Le nombre de fuites de données rapportées au Québec a bondi de 75 % depuis un an. La Commission d’accès à l’information (CAI) recense en effet près d’un demi-millier d’« incidents de confidentialité », dont le quart a été causé par des cyberattaques, en 2023-2024.

Les incidents de confidentialité ont explosé de 469 % depuis l’entrée en vigueur, en septembre 2022, d’une disposition de la Loi sur la protection des renseignements personnels. Depuis cette date, les organisations ont l’obligation de déclarer à la CAI toute brèche de sécurité susceptible de causer des « préjudices sérieux », sous peine de sanctions.

D’avril 2023 à mars 2024, ce sont 444 avis d’incident qui ont été divulgués à la CAI, contre 78 en 2021-2022 et 254 en 2022-2023.

La Commission, qui jongle avec un rôle d’éducation, de surveillance et d’enquête, a aussi diffusé sur son site le nom d’une centaine d’entités ayant déclaré des fuites pour les mois d’avril, mai et juin derniers. Y figurent notamment Meta, société mère de Facebook et d’Instagram, le groupe Restaurant Brands International (RBI), détenteur des franchises Tim Hortons et Burger King, et la Banque Royale du Canada (RBC).

Peu de détails

La Presse a sondé une trentaine d’entreprises privées et d’organismes publics ayant enregistré un incident de confidentialité depuis avril 2023 pour en connaître sa cause et sa portée. Règle générale, les organismes publics ont été plus prompts à répondre à nos questions, de même que les entreprises touchées par des évènements mineurs.

Des multinationales ont en outre refusé de faire des commentaires ou ont ignoré nos courriels. Silence radio par exemple du côté de General Electric, de RBI ainsi que des marques automobiles BMW et Volkswagen Canada.

Il n’a pas non plus été possible de connaître le contexte et l’ampleur des fuites déclarées par Meta, le géant de la construction Lafarge et la division canadienne du constructeur Jaguar Land Rover Canada : « pas de commentaire ».

Quatre incidents sur cinq en 2023-2024 ont été enregistrés par des entreprises privées (358). Les organismes publics et les ordres professionnels ont acheminé respectivement 18 % (82) et 1 % (4) des avis à la Commission.

La multiplication des fuites de données survient alors que le nombre de cas de fraude rapportés à la police a plus que doublé depuis 10 ans, selon un rapport du ministère de la Sécurité publique diffusé vendredi.

Les corps policiers ont recensé un peu plus de 38 000 cas au Québec en 2023, contre 15 000 il y a 10 ans.

Un peloton peu loquace

C’est la Financière Sun Life qui affiche le plus grand nombre de déclarations, soit sept, depuis la mise en vigueur du nouveau régime, à l’automne 2022.

« Selon nos pratiques courantes, nous avons pris contact avec les personnes concernées par ces incidents et leur avons offert notre soutien au besoin, et avons signalé les incidents à l’organisme de réglementation approprié », s’est contentée d’indiquer une porte-parole par courriel, sans préciser la nature et l’ampleur des fuites.

La société de placements et d’assurances Canada Vie, Choice Hotels (Quality Inn, Confort Suites, Econo Lodge) et la Banque Royale du Canada suivent avec six déclarations chacune. Les deux premiers n’ont pas répondu à nos questions, tandis que la RBC a souligné ne pas être « en mesure de fournir des détails sur ce sujet spécifique » pour des raisons de confidentialité.

Le CISSS de l’Outaouais figure à quatre reprises sur les listes publiées depuis l’automne 2022. L’organisation « a avisé la CAI même lorsque les incidents ne présentaient pas de préjudice sérieux », explique une porte-parole, qui n’a pas donné de détails sur les fuites. Désormais, « seuls les incidents qui requièrent un avis sont transmis à la Commission ».

Entre transparence et vulnérabilité

Les organisations qui figurent en tête de lice ne sont pas nécessairement celles qui sont les plus vulnérables aux atteintes à la vie privée ; elles sont probablement les plus transparentes, note l’avocat Antoine Guilmain, codirecteur du groupe de pratique national Cybersécurité et protection des données au cabinet Gowling WLG.

