Enquête sur la conformité de Brinks Home

Conclusions en vertu de la LPRPDE no 2024-002

Le 28 mars 2024

---

Plainte en vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE ou la Loi)

Description

Le Commissariat à la protection de la vie privée du Canada a conclu que Brinks Home (Brinks) n’avait pas mis en place de mesures de protection adéquates, ce qui a entraîné la compromission des renseignements personnels de clients au moyen du portail en ligne de l’entreprise.

Le Commissariat a aussi examiné si l’atteinte présentait un risque réel de préjudice grave (RRPG) et si Brinks s’était conformée à ses exigences en matière de signalement des atteintes prévues dans la Loi. Il a été établi que les renseignements personnels en cause pouvaient être considérés comme sensibles, mais que la probabilité d’une mauvaise utilisation de ces renseignements dans les circonstances était faible, notamment en raison du fait que seul un petit nombre de clients connus (et non des acteurs malveillants) ont accidentellement eu accès aux renseignements personnels d’autres clients. Par conséquent, Brinks n’était pas tenue de signaler l’incident au Commissariat ni d’en aviser les personnes concernées.

Points à retenir

• Lorsqu’une entreprise est informée d’une atteinte aux mesures de sécurité, elle devrait agir rapidement pour atténuer l’incident.
• Les entreprises ont la responsabilité de s’assurer qu’elles protègent adéquatement les renseignements personnels des clients, notamment en mettant en place des mesures de sécurité administratives, comme i) des protocoles de protection des renseignements personnels et de réponse en cas d’atteintes présumées, ii) des formations à l’intention des employés et iii) des mesures de surveillance pour s’assurer que le personnel respecte les protocoles de protection.
• Les organisations doivent déclarer une atteinte à la vie privée au Commissariat et aviser les individus touchés s’il existe un RRPG.
• Pour déterminer si une atteinte présente un RRPG, il faut tenir compte du degré de sensibilité des renseignements personnels en cause et de la probabilité qu’ils soient mal utilisés dans les circonstances.

Rapport de conclusions d’enquête

Vue d’ensemble

Le plaignant affirme qu’en 2022, l’entreprise Monitronics International, Inc. s/n Brinks Home (Brinks ou l’intimée) n’avait pas mis place des mesures de protection adéquates, ce qui a entraîné la compromission des renseignements personnels de certains clients.

Le plaignant, un client de Brinks, s’était connecté à son compte du portail de Brinks Home et s’était rendu compte qu’il était en mesure de visualiser les renseignements personnels de plusieurs autres clients. Il en a tout d’abord avisé l’entreprise et, après avoir remarqué que le problème persistait environ 10 semaines plus tard, il en a informé Brinks une deuxième fois et a déposé une plainte à cet égard auprès du Commissariat à la protection de la vie privée du Canada.

Peu de temps après avoir reçu le deuxième avis, Brinks a pris les mesures nécessaires pour remédier au problème d’accès non autorisé.

Brinks a enquêté sur l’affaire et a établi qu’une erreur commise par un employé lors du processus de création du compte client était à l’origine de l’incident. Cette erreur a fait en sorte que 102 clients de Brinks ont eu accès, sans autorisation, aux renseignements personnels de 3 340 autres clients de Brinks durant au moins plusieurs mois. Les renseignements accessibles comprenaient notamment les coordonnées des clients, les coordonnées des personnes à joindre en cas d’urgence, des détails sur le système de sécurité, mais pas de renseignements financiers. Brinks a pu néanmoins déterminer qu’au cours de cette période, seulement une vingtaine de ces clients avaient pu consulter les renseignements sans autorisation (soit ceux qui s’étaient connectés à leur compte sur le portail).

Le Commissariat a établi que Brinks n’avait pas su protéger adéquatement les renseignements personnels de ses clients contre des accès non autorisés. L’entreprise a par la suite mis en place diverses mesures techniques et des règles de procédures pour éviter que de tels incidents se reproduisent, et a finalement vendu l’ensemble des comptes de ses clients. Le Commissariat a donc conclu que cet élément de la plainte est fondé et résolu.

Le Commissariat a également examiné si Brinks s’était conformée aux exigences de la Loi en matière de déclaration des atteintes. Bien que le Commissariat ait conclu que les renseignements personnels en cause pouvaient être considérés comme sensibles, la probabilité d’une mauvaise utilisation demeurait faible dans les circonstances. Le Commissariat a ainsi établi que l’incident n’avait pas posé un risque réel de préjudice grave (RRPG) et que Brinks n’était pas tenue de signaler l’incident au Commissariat ni d’en aviser les individus touchés. Par conséquent, le Commissariat a conclu que cet élément de la plainte est non fondé.

