Vie privée et sécurité en ligne: Protéger les données corporatives. Charles Morgan Le 22 septembre 2009 Federated Press

Transcription

1 Vie privée et sécurité en ligne: Protéger les données corporatives Charles Morgan Le 22 septembre 2009 Federated Press

2 Présentation 2 La menace croissante sur la vie privée et sur les données corporatives en lignes Problèmes sur la vie privée et sur la sécurité dans les courriels/communications internet L information personnelle recueillie par des sites de réseautage personnel et moteurs de recherche Prendre les mesures nécessaires lors d une violation

3 I. La menace croissante sur la vie privée et sur les données corporatives en lignes 3

4 Les ménaces: attaques et pertes 4 Heartland Payment Systems (2009): données sur jusqu à 100 million cartes de crédit CIBC/Talvest (2008): disque dur perdu(?) avec des renseignements sur investisseurs TJX Companies Inc. (2007): renseignements personnels de 45 million personnes

5 Décision TJX (2007) 5 Le 17 janvier 2007, TJX et Visa ont informé le Commissariat à la protection de la vie privée du Canada (CPVP) et le Commissariat à l information et à la protection de la vie privée de l Alberta (CIPVP) que le réseau informatique de TJX avait fait l objet d une intrusion touchant les renseignements personnels d environ 45 millions d utilisateurs de cartes au Canada, aux États-Unis, à Puerto Rico, au Royaume-Uni et en Irlande.

6 Décision TJX 6 Les trois questions en litige : L organisation avait-elle un motif raisonnable pour conserver les renseignements personnels touchés par la brèche? L organisation conservait-elle les renseignements conformément à la LPRPDE et à la PIPA? L organisation avait-elle mis en place des mesures de sécurité raisonnables afin de protéger les renseignements personnels qu elle conservait?

7 Décision TJX 7 Motif raisonnable pour conserver les renseignements personnels? Les renseignements personnels auxquels ont eu accès des personnes non autorisées durant l intrusion des systèmes de TJX incluent les éléments suivants : données relatives à des cartes de paiement, y compris des numéros de cartes de crédit et des dates d expiration; noms, adresses, numéros de téléphone, numéros de permis de conduire et autres données d identification provinciales recueillis lors du retour de marchandises. Décision: Il est acceptable de demander le nom et l adresse des clients, mais l enregistrement des numéros d identification est une pratique excessive et contraire au principe 4.4 de la LPRPDÉ ou au paragraphe 11(2) de la PIPA

8 Décision TJX 8 Conservation des renseignements En ce qui a trait à la conservation des renseignements sur les cartes de crédit à des fins transactionnelles, il est peut-être raisonnable de conserver ces renseignements personnels pour la durée prévue aux contrats de l organisation avec les institutions financières puisque cela respecte l exigence de conserver les données «à des fins juridiques ou commerciales». Le fait d effectuer le traitement des paiements conformément aux modalités des contrats que l organisation a passés avec les institutions financières est lié directement au but dans lequel on a initialement recueilli les renseignements. Cependant, en ce qui a trait à la conservation des renseignements aux fins de «dépannage», TJX/WMI n a pas fourni d argument convainquant quant à la conservation de ces renseignements pour plus de 18 mois, ni aucune justification permettant d expliquer pourquoi tous les renseignements doivent être conservés sous une forme reconnaissable pendant de si longues périodes de temps. En outre, le «dépannage» n est pas directement lié au but dans lequel les renseignements ont été, à l origine, recueillis. Au principe 4.5 de la LPRPDÉ, on indique clairement qu on doit conserver les renseignements personnels aussi longtemps qu il le faut pour la réalisation des buts déterminés au moment de la collecte et non des nouveaux buts fixés par la suite.

9 Décision TJX 9 Mesures de sécurité Les coûts associés à la mise à niveau de l équipement de protection doivent être mesurés en fonction des coûts d une éventuelle intrusion. Puisqu un réseau local d entreprise sans fil infecté peut donner à l intrus un accès au réseau de l organisation, la possibilité que l intrusion soit très dommageable est assez élevée. TJX a mis en place un protocole de chiffrement (WEP). Elle était en train de transformer ce protocole en protocole WPA au moment de la brèche. Le protocole WEP ne fournit pas une protection suffisante puisqu on peut le contourner relativement facilement. Il semble que l intrus ait eu accès aux serveurs RTS et aux données sur les clients en raison de l utilisation d une norme de chiffrement inadéquate ou minimale. On ne peut pas utiliser le protocole WEP pour sécuriser un système puisqu on peut facilement contourner la méthode de chiffrement utilisée; en outre, le protocole ne représente pas une protection adéquate pour un réseau.