« Dans le registre [de la CAI] qui est publié, on retrouve la date, le nom et le secteur, mais vous ne saurez jamais l’ampleur de l’incident, ni même s’il a été déclaré sur une base volontaire ou non », explique Me Guilmain.

Ça pourrait être trompeur, puisqu’une entreprise qui apparaît cinq fois est peut-être juste un meilleur citoyen. L’avocat Antoine Guilmain, codirecteur du groupe de pratique national Cybersécurité et protection des données au cabinet Gowling WLG

Avec 84 avis, soit 20 % des incidents de confidentialité pour la période 2023-2024, le secteur des finances est le plus représenté.

Le groupe d’assurances et de services financiers Co-operators, par exemple, a enregistré au mois de mai deux incidents distincts « subis par des tiers ». « Chacune de ces tierces parties a pris des mesures pour remédier à ses incidents respectifs, a notifié les personnes concernées comme l’exige la loi et a offert à chaque personne notifiée des services gratuits de surveillance du crédit », explique une porte-parole.

Un tiers est aussi en cause dans un « vol de données » déclaré par Mitsubishi Motor Sales of Canada à la Commission, a indiqué à La Presse le distributeur.

Des couacs mineurs

Puisque la Commission d’accès à l’information ne précise pas la nature des incidents, il peut s’agir autant d’une cyberattaque de grande portée que d’un accident banal.

La CAI a elle-même déclaré un incident de confidentialité le 2 mai dernier. « Le dossier concerne un courriel transmis, par erreur humaine, au mauvais destinataire », explique Jorge Passalacqua. Le message contenait un document qui ne devait pas être publié. « Le risque de préjudice sérieux pour le citoyen en question est presque inexistant », précise-t-il.

L’Université Laval, le ministère de l’Agriculture, des Pêcheries et de l’Alimentation et Beneva ont aussi détaillé à La Presse des erreurs administratives touchant une seule personne, sans incidence. Dossiers fermés. À la clinique neuropsychologique de l’Outaouais : deux incidents, soit deux courriels transmis au mauvais destinataire. « Nous sommes en voie de déployer un logiciel qui nous aidera à minimiser le risque que de telles erreurs se reproduisent », indique la direction. La ressource pour personnes sans-abri Maison Tangente, à Montréal, évoque elle aussi un envoi erroné.

Chez Cineplex, qui apparaît au côté de Scene+ dans la récente liste de la CAI, l’incident « concerne le système d’un fournisseur », et non celui de l’entreprise, indique un porte-parole. « Un petit nombre d’employés a été touché au Canada et seulement cinq au Québec. »

C’est aussi cinq personnes ou moins qui ont été victimes d’une fuite au ministère de l’Immigration, de la Francisation et de l’Intégration. « Afin de protéger l’identité des personnes concernées, le Ministère ne peut commenter » l’affaire, souligne une représentante.

La Ville de Saguenay nous a expliqué avoir déclaré un incident concernant « un accès non autorisé au Centre de renseignements policiers du Québec par un agent du Service de police de Saguenay ».

À la Ville de Châteauguay, les communications nous informent que le service de police a divulgué accidentellement un renseignement personnel à un organisme à but non lucratif dans le cadre d’une vérification d’antécédents. « Des mesures de prévention supplémentaires ont été mises en place pour éviter la répétition d’un tel incident », précise-t-on.

Des attaques nombreuses

Plus de la moitié des incidents divulgués à la CAI sont de nature criminelle : les cyberattaques, en tête, ont causé 25 % des incidents répertoriés en 2023-2024, suivies par les rançongiciels (16 %). Les catégories « vol de renseignements », « erreur humaine » et « communication accidentelle » pèsent chacune pour environ 10 % des déclarations.

Manifestement, les entreprises touchées par des cas plus lourds ne se sont pas ouvertes à La Presse. Toutes les victimes de fuites de données au Québec devraient néanmoins avoir été informées de certains détails par l’organisation visée, comme l’exige la loi.

« On veut que les individus soient avisés pour qu’ils puissent se protéger, note l’avocat Antoine Guilmain. Par exemple, si vous êtes au courant que vos données bancaires ont potentiellement été compromises, peut-être que vous allez vouloir souscrire à une vérification de crédit. »