Contexte et plainte

1. Le plaignant était un client de l’entreprise Monitronics International, Inc. s/n Brinks Home (Brinks ou l’intimée). Brinks est une entreprise de surveillance des alarmes qui est présente partout au Canada et aux États-Unis. Celle-ci collabore avec des distributeurs autorisés qui vendent et installent des systèmes d’alarme. Au moment où l’incident est survenu, Brinks comptait environ 800 000 clients en Amérique du Nord, dont plus de 10 000 au Canada.
2. En juillet 2022, le plaignant a communiqué par téléphone avec l’intimée pour l’aviser qu’il était en mesure de visualiser les adresses d’une centaine d’autres clients de Brinks lorsqu’il se connectait à son compte du portail de Brinks (le portail). Alors qu’il parlait avec un représentant du service à la clientèle, le plaignant a exprimé la volonté de parler à un superviseur. Le représentant lui a alors répondu qu’un superviseur le rappellerait.
3. N’ayant pas reçu de réponse de Brinks après plus de deux mois, le plaignant a envoyé un courriel à l’attention du responsable de la protection de la vie privée de l’entreprise et a rappelé Brinks une nouvelle fois pour signaler qu’il était toujours en mesure de visualiser les renseignements d’autres clients par l’entremise du portail, y compris ce qui lui paraissait être des renseignements de paiement de factures, des noms, des adresses et certains détails de sécurité liés au système ainsi que les coordonnées de personnes à joindre en cas d’urgence.
4. Le même jour, le plaignant a également déposé la plainte en question auprès du Commissariat.
5. Peu de temps après le dépôt de la plainte, Brinks a modifié les paramètres du portail en ligne afin que les renseignements personnels ne soient plus visibles par d’autres clients. 
6. Compte tenu de la plainte, le Commissariat a mené une enquête pour savoir si Brinks avait mis en place des mesures de sécurité adéquates pour protéger les renseignements personnels dont elle a la gestion, conformément au principe 4.7 de l'annexe 1 de la Loi.
7. Le Commissariat a également évalué si Brinks s’était conformée aux exigences en matière de déclaration des atteintes prévues à l’article 10.1 de la Loi.

Analyse

L’atteinte

8. Brinks n’a pas contesté le fait que l’incident a eu lieu. L’entreprise a également reconnu que lorsque le plaignant avait signalé l’incident lié à la vie privée au représentant la première fois, celui-ci n’avait pas suivi la politique interne de transmission aux paliers supérieurs pour rapporter l’incident à un superviseur, au centre de dépannage, à l’équipe de sécurité ou à l’équipe d’intervention en cas d’incident. Toutefois, après réception du courriel et du deuxième appel du plaignant, Brinks a en effet modifié les paramètres du portail afin que les renseignements ne soient plus visibles par les clients non autorisés.
9. Brinks a mené une enquête interne en lien avec l’incident. L’entreprise a établi qu’une erreur commise par un employé était à l’origine de l’accès non autorisé. Les personnes ayant eu accès aux renseignements étaient des clients connus de Brinks et non des acteurs malveillants. En particulier, Brinks a expliqué que l’incident a eu lieu parce qu’un employé avait malencontreusement inscrit le numéro de compte d’un distributeur au cours de la création des comptes de 102 clients. L’erreur a fait en sorte que ces mêmes clients se sont vu accorder un accès aux renseignements sur les comptes d’autres clients semblables à celui accordé à un distributeur qui vend et installe des systèmes d’alarme résidentiels.
10. Ne disposant pas de registres détaillés d’accès au système, Brinks n’avait pas les capacités techniques permettant d’établir lesquels de ces 102 clients auraient pu avoir accès aux données d’autres clients au moyen du portail. Cependant, l’entreprise était en mesure de savoir que 82 de ces clients ne s’étaient pas du tout connectés au portail, de telle sorte que pas plus de 20 clients auraient pu avoir accès aux données.
11. Brinks n’était pas non plus en mesure d’établir avec précision pendant combien de temps les clients ont eu accès à ces renseignements sans autorisation, mais a reconnu que les renseignements ont pu être accessibles à certaines personnes pendant au moins plusieurs mois avant que l’accès ne soit retiré.
12. Selon l’enquête de Brinks, les renseignements des 3 340 clients (les clients concernés), y compris ceux du plaignant, ont pu être accessibles aux 20 personnes qui se sont connectées au portail. Les clients concernés étaient situés en Alberta, en Colombie-Britannique, au Manitoba, en Nouvelle-Écosse, à Terre‑Neuve‑et‑Labrador, au Nunavut, en Ontario et en Saskatchewan.
13. Brinks a expliqué que les renseignements n’étaient pas contenus dans un seul fichier. Pour accéder à ceux-ci, les clients non autorisés auraient dû sélectionner l’adresse à partir d’un menu déroulant et parcourir plusieurs pages dans le portail, et ce, pour chacun des clients concernés.
14. Le Commissariat a établi que les renseignements suivants des clients concernés ont été rendus accessibles :
    1. Nom du client, numéro de téléphone et adresse;
    2. Nom de la personne à joindre en cas d’urgence, son numéro de téléphone et si elle était en possession d’une clé de la résidence;
    3. Modèle du système d’alarme et la liste des dispositifs surveillés (comme un détecteur de porte) et leur emplacement (la porte avant, par exemple).
15. L’enquête du Commissariat a permis de confirmer les explications fournies par Brinks, à savoir que les renseignements de paiement d’un distributeur qui ont été rendus accessibles en raison de l’incident ne comprenaient aucun historique personnel de paiement des clients ni de renseignements financiers à leur sujet.
16. Finalement, Brinks a expliqué que le seul renseignement qu’un client non autorisé aurait pu modifier dans le compte d’un autre client était celui de la personne à joindre en cas d’urgence (la personne avec laquelle Brinks communique si l’alarme est activée et que le client n’est pas joignable). Selon Brinks, sans l’autorisation du client, aucun autre renseignement n’est fourni à la personne à joindre en cas d’urgence ou n’est recueilli auprès de celle-ci.