10 Décision CIBC/Talvest (2008) 10 La perte de données: Le 17 janvier 2008, la commissaire à la protection de la vie privée du Canada a déposé une plainte contre la Banque Canadienne Impériale de Commerce (CIBC). Cette plainte touchait les mesures de protection et de sécurité de cette banque. La CIBC avait signalé précédemment au Commissariat qu un paquet censé contenir un disque dur renfermant les renseignements personnels de plus de clients, anciens et actuels, de la société de fonds mutuels Talvest avait été envoyé par voie terrestre de Montréal (Québec) à Markham (Ontario) et était arrivé à destination intact, mais vide. La banque avait ajouté que les données en question n avaient pas été chiffrées.

11 II. Problèmes sur la vie privée et sur la sécurité dans les courriels/communications internet 11

12 La sécurité dans les courriels/communications internet 12 Les pourriels Les logiciels espions La Loi sur la protection du commerce électronique (LPCE) Projet de loi C-27

13 Le Groupe de travail sur le pourriel 13 Le 11 mai, 2004, le Ministre de l Industrie a établi le Groupe de travail sur le pourriel, ayant la mission de diriger un plan d action pour la réduction du courriel commercial non-sollicité. Dans son Rapport 2005, le Groupe de travail a recommandé «l adoption d une nouvelle loi pour combler les lacunes des lois actuelles». Voir

14 Fiche d information sur la Loi sur la protection du commerce électronique Le 24 avril 2009, le gouvernement du Canada a présenté une législation anti-pourriel sous la forme de la Loi sur la protection du commerce électronique (LPCE). 14 Ce projet de loi tient compte des recommandations de nature législative du Groupe de travail sur le pourriel. L'objectif déclaré de la loi proposée est d'empêcher l'envoi au Canada de pourriels sous leurs formes les plus dangereuses et de contribuer à décourager les polluposteurs de sévir au Canada. Voir Fiche d information, Le gouvernement présente une loi sur le commerce électronique,

15 Sommaire de la LPCE 15 La nouvelle loi: s'attaquerait aux courriels commerciaux non sollicités (pourriel) en interdisant l'envoi de messages électroniques commerciaux sans consentement; interdirait les pratiques nuisibles au commerce électronique, protègerait l'intégrité des données de transmission et interdirait l'installation non désirée de programmes d'ordinateur dans le cadre d'activités commerciales; interdirait les représentations fausses ou trompeuses en ligne; interdirait la collecte de renseignements personnels par l'accès aux systèmes d'ordinateur sans consentement; prévoirait un droit de recours individuel pour les entreprises et les consommateurs; prévoirait la responsabilité des tiers (retracer les fonds); permettrait au Conseil de la radiodiffusion et des télécommunications canadiennes (CRTC) et au Bureau de la concurrence d'imposer des sanctions administratives pécuniaires à ceux qui enfreignent la loi. - Sommaire de la Loi sur la protection du commerce électronique proposée, Industrie Canada, (deuxième lecture: 7 mai 2009)

16 Dispositions anti-pourriel 16 La principale disposition anti-pourriel dans le texte du Projet de loi se trouve à l article 6: 6. (1) Il est interdit d envoyer à une adresse électronique un message électronique commercial, de l y faire envoyer ou de permettre qu il y soit envoyé, sauf si : a) la personne à qui le message est envoyé a consenti expressément ou tacitement à le recevoir; et b) le message est conforme au paragraphe (2). (2) Le message doit comporter, à la fois : a) les renseignements réglementaires permettant d identifier la personne qui l a envoyé; b) les renseignements permettant à la personne qui l a reçu de communiquer facilement avec la persnone qui l a envoyé;et c) la description d un mécanisme d exclusion.

