McDonald's du Canada a annoncé vendredi que son site internet «carrières» avait été piraté, compromettant ainsi les renseignements personnels d'environ 95 000 candidats qui avaient postulé depuis trois ans pour un emploi.

Les candidats touchés sont ceux qui ont postulé en ligne entre mars 2014 et mars 2017, indique le géant de la restauration rapide. Selon McDonald's, les demandes d'emploi exigent de fournir des renseignements personnels comme le nom, l'adresse, l'adresse courriel, le numéro de téléphone, l'historique d'emploi «et autres renseignements usuels de candidature».

McDonald's du Canada assure que ses formulaires de demande d'emploi n'exigent pas de donner le numéro d'assurance sociale, des renseignements bancaires, ni des renseignements sur la santé. L'entreprise soutient qu'«à l'heure actuelle, rien n'indique que les renseignements saisis ont servi à un usage inadéquat».

Mais selon Ira Nishisato, spécialiste de sécurité informatique au cabinet d'avocats torontois Borden Ladner Gervais, il est habituellement difficile de mesurer immédiatement l'étendue des dégâts et la façon dont les renseignements personnels pourraient être utilisés éventuellement.

Il existe un marché noir du renseignement personnel sur le «web profond», dit-il, et les pirates informatiques tenteront souvent de vendre au plus offrant les données volées.

Une multitude d'actions collectives intentées par des consommateurs ont poussé les compagnies à redoubler d'efforts pour se prémunir contre les cyberattaques, rappelle M. Nishisato.

«On ne se demande plus si ça va arriver, mais quand. Par contre, on peut poser beaucoup de gestes préventifs afin de limiter l'exposition au risque et la responsabilité.»

Chez McDonald's du Canada, un porte-parole a indiqué que l'intrusion a vraisemblablement eu lieu au milieu du mois de mars. Adam Grachnik précise que l'entreprise a prévenu les commissaires à la protection de la vie privée d'Ottawa, des provinces et des territoires. Une porte-parole du Commissariat à la protection de la vie privée du Canada a confirmé que le bureau suivait la situation de près et examinait le dossier.

McDonald's, qui offre ses excuses, précise qu'elle a désactivé le site et ouvert une enquête «dès qu'elle a été informée de cette atteinte à la vie privée». Elle a aussi entrepris des démarches «pour veiller à ce que ce type d'atteinte à la sécurité ne se reproduise plus». Tous les candidats «touchés directement par cette atteinte à la vie privée» recevront une lettre par la poste ou seront joints autrement. Ils peuvent aussi communiquer par téléphone avec McDonald's du Canada.

L'entreprise suggère que les personnes qui souhaitent postuler devraient le faire en personne dans tout restaurant.

McDonald's compte plus de 1400 restaurants et plus de 80 000 employés au Canada.