Communiqué
Le commissaire à la protection de la vie privée affirme que les mesures de protection d’Equifax sont « inacceptables » et surveillera l’entreprise pendant six ans à la suite d’une atteinte majeure à la sécurité des données
GATINEAU (Québec), le 9 avril 2019 – Une enquête sur une atteinte mondiale à la sécurité des données a révélé qu’Equifax Canada et sa société mère basée aux États-Unis étaient loin de respecter leurs obligations en matière de protection de la vie privée des Canadiens.
Les préoccupations relatives à la vie privée incluaient des mesures de sécurité insuffisantes; une conservation des renseignements pendant une période trop longue; des procédures de consentement inadéquates; une absence de reddition de comptes à l’égard des renseignements des Canadiens et des mesures de protection limitées offertes aux personnes touchées après l’atteinte.
Ces problèmes ont contribué à aggraver les répercussions de l’atteinte qui a touché plus de 143 millions de personnes dans le monde, dont 19 000 Canadiens.
« Compte tenu de la grande quantité de renseignements personnels extrêmement sensibles détenus par Equifax et de son rôle essentiel dans le secteur financier en tant qu’agence d’évaluation du crédit, il était totalement inacceptable de constater des lacunes aussi importantes dans les pratiques de l’entreprise en matière de protection de la vie privée et de sécurité », déclare Daniel Therrien, commissaire à la protection de la vie privée du Canada.
« Ultimement, la société a accepté de signer un accord de conformité, ce qui démontre son engagement à répondre à plusieurs de nos préoccupations et à faire de la protection de la vie privée une priorité à l’avenir. »
Depuis l’atteinte, Equifax Canada et Equifax Inc. ont pris des mesures pour améliorer leurs programmes de sécurité, de reddition de comptes et de destruction de données.
Compte tenu de la gravité des problèmes relevés, Equifax Canada s’est également engagée à soumettre au Commissariat tous les deux ans, au cours des six prochaines années, des rapports de vérification effectués par un tiers sur sa propre sécurité et celle d’Equifax Inc. Cela permettra de surveiller en continu la conformité à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la loi fédérale sur la protection des renseignements personnels dans le secteur privé au Canada, incluant l’évaluation des mesures prises par Equifax depuis l’atteinte.
L’atteinte s’est produite après que des pirates informatiques ont eu accès aux systèmes d’Equifax Inc. en raison d’une vulnérabilité que la société connaissait depuis plus de deux mois, mais n’avait pas corrigée.
Les renseignements personnels des Canadiens détenus par Equifax Inc. aux États-Unis se sont retrouvés en la possession des pirates informatiques parce qu’ils avaient obtenu des produits, tels que la surveillance du crédit ou des alertes de fraude d’Equifax Canada; des transactions qui avaient été traitées par sa société mère. Une fois que les renseignements des Canadiens se sont retrouvés dans les systèmes d’Equifax Inc. aux États-Unis, de graves lacunes dans son programme de sécurité ont fait en sorte que les renseignements des Canadiens étaient insuffisamment protégés.
Bien qu’Equifax Canada ait ultimement accepté d’offrir pendant un minimum de quatre ans la surveillance gratuite du crédit pour les victimes de l’atteinte, l’entreprise, à l’opposé de sa société mère, n’était pas allée jusqu’à proposer un gel du crédit leur permettant de limiter l’accès à leurs dossiers de crédit, réduisant ainsi le risque de vérification de crédit frauduleuse ou non autorisée.
« Les Canadiens touchés par l’atteinte font face aux mêmes risques et il est regrettable qu’Equifax Canada ait refusé d’offrir une option de gel de crédit aux Canadiens touchés », affirme le commissaire Therrien.
Plusieurs plaignants ont déclaré au Commissariat qu’ils étaient surpris d’apprendre que leurs renseignements avaient quitté le Canada et avaient été transférés aux États-Unis.
Le Commissariat a jugé que le transfert de renseignements n’était pas conforme à l’obligation incombant à l’organisation en vertu de la LPRPDE d’obtenir le consentement valable des personnes avant de divulguer leurs renseignements personnels à un tiers. Pour que le consentement soit valable, les personnes doivent obligatoirement recevoir des informations claires sur la communication, y compris lorsque le tiers est situé dans un autre pays, et les risques qui y sont associés.
Les organisations doivent obtenir un consentement exprès lorsque les personnes ne s’attendraient pas de manière raisonnable à un transfert dans un autre pays. C’était le cas ici étant donné que les clients canadiens ont interagi exclusivement avec Equifax Canada et qu’ils n’ont pas été explicitement avisés que leurs renseignements seraient traités aux États-Unis. Les organisations doivent également obtenir un consentement exprès lorsque les renseignements sont sensibles, comme c’est généralement le cas pour les informations financières.
Le Commissariat reconnaît que cela constitue un écart par rapport à sa position antérieure, ce qui l’amène à un réexamen de ses lignes directrices sur la circulation transfrontalière des données à l’intention des entreprises.
Le Commissariat lance une consultation sur les transferts transfrontaliers
Dans un premier temps, le Commissariat lance une consultation formelle avec les intervenants en vue de solliciter leurs commentaires avant de modifier ses lignes directrices sur les transferts transfrontaliers de renseignements personnels. Le Commissariat a publié un document de consultation et accueille des observations écrites jusqu’au 4 juin 2019.
« Nous reconnaissons que la circulation transfrontalière des données présente des avantages, mais, en vertu de la loi, les personnes doivent avoir leur mot à dire quant à la communication de leurs renseignements personnels à l’extérieur du Canada », indique le commissaire Therrien.
« Que cela affecte leur décision d’établir une relation d’affaires avec une organisation ou de renoncer à un produit ou à un service devrait être laissé au choix des personnes », ajoute-t-il.
Après la consultation, le Commissariat clarifiera les règles afin que les organisations comprennent leurs obligations en matière d’obtention d’un consentement valable et restent responsables de la protection des renseignements qu’elles gèrent.
Collaboration internationale
Il convient également de noter que le Commissariat a tiré parti de sa collaboration avec la Federal Trade Commission (FTC) des États-Unis et le Bureau de la Commissaire à l’information du Royaume-Uni (ICO) au cours de son enquête.
« Nous voudrions exprimer notre reconnaissance pour l’assistance de la FTC et du Bureau de la Commissaire à l’information du Royaume-Uni », déclare le commissaire Therrien.
À propos du commissaire à la protection de la vie privée du Canada
Le Parlement a confié au commissaire à la protection de la vie privée du Canada le mandat d’agir à titre de gardien du droit à la vie privée au Canada. Le commissaire est responsable de l’application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s’applique au secteur public fédéral, et la LPRPDE, qui s’applique aux organisations du secteur privé au Canada.
Voir également :
- 30 -
Pour de plus amples renseignements :
Tobi.Cohen@priv.gc.ca
819-994-5689
REMARQUE : Pour nous aider à réagir plus rapidement, les journalistes sont invités à envoyer leurs demandes d’entrevue ou d’autres informations par courriel.
- Date de modification :