Enjeu 1 : Brinks a-t-elle failli à son obligation de protéger adéquatement les renseignements personnels des clients?

17. Le principe 4.7.1 prévoit aussi que les mesures de sécurité doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées.
18. Brinks n’a pas contesté le fait que l’atteinte à la vie privée était le fruit d’une erreur commise par un employé lors de la création des 102 comptes en question.
19. L’entreprise a de plus reconnu que son représentant du service à la clientèle n’avait pas transmis la situation au palier supérieur après avoir été informé une première fois de l’atteinte par le plaignant. L’erreur a eu pour effet de prolonger de 10 semaines la durée d’exposition des renseignements des clients concernés alors que le problème aurait pu être réglé rapidement grâce à un ajustement de paramètres du portail.
20. Cela dit, en réponse à l’atteinte à la vie privée, Brinks a mis en place les mesures suivantes au cours de l’enquête du Commissariat :
    1. Une réinitialisation des autorisations associées aux comptes pour limiter les accès non autorisés;
    2. Une mise à jour du processus d’inscription des clients au portail de manière à empêcher qu’un nouveau compte client sur le portail soit enregistré en tant que compte de distributeur;
    3. L’établissement de rapports réguliers pour être en mesure de surveiller les nouveaux comptes clients récemment créés sur le portail et de repérer tout écart nécessitant plus d’attention;
    4. L’amélioration des protocoles et de la formation à l’intention du représentant du service à la clientèle auquel le plaignant avait parlé de l’atteinte à la vie privée la première fois;
    5. La révision des manuels d’instructions destinés aux employés et la prestation d’une formation en lien avec l’incident afin d’éviter qu’une situation semblable ne se reproduise.
21. Finalement, Brinks a vendu tous les comptes de ses clients au Canada. De ce fait, les clients au Canada n’ont donc plus accès au portail en ligne de Brinks Home.
22. Compte tenu de ce qui précède, le Commissariat estime que cet élément de la plainte est fondé et résolu.
23. Le Commissariat note cependant que Brinks n’a pas mis en place des mesures techniques pour consigner les activités liées aux comptes de ses clients sur le portail. Il s’agit là d’une pratique exemplaire en matière de sécurité de l’information qui aurait pu aider l’entreprise à savoir précisément quels comptes avaient été consultés, le cas échéant, et par qui. Une telle pratique, combinée à des alertes adéquatement configurées, sert également de base pour détecter et limiter les accès non autorisés.

Enjeu 2 : Brinks s’est-elle conformée aux exigences de déclaration et d’avis?

