Un fournisseur de services antivirus renforce ses mesures de sécurité après qu’un individu se faisant passer pour un employé a utilisé frauduleusement les renseignements personnels d’un client
Résumé des conclusions de plainte réglée rapidement no 2015-05
Le 28 juin 2015
Leçons apprises
- Les organisations doivent protéger les renseignements personnels qu’elles recueillent en instaurant des mesures de sécurité qui protègent les renseignements contre la perte ou le vol, l’accès, la communication, la copie, l’utilisation ou la modification non autorisés, y compris les gestes posés par leurs propres employés. Le Commissariat à la protection de la vie privée du Canada (le Commissariat) a élaboré un outil d’auto-évaluation à l’intention des organisations afin d’aider ces dernières à évaluer si elles protègent bien les renseignements personnels en leur possession.
- Les organisations doivent établir des procédures pour recevoir les plaintes et les demandes de renseignements concernant leurs politiques et pratiques de gestion des renseignements personnels et y donner suite. Les procédures relatives aux plaintes devraient être facilement accessibles et simples à utiliser.
- Les organisations doivent faire enquête sur toutes les plaintes. Si une plainte est jugée fondée, l’organisation doit prendre les mesures appropriées, y compris la modification de ses politiques et de ses pratiques au besoin.
Résumé de la plainte
Un couple a reçu un appel téléphonique d’une personne qui prétendait représenter l’entreprise auprès de laquelle il avait souscrit un contrat de services informatiques de protection antivirus. La personne qui a fait l’appel a demandé à avoir accès à distance à l’ordinateur du couple sous prétexte qu’il aurait été piraté. Le couple a eu des soupçons et a refusé l’accès.
La conjointe a par la suite communiqué directement avec l’entreprise afin de confirmer les soupçons. On lui a répondu que l’appel était un canular, car les techniciens de l’entreprise ne communiquent pas avec les clients de cette façon.
Plus tard dans la même journée, le conjoint a reçu à la maison un autre appel téléphonique de quelqu’un qui prétendait être un technicien de l’entreprise. Le conjoint a expliqué à la personne au téléphone qu’il avait de sérieux doutes au sujet de la validité de l’identité du technicien, mais la personne l’a rassuré en lui mentionnant le numéro de compte privé du couple. Persuadé qu’il s’agissait d’un appel légitime, le conjoint lui a donné l’accès à distance à l’ordinateur du couple afin de « régler le problème ».
La personne au téléphone a ensuite offert au conjoint une réduction sur le prix du contrat de service en cours afin de le dédommager pour le piratage qui avait censément eu lieu. La personne a ajouté que s’il acceptait, l’entreprise rembourserait le montant du contrat initial. Le conjoint a accepté le nouveau prix réduit et a autorisé un second paiement sur sa carte de crédit, pensant que le premier montant débité serait remboursé. Il a toutefois constaté, en vérifiant son prochain relevé de carte de crédit, que rien n’avait été remboursé. En outre, le second paiement avait bel et bien été facturé, mais au nom d’un bénéficiaire inconnu, soit une société dont le couple ne reconnaissait pas le nom.
Les recherches menées ensuite par le couple ont révélé que le bénéficiaire inconnu était en fait une société de marketing et non pas le fournisseur de services d’origine. Certains qu’au moins deux entreprises avaient eu accès à leur ordinateur et à leurs renseignements personnels, les conjoints ont annulé leurs cartes de crédit, avisé les bureaux de crédit de l’utilisation frauduleuse et changé leurs mots de passe. La société émettrice des cartes de crédit, une fois au courant de la situation, a convenu que la transaction était frauduleuse et a renversé le second paiement pris sur le compte du couple par la société de marketing.
Toutefois, malgré plusieurs tentatives, le couple n’a pas réussi à persuader les agents du service à la clientèle de son véritable fournisseur de services de faire enquête au sujet de la fraude apparente et de l’usurpation de l’identité d’un de ses employés. Le couple a donc demandé au Commissariat de se pencher sur le dossier et de trouver de quelle manière la société de marketing avait obtenu son numéro de compte privé auprès du fournisseur de services.
Résultat
Le Commissariat a communiqué avec le fournisseur de services pour lui demander de faire enquête en vertu du principe 4.10.4 énoncé dans la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). L’enquête a révélé qu’un employé avait eu accès au compte du plaignant sans motif légitime. L’entreprise a fait savoir que l’employé avait entre-temps été congédié. Le fournisseur de services a ensuite communiqué avec les personnes lésées, leur a présenté des excuses et leur a remboursé le montant initial complet, qui était supérieur, payé pour leur contrat de service.
En outre, l’entreprise a mis en place un système de vérification selon lequel une alerte est envoyée au département des risques afin qu’il déclenche une enquête chaque fois que le nombre de dossiers de clients auxquels un employé a accédé dépasse le nombre d’appels de clients reçus. Également, compte tenu du fait qu’il s’est avéré difficile pour les conjoints de communiquer avec l’entreprise afin qu’elle réponde à leurs préoccupations concernant leurs renseignements personnels, celle-ci a instauré une nouvelle procédure, plus simple, pour porter les préoccupations relatives à la protection des renseignements personnels à l’attention de la direction.
Une fois informé de ces changements, le couple s’est dit satisfait du résultat.
- Date de modification :