Un fournisseur de services communique par inadvertance l’adresse de courriel de près de 300 clients dans un courriel de masse
Résumé d'incident no 4
Incident
Une cliente d’un fournisseur de services a reçu un courriel de routine l’informant du moment où son service saisonnier serait rétabli. Elle a alors constaté que le courriel avait été envoyé en même temps à de nombreux autres clients, dont l’adresse de courriel était clairement visible dans le champ de l’adresse, tout comme la sienne. La cliente a signalé l’incident au Commissariat à la protection de la vie privée du Canada.
Résultat
Le fournisseur de services nous a indiqué que neuf courriels de masse avaient été envoyés ce jour-là à près de 300 adresses de courriel de clients. Il a expliqué que l’adresse des destinataires avait été affichée dans ces courriels et communiquée aux autres clients, car on l’avait saisie dans le champ « cc » au lieu du champ « cci » (ou « bcc »).
Au cours de la première demi-heure suivant la découverte de l’erreur, l’organisation a tenté de rappeler tous les courriels non ouverts pour atténuer les répercussions sur les clients. Elle a ensuite envoyé à chaque client touché un courriel d’excuses faisant état de l’incident et des mesures prises pour corriger la situation. L’organisation a également transmis aux clients les coordonnées d’un superviseur avec qui discuter de l’incident s’ils le souhaitaient. Par la suite, elle a envoyé des messages aux gestionnaires, aux superviseurs et aux dirigeants de l’entreprise pour les informer de la situation et leur a donné une formation en vue de mettre en œuvre un mécanisme ou un système automatisé plus sûr pour l’envoi des courriels de masse.
Par conséquent, dans la semaine qui a suivi l’incident, une nouvelle procédure reposant sur des pratiques exemplaires a été mise en place au sein de l’organisation pour l’envoi de courriels de masse. Cette procédure prévoit différentes mesures : a) éviter d’envoyer des courriels de masse, de façon générale, et privilégier d’autres méthodes de contact plus personnelles (p. ex. le téléphone) dans la mesure du possible; b) mettre l’équipe de marketing à contribution pour les courriels de masse à envoyer; c) soumettre les courriels de masse à l’examen et à l’approbation du superviseur et du directeur avant de les envoyer; d) utiliser un programme de publipostage pour assurer la confidentialité; et e) veiller à ce que les courriels de masse envoyés ne renferment pas de renseignements confidentiels de clients.
Commentaire final
À la suite de cet incident, le fournisseur de services a su démontrer au Commissariat qu’il avait mis en place des pratiques exemplaires pour l’envoi de courriels de masse. Nous encourageons vivement les autres organisations assujetties à la Loi à adopter des procédures similaires pour éviter de communiquer des renseignements personnels par inadvertance en envoyant un courriel de masse à leurs clients.
- Date de modification :