17 Dispositions anti-pourriel 17 Définition du «message électronique commercial»: «un message électronique commercial [est] le message dont il est raisonnable de conclure [ ] qu il a pour but, entre autres, d encourager la participation à une activité commerciale[ ]» Les conditions concernant le consentement sont très strictes: 10. (1) Quiconque entend obtenir le consentement exprès d une personne [ ] doit énoncer en termes simples et clairs, les renseignements suivants: a) les fins auxquelles le consentement est sollicité; b) les renseignements réglementaires permettant d identifier la personne qui sollicite le consentement [ ]. (3) [ ] il n y a consentement tacite que dans le cas où la personne qui envoie le message [ ] a avec la personne qui l a reçu des relations en cours.

18 Dispositions anti-pourriel 18 La portée de cette disposition est très étendue. Elle pourrait couvrir des messages électroniques envoyés par: courriel; messagerie instantanée; téléphone mobile; pourrait inclure potentiellement les messages envoyés par l entremise des réseaux sociaux, groupes de chat, forums Internet, réseaux d affaires, et sites Web où les utilisateurs détiennent un compte.

19 Dispositions anti-pourriel 19 La disposition n est limitée, comme c est le cas des dispositions similaires dans la législation anti-pourriel d autres pays, qu aux messages: contenant un élément frauduleux ou de l information trompeuse; envoyés en violation d une demande antérieure («opt out») de ne pas recevoir de tels messages envoyés avec «l intention de tromper ou d induire en erreur»; envoyés aux adresses recueillies en utilisant des moyens automatiques; ou envoyés en groupe.

20 Dispositions anti-pourriel 20 La LPCE prohibe les messages électroniques envoyés sans consentement exprès ou tacite. La définition du «consentement tacite» dans la LPCE limite beaucoup les circonstances dans lesquelles cette notion peut être utilisée. On ne peut pas demander le consentement par voie électronique, parce qu une telle demande serait ellemême un message électronique prohibé.

21 Dispositions anti-pourriel 21 La LPCE ne permet pas de présumer l existence du consentement à la sollicitation de la publication d une adresse courriel (par exemple) s il était raisonnable de conclure que le message serait d intérêt pour l individu. Même un courriel envoyé par le cadre d une compagnie après avoir visité le site Web d un fournisseur ou client potentiel afin de proposer une nouvelle opportunité d affaires serait considéré comme pourriel. À cause de son étendue, on pourrait argumenter que la LPCE viole la Charte canadienne des droits et libertés.

22 Dispositions anti-logiciel espion 22 La plus importante disposition anti-logiciel espion se trouve à l article 8(1) du Projet de loi: 8 (1):Il est interdit, dans le cadre d activités commerciales, d installer ou de faire installer un programme d ordinateur dans l ordinateur d une autre personne ou, après avoir ainsi installé ou fait installer un programme d ordinateur, de faire envoyer un message électronique par cet ordinateur, sauf si la personne qui accomplit l acte en question le fait avec le consentement exprès du propriétaire ou de l utilisateur autorisé de l ordinateur ou en vertu d une ordonnance judiciaire.

23 Dispositions anti-logiciel espion Le consentement Les dispositions contiennent des obligations de renseignement et de consentement très strictes: (1) Quiconque entend obtenir le consentement exprès d une personne pour [installer ou faire installer une programme d ordinateur] doit énoncer en termes simples et clairs, les renseignements suivants: a) les fins auxquelles le consentement est sollicité; et b) les renseignements permettant d identifier la personne qui sollicite le consentement;[ ] (2) Quiconque entend obtenir le consentement exprès d une personne pour accomplir un acte visé à l article 8 doit en outre énoncer en termes simples et clairs la fonction, l objet et l impact de chacun des programmes d ordinateur qui seront installés.

24 Dispositions anti-logiciel espion 24 Cette disposition rende vraisemblablement illégal tout programme, programme de correction (patch), mise-à-jour ou accessoire installé sans consentement exprès. De plus, il serait pratiquement impossible d obtenir d avance le consentement pour les mises-à-jour automatiques, parce que l obligation de renseignement ne peut pas être remplie à la date de l exécution du contrat, selon le projet de loi. L obligation imposée au développeur de programmes d expliquer en termes simples et clairs la fonction, l objet et l impact de chaque programme de correction, mise-à-jour, accessoire, définition d applet ou de virus, serait extrêmement pesante, sinon impossible.

