Annonce
Une entreprise de logiciels dans le domaine de l’éducation corrige des vulnérabilités de sécurité
Le 20 mai 2021
Une enquête du Commissariat à la protection de la vie privée du Canada (le Commissariat) a révélé qu’une entreprise canadienne de technologie éducative ne disposait pas d’un cadre global de sécurité de l’information pour protéger les renseignements personnels de centaines de milliers d’élèves.
L’enquête a été lancée à la suite d’une plainte d’un parent qui a découvert des vulnérabilités de sécurité dans une application logicielle utilisée par le conseil scolaire de ses enfants.
Le logiciel d’application, nommé Edsby, est la propriété de CoreFour Inc., une entreprise de Richmond Hill en Ontario. CoreFour traite les renseignements personnels de centaines de milliers d’enfants partout au Canada et à l’étranger.
Selon les conclusions de l’enquête, CoreFour avait mis en place des pratiques de sécurité efficaces, mais n’avait pas élaboré de cadre solide et global de sécurité de l’information.
Un tel cadre aurait potentiellement permis d’éviter les vulnérabilités de sécurité relevées par le plaignant, lesquelles ont aussi été relevées par le Commissariat à la suite de tests. En particulier, l’enquête a fait ressortir la faiblesse des exigences en matière de mot de passe pour certains comptes parentaux d’Edsby et le caractère inadéquat des mesures de sécurité pour empêcher l’accès non autorisé aux vignettes des photos de profils d’élèves. L’enquête a également permis de souligner la nécessité de détecter les maliciels lors du téléchargement de contenu dans Edsby à partir d’applications tierces.
L’information confiée à CoreFour contient des renseignements personnels sensibles, comme les notes des élèves ainsi que des renseignements sur les absences, les troubles d’apprentissage et l’état de santé de ceux‑ci, par exemple en ce qui concerne les allergies et les médicaments à prendre. Ces renseignements devraient être protégés par des mesures de sécurité accrues proportionnelles à leur volume et à leur sensibilité.
Le Commissariat a pu compter sur la collaboration de CoreFour tout au long de l’enquête. L’entreprise a corrigé les vulnérabilités soulevées sur le plan de la sécurité et a accepté de donner suite aux recommandations du Commissariat.
Nous remercions le plaignant d’avoir soulevé des préoccupations ayant permis, grâce à l’enquête, d’apporter des améliorations importantes afin de mieux protéger la vie privée des élèves. Il s’agissait de la première enquête menée par le Commissariat dans le domaine des technologies de l’éducation, lesquelles sont devenues monnaie courante en raison de l’enseignement à distance pendant la pandémie.
L’enquête sur CoreFour permet de souligner l’importance de mettre en place des cadres de sécurité de l’information et de gestion de la protection de la vie privée qui suivent la croissance d’une organisation afin de protéger adéquatement les renseignements personnels conformément aux exigences de la loi.
Le Commissariat à l’information et à la protection de la vie privée de l’Ontario (CIPVP) a mené une enquête connexe au titre de la Loi sur l’accès à l’information municipale et la protection de la vie privée de l’Ontario sur une plainte contre un conseil scolaire utilisant l’application Edsby pour gérer l’assiduité des élèves.
Contenu connexe
- Date de modification :