Défaillance des pratiques de la CIBC en matière de protection des renseignements personnels lors d'envois de documents par télécopieur
Résumé d'incident no 2
Incident
À la fin de 2004, le Commissariat à la protection de la vie privée du Canada a amorcé une enquête à la suite de mauvais acheminements de documents envoyés par télécopieur. Les documents envoyés contenaient des renseignements personnels de clients de la CIBC et avaient été transmis par diverses succursales à une entreprise aux États-Unis et à une autre à Dorval (Québec).
Les pratiques de la banque en matière de protection des renseignements personnels ont été durement mises à l'épreuve par ces incidents et se sont avérées inefficaces. Ces incidents ont sonné l'alarme non seulement à la CIBC, mais à chaque organisation au Canada qui recueille, utilise ou communique des renseignements personnels dans le cadre de ses activités commerciales.
Aux termes de la Loi sur la protection des renseignements personnels et les documents électroniques, les organisations sont tenues d'instaurer des politiques et procédures qui donnent corps aux principes de pratiques équitables en matière de renseignements. Une politique en matière de protection des renseignements personnels dans une brochure ou sur un site Web n'est pas suffisante. L'organisation dans son ensemble doit être au fait de sa politique et doit veiller à ce que les employés la respectent, signalent les problèmes à l'employé responsable en cette matière et prennent des mesures pour les régler. Cette façon de procéder n'est pas seulement une bonne idée... c'est la loi.
Le récit qui suit devrait mettre en garde toutes les organisations assujetties à la Loi. Si les politiques et procédures de la CIBC en matière de protection des renseignements personnels avaient été efficaces, les incidents suivants auraient pu ne pas se produire.
Résumé des incidents
Les incidents en question se sont produits entre 2001 et 2004 et présentent de nombreux points communs. Dans les deux cas, des documents envoyés par télécopieur ont été mal acheminés et les destinataires en ont avisé la banque à plusieurs reprises. Bien qu'il semble que la banque, en particulier le Service à la clientèle et le Service juridique, ait tenté de régler le problème, ses efforts n'ont pas porté fruit. En 2002, la banque a demandé à l'entreprise américaine de déchiqueter les documents mal acheminés, mais deux ans plus tard, elle a appris que l'entreprise ne les avait pas tous détruits. En 2004, lorsque le propriétaire d'une entreprise de Dorval l'a informée de la réception de documents reçus par télécopieur par erreur, la banque lui a simplement demandé de les déchiqueter. Dans les deux cas, la CIBC n'a pris aucune autre mesure en vue de recouvrer les renseignements personnels de ses clients et, exception faite d'une personne, les clients touchés ont appris que leurs renseignements personnels avaient été envoyés par télécopieur à la mauvaise adresse uniquement lorsque l'affaire a été rendue publique en 2004. Pour plus de détails au sujet de l'enquête de l'incident, prière de lire l'Ajout au résumé de l'incident des télécopies de la CIBC.
Observation du Commissariat à la protection de la vie privée
Il ne faisait aucun doute que les pratiques de la banque en matière de protection de la vie privée avaient échoué sur le plan organisationnel le plus élémentaire, ce qui a entraîné une infraction aux modalités de protection des renseignements personnels et une perte de confiance. Le fait que des documents aient été mal acheminés pendant plusieurs années, que les tentatives de correction du problème aient été vaines et que la banque n'ait pas recouvré comme il se devait les renseignements personnels des clients a considérablement interpellé le Commissariat.
Ce qui saute le plus aux yeux, c'est que les employés de la CIBC chargés de donner suite aux incidents n'ont jamais reconnu entièrement que le mauvais acheminement de documents par télécopieur constituait un problème de protection des renseignements personnels. Nous sommes déçus de constater que la politique en matière de protection de la vie privée d'une institution, selon toute apparence bien organisée comme la CIBC, comportait tellement de lacunes que ces incidents n'ont jamais été reconnus entièrement comme une atteinte à la protection de la vie privée et que les responsables de la protection des renseignements personnels de la banque n'ont jamais été informés du problème.
Mesures correctives adoptées
La CIBC a pris un certain nombre de mesures pour circonscrire les problèmes et mettre en oeuvre des solutions à court, moyen et long termes visant à améliorer les mécanismes de protection des renseignements personnels.
La banque a immédiatement interdit à toutes les succursales de recourir à la télécopie partout au Canada. Elle a demandé que d'autres moyens d'expédition, comme un service de transmission par sac interne, soient utilisés dans le cas de toutes les transmissions effectuées auparavant par télécopieur. Quelques exceptions à cette interdiction ont été prévues entre autres dans les endroits où les services de messagerie ne sont pas disponibles, comme dans les régions éloignées. Dans ces cas, des instructions strictes pour les transmissions par télécopieur ont été mises en oeuvre.
La banque a examiné toutes ses procédures d'envois par télécopieur pour déterminer le nombre de documents transmis chaque année, établir les priorités relatives à ces procédures et évaluer sa capacité de remplacer la télécopie par d'autres moyens plus sûrs. Elle a formé une équipe pour élaborer des mécanismes de contrôle et pour les surveiller afin de s’assurer que les employés respectent les nouvelles procédures et signalent les problèmes.
La CIBC a étudié un certain nombre d'options technologiques. La plupart des télécopieurs de la banque pourraient être programmés par le siège social. La banque utilisera désormais un système de composition sécuritaire lors de transmissions par télécopieur. Le numéro de télécopieur ayant occasionné les erreurs de transmissions a également été supprimé. La banque envisage l'automatisation des formulaires comme solution à plus long terme pour certaines de ses procédures.
La CIBC a reconnu l'existence de problèmes associés à la façon dont elle a traité cet incident et a décidé de renforcer ses procédures internes par les moyens suivants :
- Restructurer les secteurs responsables d'évaluer les risques, de présenter les problèmes liés à la protection des renseignements personnels aux échelons supérieurs, de les surveiller et de les signaler;
- Élaborer et mettre en oeuvre des procédures de recours aux échelons supérieurs pour l'éventail des problèmes de protection des renseignements personnels, notamment les rôles et responsabilités;
- Déterminer et offrir une formation aux points d'accès uniques dans tous les secteurs d'affaires et d'infrastructure;
- Lancer un site Intranet sur la protection des renseignements personnels qui comprend les politiques, les normes et les formulaires visant à présenter aux échelons supérieurs l'éventail des problèmes de protection des renseignements personnels;
- Élaborer des outils et des modèles pour établir la priorité de chaque problème, la transcription et les protocoles de communication avec les clients.
Recommandations
Le Commissariat à la protection de la vie privée du Canada a formulé les recommandations suivantes :
- que la CIBC instaure intégralement les changements et les mécanismes de protection prévus afin de traiter immédiatement les problèmes liés à la protection des renseignements personnels lorsqu'ils sont signalés;
- que la CIBC instaure un mécanisme permettant d'informer sur-le-champ toute personne dont les renseignements personnels seraient communiqués de manière inappropriée;
- que la CIBC soumette un rapport à la commissaire adjointe à la protection de la vie privée.
La Direction de la vérification et de la revue du Commissariat à la protection de la vie privée du Canada se penchera sur les mesures prises par la banque et tous les autres risques liés à la communication de renseignements personnels.
Observation finale
Le Commissariat exhorte cette institution et à toutes les organisations assujetties à la Loi d'évaluer leurs politiques et procédures en matière de protection des renseignements personnels et d'instaurer des mesures visant à corriger leurs lacunes.
- Date de modification :