La perte de la clé USB d’Emploi et Développement social Canada confirme les leçons tirées
Une enquête antérieure, relative à une atteinte à la protection des données concernant EDSC, a été présentée dans un rapport spécial du Commissariat qui a été déposé au Parlement le 25 mars 2014. Il y était souligné que les politiques officielles de protection des renseignements personnels et de sécurité des données de l’organisation ne se traduisaient pas par des pratiques opérationnelles valables.
À l’issue de son enquête, le Commissariat a conclu que ce facteur a largement contribué à la perte d’un disque dur contenant les renseignements personnels de 583 000 bénéficiaires de prêts étudiants, disque dur dont l’absence a été constatée le 5 novembre 2012.
Le même mois, une clé USB contenant les renseignements personnels de 5 045 particuliers ayant interjeté appel de décisions relatives à des prestations d’invalidité du Régime de pensions du Canada a disparu du bureau de travail d’un employé dans un local d’EDSC. Comme le disque dur, la clé USB n’était ni protégée par un mot de passe ni chiffrée, et elle n’a jamais été retrouvée.
Les renseignements personnels suivants étaient notamment stockés sur la clé USB disparue, pour chaque personne : NAS, date de naissance, nom, état de santé, niveau de scolarité, type d’emploi; l’information indiquait également si d’autres paiements étaient versés, par exemple des indemnités d’accident du travail. Si des renseignements de ce type tombent entre de mauvaises mains, cela peut donner lieu au vol d’identité ou à la fraude.
L’enquête menée par le Commissariat sur la disparition de la clé USB a mis au jour des lacunes dans les quatre mêmes types de contrôles de gestion de la protection des renseignements personnels examinés dans le cas du disque dur contenant des renseignements sur les prêts étudiants, à savoir les contrôles physiques, technologiques et administratifs, et les contrôles du personnel.
La différence entre le cas de la disparition de la clé USB et le cas du disque dur (contenant les renseignements personnels des bénéficiaires de prêts étudiants) réside dans le fait que c’est un avocat de Justice Canada qui avait la garde de la clé USB lorsqu’elle a été perdue. L’avocat travaillait dans un bureau d’EDSC pour aider au triage des appels interjetés d’une décision relative aux pensions d’invalidité en attente d’audition devant l’ancien tribunal de révision. L’avocat a laissé la clé USB sur le bureau dans une pièce fermée au lieu de ranger la clé dans un classeur sécurisé.
De façon plus générale, notre enquête a montré que le ministère de la Justice n’a pas non plus concrétisé ses politiques de sécurité et de protection des renseignements personnels dans des pratiques opérationnelles efficaces.
EDSC et Justice ont accepté les neuf recommandations du Commissariat visant à mieux protéger les renseignements personnels dont ils ont la garde. La plupart de ces recommandations reprennent celles formulées lors de l’enquête sur la perte du disque dur.
- Date de modification :