Un disque dur portatif contenant des informations personnelles sur plus d'un demi-million de Canadiens qui ont bénéficié d'un prêt étudiant a été laissé sans surveillance pendant de longues périodes de temps et n'était pas protégé par un mot de passe ou du cryptage, a dévoilé le Commissariat à la protection de la vie privée, mardi.

Les employés qui ont manipulé le disque dur n'était pas conscients du caractère très personnel des informations qu'il contenait, a conclu le rapport de la commissaire par intérim, Chantal Bernier.

Emploi et Développement social Canada a dévoilé, l'an dernier, que le disque dur contenait des renseignements personnels sur 583 000 bénéficiaires du Programme canadien de prêts aux étudiants entre 2000 et 2006.

Les fichiers répertoriaient le nom des étudiants, ainsi que leur numéro d'assurance sociale, leur date de naissance, leurs coordonnées et le solde du prêt. Le disque dur contenait également les coordonnées personnelles de 250 fonctionnaires du ministère.

Le rapport de la commissaire, déposé au Parlement, indique qu'un écart entre les politiques et les pratiques au ministère a mené à des lacunes dans la gestion de l'information, dans les contrôles de sécurité et dans la vigilance des employés.

La commissaire ajoute que des fonctionnaires ont violé des sections de la Loi sur la protection des renseignements personnels relatives à l'utilisation, la divulgation et la destruction des informations personnelles.

«Cet incident devrait servir d'exemple pour toutes les organisations, soutient Mme Bernier par voie de communiqué. Mettre les politiques sur papier n'est pas suffisant pour assurer la protection des renseignements personnels. Les politiques doivent être mises en pratique chaque jour et surveillées régulièrement.»

Disque dur jamais retrouvé

Le Commissariat avait ouvert une enquête en janvier 2013 après que le ministère eut rapporté que le disque dur était égaré depuis deux mois - il n'a jamais été retrouvé depuis. Les autorités ne savent pas s'il s'agit d'une erreur humaine ou d'un geste délibéré.

Le rapport de la commissaire a été déposé au moment où un juge de la Cour fédérale a autorisé un recours collectif par d'anciens étudiants qui cherchent à obtenir réparations pour violation de la vie privée et pour rupture de contrat.

Le rapport précise également que le ministère a accepté l'ensemble des recommandations du commissariat, et qu'il a «commencé à prendre les mesures nécessaires pour les mettre en oeuvre».

De fait, le ministère a précisé, lui aussi par voie de communiqué, que la majorité des recommandations avaient déjà été mises en place, et que le tout devrait être complété d'ici l'automne prochain.

De son côté, une porte-parole du ministre de l'Emploi Jason Kenney a dit que celui-ci était dans l'incapacité de commenter.

La vaste majorité des failles de sécurité en termes de données détenues par le fédéral survenues l'an dernier n'ont pas été rapportés au commissariat, affirme Charmaine Borg, la porte-parole néo-démocrate pour les questions touchant au numérique.

«Les ministères ont tendance à ne pas signaler ces failles au commissariat, ou aux gens touchés par ces fuites», dit-elle.

«Nous avons besoin d'un système qui oblige à informer les gens lorsque leurs données font l'objet de fuites. Les Canadiens ont le droit de savoir lorsque leurs informations personnes ont été perdues par le gouvernement.»