24. Afin que le commissaire à la protection de la vie privée du Canada et tous les individus touchés soient au courant des atteintes à la sécurité des données qui présentent un RRPG, et qu’ils reçoivent des renseignements uniformes à ce propos, l’article 10.1 de la LPRPDE prévoit la déclaration obligatoire des atteintes pour les organisations qui sont victimes d’une atteinte à la sécurité des données (dans la LPRPDE, il s’agit « d’atteintes aux mesures de sécurité^{Note de bas de page 1} »).
25. Lorsqu’une organisation est victime d’une atteinte à ses mesures de sécurité, elle doit évaluer si cette atteinte pose un RRPG à l’endroit des individus touchés. S’il est raisonnable de croire que l’atteinte présente un RRPG pour un individu dans les circonstances, l’organisation doit déclarer cette atteinte au Commissariat conformément au paragraphe 10.1(1) de la LPRPDE. De plus, comme l’exige le paragraphe 10.1(3) de la Loi, l’organisation est tenue d’aviser tous les individus touchés au sujet de l’atteinte, à moins qu’une règle de droit ne l’interdise, pour leur permettre de prendre des mesures, s’il y a lieu, en vue de réduire ou d’atténuer le risque de préjudice qui pourrait en résulter. Dans les deux cas, la déclaration est faite et l’avis est donné le plus tôt possible après que l’organisation a conclu qu’il y a eu atteinte^{Note de bas de page 2}.

L’atteinte représente-t-elle un RRPG?

26. Conformément au paragraphe 10.1(8), lorsque l’on doit établir si un incident a pu présenter un RRPG, le contexte entourant ledit incident doit être pris en considération. L’évaluation prend donc en compte :
    1. le degré de sensibilité des renseignements personnels en cause;
    2. la probabilité que les renseignements personnels aient été mal utilisés ou soient en train ou sur le point de l’être.
27. De l’avis du Commissariat, comme c’est expliqué plus bas, les renseignements personnels en cause peuvent être considérés comme sensibles. Néanmoins, étant donné les circonstances, la probabilité d’une mauvaise utilisation de ces renseignements demeure faible de sorte que le Commissariat estime qu’il n’y a pas eu de RRPG.

Degré de sensibilité des renseignements personnels

28. Comme le Commissariat l’a souligné dans le « Bulletin d’interprétation : Renseignements sensibles^{Note de bas de page 3} », même si la LPRPDE ne définit pas la notion de renseignement personnel considéré comme sensible, le contexte est toutefois pertinent pour l’évaluation de la sensibilité. Par exemple, le principe 4.3.4 de la Loi indique que « [s]i certains renseignements sont presque toujours considérés comme sensibles, par exemple les dossiers médicaux et le revenu, tous les renseignements peuvent devenir sensibles suivant le contexte ».^{Note de bas de page 4}
29. Dans le cas présent, le Commissariat a conclu que les renseignements personnels en cause, notamment le nom des clients, leur adresse, les coordonnées de la personne à joindre en cas d’urgence, le modèle du système d’alarme et l’emplacement des dispositifs (à l’exception des renseignements financiers), pouvaient être considérés comme étant sensibles dans la mesure où ces renseignements auraient pu être exploités par un acteur malveillant ayant l’intention d’accéder sans autorisation à la résidence du client.

Probabilité d’une mauvaise utilisation

30. Cela dit, dans le cas qui nous occupe, le Commissariat est d’avis qu’une telle probabilité demeure faible.
31. Selon le document d’orientation du Commissariat^{Note de bas de page 5}, il est important de tenir compte de divers facteurs lorsqu’on évalue la probabilité d’une mauvaise utilisation : qui a, en fait, eu accès aux renseignements personnels ou aurait pu y avoir accès; si l’intention malveillante a été démontrée (vol, piratage); le temps écoulé entre la survenue de l’atteinte et sa détection; et si les renseignements ont été exposés à des personnes peu susceptibles de communiquer les renseignements d’une façon qui causerait un préjudice.
32. En l’espèce, il y a au plus 20 clients qui ont pu accéder aux renseignements des clients concernés sans y être autorisés. Même si ces personnes ont eu accès aux renseignements durant plusieurs mois, voire plus, il s’agissait toutefois de clients connus de Brinks ayant obtenu ces accès de manière involontaire et accidentelle. Il ne s’agissait pas de tiers inconnus ni d’acteurs malveillants qui auraient cherché à obtenir ces accès à des fins répréhensibles. Le Commissariat est d’avis que le risque qu’un de ces clients ait pu utiliser ces renseignements à des fins pouvant porter préjudice demeure faible.
33. À la lumière de ce qui précède, le Commissariat conclut qu’il n’y a pas eu de RRPG dans le cas présent. Brinks n’était donc pas tenue d’aviser les individus touchés par l’atteinte à la vie privée ou de la déclarer au Commissariat.
34. Le Commissariat estime que cet élément de la plainte est non fondé.

Conclusion

35. Compte tenu de tout ce qui précède et des mesures prises par l’intimée pour remédier aux problèmes à l’origine de l’atteinte à la vie privée, le Commissariat conclut que :
    1. l’élément de la plainte portant sur les mesures de sécurité était fondé et résolu;
    2. l’élément de la plainte portant sur la déclaration de l’atteinte était non fondé.