25 Dispositions anti-logiciel espion 25 Cette disposition pourrait avoir pour effet de rendre illégale l utilisation des applications créées dans des langages de programmation rependus comme Java («applets»). Il serait probablement infaisable ou impossible du point de vue technique et commercial d obtenir le consentement exprès des utilisateurs d ordinateurs pour l utilisation de ce type de technologies primaires qui font marcher l Internet.

26 Dispositions anti-logiciel espion 26 Les développeurs de programmes anti-virus et anti-logiciel espion devront obtenir le consentement des utilisateurs pour chaque définition de virus et de logiciel espion incluse dans les programmes et informer les utilisateurs quant à l effet de ces mises à jour. Les dispositions de la LPCE seront applicable non seulement aux ordinateurs personnels, mais aussi à un grand nombre de dispositifs, de iphones et Blackberry aux ordinateurs centraux. Beaucoup d entre eux n ont même pas la capacité d afficher les formulaires pour l obtention du consentement ou de transmettre le consentement une fois obtenu.

27 III. L information personnelle recueillie par des sites de réseautage personnel et moteurs de recherche 27

28 L information recueillie par des sites de réseautage personnel et moteurs de recherche 28

29 Décision Facebook (2009) 29 La plainte que la Clinique d intérêt public et de politique d Internet du Canada (CIPPIC) a déposée contre Facebook comprenait 24 allégations portant sur 11 aspects distincts. L enjeu de la connaissance et du consentement était au cœur des allégations de la CIPPIC. La question de la conservation des renseignements personnels fait plus précisément surface dans les allégations relatives à la désactivation et à la suppression des comptes ainsi qu aux renseignements des non-utilisateurs. La question des mesures de sécurité occupait une place importante dans les allégations.

30 La Décision Facebook (2009) 30 Paramètres de confidentialité par défaut Problèmes: Facebook, en présélectionnant les paramètres de confidentialité par défaut, aurait recours au consentement négatif pour utiliser et communiquer des renseignements personnels, et n en respecterait pas les exigences telles qu établies par le Commissariat dans le cadre de conclusions précédentes. En particulier, on a invoqué que la majorité des renseignements personnels communiqués par les utilisateurs, y compris les photographies, l état civil, l âge et les passe-temps, sont de nature délicate et exigent un consentement explicite. Constatations: Les paramètres de confidentialité par défaut sont acceptables pour autant qu ils correspondent aux attentes raisonnables des utilisateurs. Ils n y correspondent pas dans deux cas : les albums de photos (réglés à «Tout le monde») et les moteurs de recherche (être accessible via les moteurs de recherche). On n a pas fourni aux utilisateurs suffisamment d information quant aux paramètres de confidentialité par défaut et aux conséquences découlant de la non-modification des paramètres par défaut.

31 Décision Facebook 31 Publicités de Facebook Problèmes: Facebook, en ce qui concerne les publicités sociales en particulier, aurait recours de façon inappropriée au consentement implicite plutôt qu au consentement explicite conforme au principe 4.3.6, étant donné la nature délicate des renseignements personnels des utilisateurs. Facebook ne permettrait pas aux utilisateurs de retirer leur consentement aux publicités Facebook, en dérogation au principe Constatations: Les utilisateurs ne peuvent pas retirer leur consentement à toute forme de publicité puisque les revenus publicitaires sont nécessaires au maintien du site (qui est gratuit pour les utilisateurs). Les utilisateurs peuvent retirer leur consentement aux publicités sociales cette forme de publicité est plus envahissante (on se sert des personnes pour faire la promotion de produits, services, etc.) et, par conséquent, les utilisateurs ne devraient pas être obligés de consentir aux publicités sociales. Exiger des utilisateurs qu ils consentent aux publicités Facebook est acceptable, puisqu on ne tient pas pour acquis qu ils endossent un produit. Toutefois, Facebook n informe pas les utilisateurs des fins de la publicité.

