVP : accès au nom de l’entreprise caviardé]. Les deux entreprises sont des entités juridiques distinctes, et il n’y a aucune propriété croisée entre celles-ciNote de bas de page 8.
  3. L’intimé a déménagé dans une autre ville. Il demeure un fournisseur d’ordinateurs portables, d’ordinateurs de bureau et d’accessoires, principalement par l’intermédiaire de canaux en ligne tels que le site Web du détaillant de produits électroniques. Cependant, l’intimé ne fournit plus de services de gestion informatiques. Ainsi, l’intimé a mis fin à son abonnement au logiciel d’accès à distance et au portail Web et n’emploie aucun des techniciens ou des membres du personnel de soutien qui fournissaient des services au moyen de ce logiciel.
  4. La nouvelle entreprise, soit l’entreprise A, exploite le site Web [CPVP : nom du site Web et lien vers celui-ci caviardés] et fournit divers services de gestion informatiques. Cependant, ces services sont désormais fournis exclusivement aux petites entreprises.

Conclusion

  1. Étant donné que l’intimé a fait l’objet d’une restructuration et a cessé d’exploiter un service d’assistance personnelle tel qu’il est indiqué ci-dessus, et qu’il n’utilise plus aucun logiciel d’accès à distance sur les ordinateurs portables de sa clientèle, nous concluons que la plainte est fondée et résolue.
  2. Si l’intimé décidait de fournir à nouveau un tel service à l’avenir, nous nous attendrions à ce qu’il mette en œuvre des mesures lui permettant de démontrer que les utilisateurs ont connaissance de l’accès à distance et y consentent. Pour ce faire, il pourrait, par exemple, utiliser un mécanisme qui i) nécessite une intervention en temps réel de l’utilisateur de l’ordinateur sur l’appareil (p. ex., en cliquant dans une case de consentement ou en entrant un code) et ii) permette à l’utilisateur de mettre fin unilatéralement à l’accès à distance à tout moment (p. ex., en cliquant dans une case affichée à l’écran).
Date de modification :