La brèche dans la protection des données de TJX est attribuable à des mécanismes de sécurité inadéquats, selon les commissaires



    OTTAWA, le 25 sept. /CNW Telbec/ - Le risque de brèche dans la protection
des renseignements personnels sensibles détenus par TJX Companies Inc., la
société mère américaine des magasins Winners et HomeSense du Canada, était
prévisible, mais l'entreprise a tout de même omis de mettre en place des
mécanismes de sécurité adéquats. C'est ce qu'a révélé une enquête des
commissaires à la protection de la vie privée du Canada et de l'Alberta.
    "L'entreprise recueillait trop de renseignements personnels, elle les
conservait trop longtemps et utilisait une technologie de cryptage déficiente
pour les protéger, ce qui a compromis la protection de la vie privée de
millions de clients", a indiqué la commissaire à la protection de la vie
privée du Canada, Jennifer Stoddart.
    "Les groupes criminels cherchent activement les numéros de cartes de
crédit et d'autres renseignements personnels, a rappelé Mme Stoddart. Une
banque de données contenant des millions de numéros de cartes de crédit
pourrait être une véritable mine d'or pour les fraudeurs. Il faut donc qu'elle
soit protégée à l'aide de mécanismes très efficaces."
    "La brèche dans la protection des données recueillies par TJX montre de
manière frappante combien il peut être dangereux de conserver longtemps de
grandes quantités de renseignements sensibles - et plus particulièrement des
renseignements qui ne sont pas nécessaires à des fins commerciales."
    Les deux commissaires ont lancé une enquête conjointe après que TJX a
révélé en janvier que son système informatique avait fait l'objet d'une
effraction. Cette effraction a compromis la sécurité de millions de numéros de
cartes de crédit et de débit, ainsi que d'autres renseignements personnels,
comme les numéros de permis de conduire demandés aux clients qui retournent
des marchandises sans reçu.
    "Cette affaire tient lieu d'alarme à l'endroit des détaillants. Ils ne
doivent recueillir que les renseignements personnels nécessaires aux
transactions", a déclaré Frank Work, le commissaire à l'information et à la
protection de la vie privée de l'Alberta.
    "Cette brèche très regrettable a eu au moins un résultat positif : TJX a
collaboré avec nous pour élaborer un nouveau processus qui permet de traiter
les retours d'articles sans reçu, et d'arriver à un juste équilibre entre la
protection de la vie privée et la nécessité, pour le détaillant, de prévenir
les fraudes."
    Selon TJX, l'intrus pourrait d'abord avoir eu accès aux renseignements
des clients au moyen des réseaux locaux sans fil installés dans deux de ses
magasins états-uniens. D'après une enquête de TJX, des renseignements ont été
volés à partir du milieu de 2005 jusqu'en décembre 2006. Certains de ces
renseignements concernaient des transactions remontant à 2002.
    L'intrus a volé des renseignements figurant à des comptes de carte de
crédit et des données recueillies lorsque les clients retournent des
marchandises sans reçu (numéros de permis de conduire, noms et adresses).
    L'enquête des commissaires a conclu que TJX n'avait pas respecté la loi
fédérale sur les renseignements personnels dans le secteur privé, la Loi sur
la protection des renseignements personnels et les documents électroniques, ni
la Personal Information Protection Act (la loi sur la protection des
renseignements personnels) de l'Alberta. Elle a également révélé ce qui suit.

    
    - TJX n'a pas géré correctement le risque d'intrusion compte tenu de la
      quantité de données qu'elle rassemblait sur les clients.
    - L'entreprise n'a pas agi assez rapidement afin de renforcer son système
      de cryptage, qui était déficient. Le processus de conversion a pris
      deux ans, et la brèche a eu lieu pendant ce temps.
    - L'entreprise ne s'est pas acquittée de son devoir de surveiller
      attentivement ses systèmes informatiques. Si elle avait disposé d'un
      système de surveillance adéquat, elle aurait été alertée de l'intrusion
      avant décembre 2006.
    - L'entreprise n'a pas adhéré aux normes de sécurité sur les données de
      l'industrie des cartes de paiement, qui ont été créées en réponse au
      problème croissant du vol des données des cartes de crédit.
    

    L'enquête a aussi montré qu'il n'était pas raisonnable, de la part de
l'entreprise, de recueillir le numéro de permis de conduire et d'autres
numéros d'identification lorsqu'un client retournait un article sans avoir de
reçu. TJX a indiqué qu'elle demandait ces renseignements afin d'identifier les
personnes qui retournaient fréquemment de la marchandise, et ainsi de prévenir
la fraude. Elle conservait indéfiniment les numéros de permis de conduire, des
renseignements très précieux pour les voleurs d'identités.
    En réponse à ces préoccupations, TJX a proposé un nouveau processus pour
régler le problème des retours frauduleux. Le personnel des magasins
continuera de demander une pièce d'identité, mais les renseignements tels que
le numéro de permis de conduire seront convertis instantanément en un numéro
d'identification unique dès leur saisie dans le système du point de vente.
L'entreprise pourra ainsi surveiller les retours de marchandises sans reçu
tout en évitant de conserver les numéros de permis de conduire des clients
dans son système.
    Les commissaires ont invité TJX à prendre des mesures pour améliorer ses
mécanismes de sécurité et ses pratiques de protection de la vie privée, et ils
sont heureux de constater que l'entreprise a accepté de suivre ses
recommandations.
    La commissaire Stoddart a fait remarquer que la brèche dans la protection
des données recueillies par les magasins Winners et HomeSense démontre le
besoin d'appliquer dès le départ des mécanismes de sécurité efficaces, et
ainsi d'éviter les brèches de ce genre, qui peuvent coûter très cher.
    "Les entreprises doivent veiller à maintenir des couches de sécurité
multiples et à s'adapter aux progrès de la technologie dans le domaine. Sinon,
les coûts peuvent être énormes - aussi bien pour l'entreprise que pour ses
clients", a averti Mme Stoddart, selon qui une brèche dans la protection des
données peut également avoir des répercussions majeures sur les sociétés
émettrices de cartes de crédit, les banques ainsi que les organismes
d'application de la loi et de réglementation.
    Les sites Web des deux commissaires présentent un résumé des conclusions
de l'enquête.

    La commissaire à la protection de la vie privée du Canada est mandatée
par le Parlement pour agir à titre d'ombudsman, de défenseur et de gardienne
en matière du droit à la vie privée et à la protection des renseignements
personnels des Canadiennes et Canadiens.

    Le commissaire à l'information et à la protection de la vie privée de
l'Alberta a pour mandat de promouvoir une société où la vie privée des
personnes est respectée et où les organismes publics font preuve de
transparence et de responsabilité.




Renseignements :

Renseignements: Colin McKay, Commissariat à la protection de la vie
privée du Canada, (613) 995-0103, cmckay@privcom.gc.ca; Wayne Wood, Bureau du
commissaire à l'information et à la protection de la vie privée de l'Alberta,
(780) 644-4015, wwood@oipc.ab.ca


FORFAITS PERSONNALISÉS

Jetez un coup d’œil sur nos forfaits personnalisés ou créez le vôtre selon vos besoins de communication particuliers.

Commencez dès aujourd'hui .

ADHÉSION À CNW

Remplissez un formulaire d'adhésion à CNW ou communiquez avec nous au 1-877-269-7890.

RENSEIGNEZ-VOUS SUR LES SERVICES DE CNW

Demandez plus d'informations sur les produits et services de CNW ou communiquez avec nous au 1‑877-269-7890.