Un courtier en données profite de l'erreur humaine et de mesures de protection insuffisantes pour consulter des dossiers téléphoniques



    OTTAWA, le 10 juillet /CNW Telbec/ - A la lumière d'événements récents,
les entreprises canadiennes doivent prendre des mesures pour s'assurer que les
renseignements personnels et les données sur leurs clients sont protégés des
voleurs de données et des extorqueurs. Des procédures rigoureuses
d'identification et d'authentification sont essentielles pour empêcher les
tentatives d'accès non autorisé aux renseignements personnels de la
population.
    Selon une enquête menée par le Commissariat à la protection de la vie
privée du Canada, l'erreur humaine et des lacunes des politiques et procédures
de trois entreprises de télécommunications on permis à un courtier en données
d'accéder sans autorisation à des dossiers téléphoniques personnels.
    La décision de mener une enquête a été prise à la suite de la publication
d'un article dans la revue Maclean's. Dans cet article, on expliquait que les
journalistes de la revue avaient réussi à se procurer les dossiers
téléphoniques de la commissaire à la protection de la vie privée, Jennifer
Stoddart, et d'un chef de la rédaction du magazine Maclean's auprès du
courtier en données Locatecell.com, situé aux Etats-Unis.
    Selon l'enquête, Locatecell.com s'est servi de "l'ingénierie sociale"
pour convaincre des représentants du service à la clientèle de compagnies de
téléphone de lui communiquer de l'information confidentielle. Ces activités
ont eu lieu lors d'incidents précis et/ou au cours des contrôles subséquents.
L'ingénierie sociale consiste à manipuler les gens afin d'obtenir des données
personnelles, au moyen de l'extorsion, par exemple, ou en se présentant comme
une personne autorisée à recueillir l'information.
    Le Commissariat s'est penché sur des cas de communications indues de
renseignements personnels à des extorqueurs qui cherchaient à obtenir sans
autorisation l'accès aux dossiers téléphoniques de certaines personnes, à leur
insu et sans leur consentement. Les trois entreprises impliquées étaient Bell
Canada, Telus Mobilité et Fido.
    "Dans chacun des cas, nous avons découvert que les représentants du
service à la clientèle n'avaient pas suivi les processus d'authentification en
vigueur dans l'entreprise. En outre, nous avons déterminé que la formation
donnée aux représentants du service à la clientèle n'était pas assez complète
pour protéger l'information personnelle des clients contre l'accès non
autorisé par des extorqueurs, explique le commissaire adjoint à la protection
de la vie privée Raymond D'Aoust. Par conséquent, les trois entreprises n'ont
pas satisfait aux exigences de la Loi sur la protection des renseignements
personnels et les documents électroniques (LPRPDE)."
    Peu après les divulgations de renseignements personnels, les trois
entreprises ont modifié leurs processus d'authentification. Le Commissariat a
examiné les modifications et a proposé d'autres mesures pour corriger des
lacunes de leurs politiques et procédures, afin d'empêcher que des personnes
non autorisées aient accès à l'information personnelle des clients. Depuis,
les trois entreprises ont pris des mesures pour réduire davantage les risques
d'extorsion de données ou d'accès non autorisé aux dossiers personnels. Dans
l'ensemble, le Commissariat à la protection de la vie privée juge
satisfaisantes les mesures prises par les trois entreprises pour régler le
problème.
    Cependant, le commissaire adjoint indique qu'au départ, les entreprises
auraient dû être mieux préparées pour lutter contre l'ingénierie sociale. La
question des courtiers en données qui ont recours à l'ingénierie sociale pour
obtenir des dossiers téléphoniques aux Etats-Unis avait fait la une des
journaux bien avant que ces incidents ne surviennent.
    "Il est particulièrement déconcertant de constater que les employés des
centres d'appels aient été si peu informés de ce genre de menace", indique le
commissaire adjoint D'Aoust.
    "Compte tenu de la fréquence des vols d'identité, il est primordial que
les entreprises adoptent de solides processus d'authentification pour
s'assurer que les personnes auxquelles elles fournissent de l'information sont
autorisées à la recevoir. Il est tout aussi essentiel pour les entreprises de
s'assurer que leurs employés suivent les processus et sont conscients de la
menace que présente l'extorsion de renseignements confidentiels à l'endroit de
la vie privée."
    Le Commissariat a élaboré des Lignes directrices en matière
d'identification et d'authentification dans son site Web.
    Un résumé des conclusions relatives aux trois incidents se trouve
également dans le site Web du Commissariat.
    En vertu de nouvelles lois aux Etats-Unis, le recours à l'extorsion pour
obtenir des dossiers téléphoniques constitue une infraction; ces lois visent à
freiner les activités des courtiers en données américains, dont
Locatecell.com. Toutefois, cela ne signifie pas que le problème est éradiqué,
ni aux Etats-Unis, ni ailleurs - en particulier dans les pays, comme le
Canada, où il n'existe pas de lois à cet effet.
    Lors d'une comparution devant un comité parlementaire le mois dernier, la
commissaire à la protection de la vie privée a demandé au gouvernement fédéral
de collaborer avec les provinces et leurs partenaires internationaux afin
d'adopter des lois et des politiques pour faire face à ce problème.
    La commissaire à la protection de la vie privée du Canada est mandatée
par le Parlement pour agir à titre d'ombudsman, de défenseur et de gardienne
en matière du droit à la vie privée et à la protection des renseignements
personnels des Canadiennes et Canadiens.




Renseignements :

Renseignements: ou pour toute demande d'entrevue avec les médias,
communiquez avec: Colin McKay, Commissariat à la protection de la vie privée
du Canada, (613) 995-0103, cmckay@privcom.gc.ca


FORFAITS PERSONNALISÉS

Jetez un coup d’œil sur nos forfaits personnalisés ou créez le vôtre selon vos besoins de communication particuliers.

Commencez dès aujourd'hui .

ADHÉSION À CNW

Remplissez un formulaire d'adhésion à CNW ou communiquez avec nous au 1-877-269-7890.

RENSEIGNEZ-VOUS SUR LES SERVICES DE CNW

Demandez plus d'informations sur les produits et services de CNW ou communiquez avec nous au 1‑877-269-7890.