Protection des renseignements personnels Une trentaine d’entreprises ont déclaré des fuites en deux mois

Une trentaine d’entreprises ont déclaré des « incidents de confidentialité » à la Commission d’accès à l’information après les modifications aux lois pour protéger la vie privée des Québécois, le 22 septembre. Parmi elles, plusieurs entreprises n’ont pas hésité à nous expliquer les pépins, petits ou grands, qui les ont conduites à se manifester. Mais de la Banque Royale à Amex Canada, d’autres sociétés – et non les moindres – se font beaucoup plus discrètes.

La Commission d’accès à l’information (CAI) a fait parvenir à La Presse la liste des organisations privées ayant fait de telles déclarations avant le 28 novembre. Elle n’a toutefois envoyé qu’une liste d’entreprises, sans aucun détail sur la nature de l’incident déclaré.

Nous avons contacté une partie des entreprises pour savoir ce qui s’était passé. Constat : les évènements déclarés sont très différents les uns des autres, allant de la perte d’un document papier sur un patient à une attaque informatique ayant touché l’ensemble d’une entreprise.

De grandes entreprises qui ne répondent pas

Certaines organisations parmi les plus importantes ne sont pas pressées d’expliquer les évènements survenus.

Interrogée le 2 décembre, la Banque Royale n’avait toujours pas expliqué à La Presse, au moment de publier, pourquoi elle avait fait une déclaration à la CAI.

D’autres organisations d’envergure figurant aussi dans la liste, dont l’Université McGill et la Banque Amex du Canada, n’ont pas expliqué leurs démarches non plus.

ManpowerGroup Global inc. fait également partie des entreprises n’ayant pas répondu aux questions de La Presse. La firme fait de la gestion de ressources humaines pour de plus petites organisations. Deux jours après notre demande, une porte-parole américaine a envoyé un courriel assurant qu’elle y travaillait.

Le Fonds d’assurance responsabilité professionnelle du Barreau du Québec, qui a aussi fait une déclaration à la CAI, a d’ailleurs déclaré que des informations sur son personnel entre les mains d’un fournisseur avaient fuité.

« L’incident est très limité et ne concerne que mes employés », a dit Marie-Chantal Thouin, directrice de l’organisme, qui assure les avocats face aux risques de poursuites dans le cadre de leur pratique. Elle refuse de donner plus de détails. Le Fonds précise avoir offert un service de surveillance de crédit à son personnel.

La Compagnie d’assurance vie Sun Life a fait le même genre de déclaration, tout comme Walmart Canada. Le détaillant a signalé « une situation impliquant un fournisseur tiers, Modern Hire ». Cette entreprise américaine prend en charge le processus d’embauche pour des tiers, mais n’a elle-même fait aucune communication à la CAI. Le détaillant a refusé d’en dire plus, mentionnant seulement que la fuite concernait des « renseignements non sensibles ».

Sobeys, qui détient la chaîne de supermarchés IGA au Québec, a aussi fait une déclaration à la CAI, mais n’a donné aucun signe de vie à La Presse. Les systèmes de l’entreprise ont été paralysés le mois dernier par une panne informatique et des pirates ont revendiqué une cyberattaque contre l’épicier.

Rançongiciel dans une PME

Certaines organisations de petite taille ont fait preuve de plus de transparence.

C’est le cas de Cristal Contrôles ltée, une petite entreprise d’une trentaine d’employés à Québec. Ce fabricant d’appareils de contrôle d’énergie et d’éclairage a subi une attaque le 25 octobre dernier et un gang au rançongiciel a publié 125 gigaoctets de ses données sur le web caché (dark web).

« Ils nous demandaient une rançon d’un quart de million », raconte Jacques Beauchesne, président de l’entreprise, qui déclare un chiffre d’affaires d’environ 5 millions de dollars. Heureusement, l’entreprise avait de bonnes sauvegardes de ses données, assure-t-il. Elle n’a pas payé.

Le dérèglement de son système de gestion d’entreprise lui a causé des maux de tête, mais c’est surtout la fuite de renseignements sur son personnel qui a poussé Cristal Contrôles à s’adresser à la CAI. « Je savais que je devais le déclarer », dit Jacques Beauchesne.

D’autres entreprises ont signalé des évènements autrement moins dramatiques, qui n’avaient rien d’électronique. C’est le cas d’une pharmacie de Rimouski, qui a indiqué à la CAI avoir reçu une boîte de médicaments mouillée et désagrégée du livreur de colis Purolator.

À Gatineau, la Clinique Delta Santé a déclaré le vol d’un calepin contenant une trentaine de noms de patients, mentionnant aussi leurs coordonnées et « possiblement la justification de la consultation », dit Liette Landry, gestionnaire de l’établissement. Elle a avisé la police et les personnes concernées.

Parmi les plus grandes organisations, Telus Communications a fait cinq déclarations à la CAI pour des tentatives de fraude impliquant la prise de contrôle de numéros de téléphone. « Les cibles avaient probablement déjà été victimes d’hameçonnage et nous les avons mises au courant », a dit Jacinthe Beaulieu, porte-parole.

Aucune autre entreprise de télécommunications n’a fait de signalement entre le 22 septembre et le 28 novembre.

Alarme sensible

Pierre Trudel, professeur de droit de l’information à l’Université de Montréal, n’est pas étonné que de petits incidents figurent parmi les évènements déclarés à la CAI.

« La nouvelle loi permet d’instaurer un système d’alarme. Un détecteur de fumée peut sonner autant à cause du grille-pain que d’un grave incendie », illustre-t-il.

Si la mécanique peut paraître lourde pour les incidents isolés sans graves conséquences, c’est selon lui le prix à payer pour une protection des données adéquate. « La mécanique vise à forcer les entreprises à prendre ça au sérieux. »

Avec William Leclerc, La Presse