Une institution financière réagit rapidement à une erreur commise au cours d’un envoi massif par la poste
Résumé d’incident no 11
Le 19 février 2016
Leçons apprises
- Les organisations qui effectuent des envois massifs de renseignements personnels par la poste, par exemple les institutions financières pendant la période des déclarations de revenus, devraient être conscientes des risques d’erreur et prendre des précautions pour éviter les erreurs d’impression ou d’envoi. Elles devraient aussi se doter de systèmes et de politiques qui leur permettent de réagir à toute erreur qui pourrait survenir.
- En cas d’erreur d’envoi, les organisations devraient communiquer avec les personnes ayant reçu le courrier. Pour réduire les risques de mauvaise utilisation, elles devraient leur demander de détruire ou de retourner le courrier reçu par erreur et de ne pas communiquer les renseignements confidentiels qu’il contenait. Elles devraient aussi en informer les personnes à qui les renseignements fiscaux étaient destinés afin de leur permettre de signaler leurs préoccupations concernant le risque de vol d’identité. Ces organisations devraient par ailleurs réviser leurs politiques et procédures internes pour réduire le risque d’erreurs futures.
Incident
Une personne a reçu par la poste un relevé de cotisations à un REER de son institution financière, qui comprend généralement trois exemplaires renfermant la même information (un pour le gouvernement fédéral, un pour le gouvernement provincial et un pour le contribuable). Toutefois, la personne a remarqué que l’un des exemplaires contenait les renseignements d’une autre personne, entre autres son nom, son adresse, son numéro de compte, le montant de ses cotisations au REER et son numéro d’assurance sociale.
L’institution financière a signalé l’atteinte à la sécurité au Commissariat en indiquant qu’elle était attribuable à une erreur de production. Quelques centaines de relevés sont ainsi parvenus par erreur à d’autres clients.
L’institution financière a rapidement réuni son équipe d’intervention en cas d’atteinte à la sécurité des renseignements personnels pour évaluer la situation. Une enquête a permis de constater qu’à un certain moment pendant l’impression automatisée des relevés, le point de coupure entre le relevé d’une personne et celui de la personne suivante s’est désaligné. De fait, chaque relevé a été tronqué et séparé du prochain au mauvais endroit. C’est pourquoi certains relevés contenaient des renseignements concernant une autre personne, soit celle dont le relevé était le suivant dans la série.
Résultat
Après avoir pris connaissance de l’incident, l’institution financière :
- a avisé les clients concernés et leur a présenté des excuses;
- leur a fourni de nouveaux relevés;
- les a avisés que la banque resserrait la surveillance de leurs comptes;
- leur a offert un service sans frais de surveillance du crédit par une agence d’évaluation du crédit.
L’institution financière a également demandé aux clients de détruire les relevés fiscaux qu’ils avaient reçus par erreur. Dans les cas où les clients ont décidé de remettre ces relevés à une succursale de l’institution financière, les employés des succursales ont reçu la directive de veiller à ce qu’ils soient détruits de façon appropriée.
Par ailleurs, l’institution financière a révisé ses procédures et contrôles internes et mis en œuvre des contrôles nouveaux et améliorés afin de s’assurer que des mesures de protection adéquates étaient en vigueur pour réduire le risque que des incidents semblables se produisent à l’avenir.
- Date de modification :