Communiqué
Un ensemble de lacunes a donné lieu à la fuite massive de données chez Desjardins
GATINEAU (Québec), le 14 décembre 2020 – L’atteinte à la sécurité des données chez Desjardins, la plus importante à ce jour dans le secteur des services financiers canadiens, est attribuable à un ensemble de lacunes administratives et technologiques, selon une enquête menée par le Commissariat à la protection de la vie privée du Canada.
Le Commissariat diffuse aujourd’hui son rapport de conclusions d’enquête au sujet de cette fuite, qui a compromis les renseignements de près de 9,7 millions de Canadiens.
Le Commissariat et la Commission d’accès à l’information, qui publie également sa décision aujourd’hui, ont coordonné leurs enquêtes respectives. L’Autorité des marchés financiers du Québec publie aussi aujourd’hui les résultats de sa propre enquête.
« Desjardins n’a pas fait preuve de la prudence nécessaire à l’égard des données personnelles sensibles qui lui ont été confiées », affirme le commissaire à la protection de la vie privée du Canada, Daniel Therrien. « Les membres et clients de l’institution, ainsi que l’ensemble des citoyens, ont à bon droit été choqués par l’ampleur de la fuite. Cela dit, nous sommes satisfaits des mesures d’atténuation offertes aux personnes touchées et des engagements pris par Desjardins. »
Desjardins avait déjà reconnu certaines des faiblesses qui ont eu donné lieu à l’atteinte et avait déjà dressé un plan pour y remédier. Néanmoins, l’institution financière n’a pas rajusté le tir à temps. De plus, la fuite s’était manifestée plus de deux ans avant que Desjardins n’en ait pris connaissance, et seulement après en avoir été alertée par la police.
Selon la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Cela représente une tâche importante – mais néanmoins cruciale – pour une institution financière qui dispose de systèmes complexes et qui entretient un grand nombre de relations commerciales.
L’enquête au sujet de l’atteinte chez Desjardins illustre les dangers que peuvent présenter les menaces internes, intentionnelles ou non. Le Commissariat insiste sur l’importance de la vigilance et de l’approche systémique qui doivent caractériser les mesures déployées pour faire face aux menaces et en atténuer l’impact.
Pendant au moins 26 mois, un employé malveillant a exfiltré des renseignements personnels sensibles qui avaient été recueillis par Desjardins auprès de clients qui avaient acheté ou reçu des produits offerts directement et indirectement par l’organisation.
Ces renseignements étaient stockés à l’origine dans deux entrepôts de données auxquels l’employé malveillant avait un accès restreint. Toutefois, d’autres employés, dans le cadre de leurs fonctions, copiaient périodiquement ces renseignements sur un lecteur partagé. De ce fait, des employés qui n’avaient normalement ni les autorisations nécessaires ni le besoin d’accéder à certaines données confidentielles pouvaient maintenant y accéder. Bien que ces pratiques allaient à l’encontre des politiques de l’institution financière, les mesures technologiques en place pour prévenir ces écarts étaient insuffisantes au moment de l’atteinte.
Au terme de l’enquête, Desjardins a accepté une série de recommandations visant à mettre à niveau son programme de sécurité de l’information et de protection des renseignements personnels, y compris ses pratiques de destruction de données, et de fournir au Commissariat des rapports d’étape tous les six mois. L’institution financière s’est également engagée à retenir les services de vérificateurs externes pour évaluer et attester ce programme et à soumettre un rapport d’évaluation au Commissariat.
L’enquête du Commissariat fédéral a révélé que Desjardins avait manqué à plusieurs de ses obligations en vertu de la LPRPDE, notamment :
- Desjardins n’avait pas pris les mesures nécessaires pour assurer la mise en œuvre de ses politiques et procédures concernant la gestion des renseignements personnels, qui étaient parfois inadéquates au départ;
- sur le plan technologique, les contrôles d’accès et la séparation logique des bases de données et répertoires étaient insuffisants;
- la formation et la sensibilisation des employés faisaient défaut, compte tenu de la sensibilité des renseignements personnels détenus par l’organisation;
- Desjardins n'avait pas mis en place de délais de conservation ni de procédures concernant la destruction des renseignements personnels.
Documents connexes
Communiqué de la Commission d’accès à l’information du Québec
Prévenir une atteinte à la vie privée et réagir en cas d’atteinte, conseils à l’intention des entreprises
Réception d’un avis d’atteinte à la vie privée, conseils à l’intention des particuliers
Coordonnées à l’intention des médias
Commissariat à la protection de la vie privée du Canada
communications@priv.gc.ca
Commission d’accès à l’information du Québec
isabelle.gosselin@cai.gouv.qc.ca
- Date de modification :