Vie privée: des «lacunes importantes» pour Equifax au Canada

Equifax a enfreint la loi canadienne sur la protection de la vie privée et s'est dérobée à ses obligations envers les Canadiens pendant et après une cyberattaque mondiale en 2017, conclut le Commissariat à la protection de la vie privée du Canada.

Plus de 143 millions de personnes dans le monde, dont 19 000 Canadiens, avaient été touchées par un accès non autorisé aux systèmes de l'agence d'évaluation du crédit. Le commissaire Daniel Therrien soutient mardi que des lacunes d'Equifax Canada ont contribué à aggraver les répercussions sur les Canadiens de cette cyberattaque mondiale.

« Compte tenu de la grande quantité de renseignements personnels extrêmement sensibles détenus par Equifax et de son rôle essentiel dans le secteur financier en tant qu'agence d'évaluation du crédit, il était totalement inacceptable de constater des lacunes aussi importantes dans les pratiques de l'entreprise en matière de protection de la vie privée et de sécurité », conclut Daniel Therrien dans son rapport d'enquête, déposé mardi.

Les préoccupations du Commissariat portaient notamment sur des mesures de sécurité insuffisantes chez Equifax ; une conservation des renseignements pendant une période trop longue ; des procédures de consentement inadéquates ; une absence de reddition de comptes à l'égard des renseignements des Canadiens ; et des mesures de protection limitées offertes aux personnes touchées après cette atteinte mondiale.

Equifax Canada et sa société mère aux États-Unis ont accepté depuis de signer un « accord de conformité » et ont pris des mesures pour améliorer leurs programmes de sécurité, de reddition de comptes et de destruction de données, indique le commissariat fédéral.

La compagnie a déclaré mardi avoir coopéré à l'enquête du Commissariat. « Bien qu'Equifax ne partage pas toutes ses conclusions et recommandations, notre relation avec le Commissariat et le travail qu'il accomplit pour protéger les consommateurs canadiens sont essentiels », a soutenu l'entreprise dans un courriel. « La sécurité des données et la lutte contre la cybercriminalité représentent pour toutes les organisations un combat permanent, qui exige une attention et une innovation constantes. »

À la société mère

L'atteinte s'est produite après que des pirates informatiques ont eu accès, le 13 mai 2017, aux systèmes d'Equifax Inc., la société mère aux États-Unis, « en raison d'une vulnérabilité que la société connaissait depuis plus de deux mois, mais n'avait pas corrigée », rappelle le commissaire à la protection de la vie privée du Canada.

Les pirates ont manoeuvré sans être détectés pendant environ 77 jours, ce qui leur a finalement permis d'accéder à des renseignements personnels canadiens sans lien direct avec le système d'abord compromis aux États-Unis.

Equifax Inc. a détecté la cyberattaque le 29 juillet 2017 et l'a maîtrisée le lendemain. Mais Equifax Canada n'a été informée de l'atteinte que peu de temps avant que la société mère ne l'annonce publiquement le 7 septembre 2017.

Les Canadiens dont les renseignements personnels avaient été violés ont été informés le 23 octobre, mais les lettres qui leur ont été envoyées contenaient des informations inexactes, notamment en les invitant à utiliser un site web inaccessible à partir du Canada.

Sur les 19 personnes qui ont porté plainte au Commissariat à la protection de la vie privée à propos d'Equifax, cinq ont déclaré que leurs informations personnelles avaient été compromises lors de la cyberattaque. Ces plaignants ont allégué qu'Equifax n'aurait pas dû permettre que leurs informations personnelles soient compromises - et ils ont été surpris par ailleurs de constater que leurs informations se trouvaient aux États-Unis.

Des données jusqu'aux États-Unis

Equifax Canada a stocké les dossiers de crédit des Canadiens sur des serveurs situés au pays et distincts des systèmes de la société mère. Mais les pirates ont eu accès aux informations de 19 000 Canadiens qui avaient acheté des produits et services auprès d'Equifax Canada - mais assurés de fait par Equifax Inc.

Le commissaire à la protection de la vie privée rappelle que ce transfert d'informations est « incompatible » avec l'obligation juridique d'Equifax d'obtenir « le consentement valable des personnes avant de divulguer leurs renseignements personnels à un tiers ».

Le Commissariat à la protection de la vie privée a d'ailleurs annoncé mardi qu'il avait amorcé une consultation avant de modifier ses lignes directrices sur ces transferts transfrontaliers de renseignements personnels. Le document de consultation est publié et les soumissions écrites seront acceptées jusqu'au 4 juin.

« Nous reconnaissons que la circulation transfrontalière des données présente des avantages, mais, en vertu de la loi, les personnes doivent avoir leur mot à dire quant à la communication de leurs renseignements personnels à l'extérieur du Canada », indique le commissaire Therrien. « Que cela affecte leur décision d'établir une relation d'affaires avec une organisation ou de renoncer à un produit ou à un service devrait être laissé au choix des personnes. »

Bien qu'Equifax Canada ait ultimement accepté d'offrir pendant un minimum de quatre ans la surveillance gratuite du crédit pour les victimes de l'atteinte, la filiale canadienne, contrairement à sa société mère, « n'était pas allée jusqu'à proposer d'autres protections après l'atteinte », notamment un gel du crédit qui permettait aux victimes de limiter l'accès à leur dossier, déplore le Commissariat.

« Les Canadiens touchés par l'atteinte font face aux mêmes risques et il est regrettable qu'Equifax Canada ait refusé d'offrir une option de gel de crédit aux Canadiens touchés », conclut le commissaire Therrien.