32 Décision Facebook 32 Applications de tiers Problèmes Facebook permettrait aux tiers développeurs d applications d accéder à des renseignements personnels au-delà de ce qui est nécessaire pour les besoins de l application, en dérogation au principe Facebook ne protégerait pas adéquatement les renseignements personnels, car elle ne surveillerait ni la qualité ni la légitimité des applications de tiers ni ne prendrait les mesures indiquées contre les vulnérabilités inhérentes de nombreuses applications sur la Plateforme Facebook, en dérogation au principe 4.7. Constatations: Facebook disposait de mesures inadéquates qui ne permettaient pas de restreindre de manière effective l accès de ces développeurs externes à l information de profil des utilisateurs et à l information des amis en ligne de ces utilisateurs. Facebook n obtenait pas le consentement valable des utilisateurs à la communication de leurs renseignements personnels aux développeurs d applications quand les utilisateurs eux-mêmes ou leurs amis ajoutaient des applications.

33 Décision Facebook 33 Désactivation et suppression du compte Problème Facebook n offrirait que l option de désactivation du compte, ce qui est différent de la suppression du compte. Ce faisant, elle priverait indûment les utilisateurs d une façon de supprimer tous leurs renseignements personnels du site. Constatations La désactivation et la suppression du compte sont décrites sur le site, mais pas au même endroit. Cela pourrait porter certains utilisateurs à croire que la désactivation est la seule option qui leur est disponible. Les renseignements personnels faisant partie de comptes désactivés sont conservés indéfiniment.

34 Décision Facebook 34 Renseignements personnels des non-utilisateurs Exemples: Des utilisateurs peuvent publier des renseignements personnels de non-utilisateurs dans leur profil et celui d autres utilisateurs par des fonctionnalités comme les «Actualités» et le «Mur». En outre, les utilisateurs peuvent étiqueter des non-utilisateurs sur des photos ou dans des vidéos. Les utilisateurs peuvent fournir l adresse de courriel de non-utilisateurs pour les inviter à s inscrire au site. Constatations Pour ce qui est de l étiquetage et des invitations envoyées aux non-utilisateurs, la Loi s applique seulement là où Facebook se sert des renseignements de non-utilisateurs à ses propres fins, nommément, informer les non-utilisateurs qu ils ont été étiquetés sur une photo ou les inviter à se joindre à Facebook. Facebook peut laisser aux utilisateurs le soin d obtenir le consentement de nonutilisateurs à ces deux fins, pourvu que l entreprise fasse preuve de diligence raisonnable. Cela pourrait se faire simplement en adoptant des mesures pour s assurer que les utilisateurs savent qu ils doivent obtenir le consentement de non-utilisateurs avant de communiquer l adresse de courriel de ces derniers à Facebook et punir les utilisateurs qui ne respectent pas l exigence d obtenir le consentement. Toutefois, on ne retrouve aucune information à ce sujet dans la Politique de confidentialité.

35 IV. Prendre les mesures nécessaires lors d une violation 35

36 Comment se protéger? 36 Avant même qu une violation de la vie privée ne survienne, certaines mesures proactives peuvent être mises en œuvre par une entreprise, notamment : Identifier les membres de l équipe à assembler dans le cas d une violation (en prévoyant de la souplesse, selon les divisions touchées). Ébaucher une politique ou une liste de vérification particulière à l entreprise, contenant les mesures à prendre en cas de violation. Veiller à ce que les politiques de conservation des données soient suivies (vu que, souvent, les violations de la vie privée touchent des renseignements qui ne sont plus utilisés ou pertinents pour l entreprise). Veiller à ce que les mesures de sécurité appropriées (incluant le cryptage, s il y a lieu) soient en place, en conformité avec les politiques applicables en matière de sécurité au sein de l entreprise. Veiller à ce que le personnel de première ligne soit bien formé sur les questions de respect de la vie privée, notamment à l aide de principes directeurs clairs portant sur la manière et le moment de transmettre aux échelons supérieurs (p. ex., à l agent de la protection de la vie privée, au chef du service juridique) tout avis concernant la survenance d une violation de la vie privée.

37 Comment agir en cas de fuite? 37 Dans l éventualité où une violation de la vie privée survient, l entreprise doit évaluer la situation et rapidement et mettre en œuvre un plan d action approprié. Les objectifs clés à atteindre sont les suivants : contenir la violation; évaluer et amenuiser le risque posé aux employés, clients et consommateurs de l entreprise; concevoir et, le cas échéant, mettre en œuvre une stratégie d avis rapide et complet; et procéder à l examen des politiques et procédures existantes afin de veiller à ce que la violation ne se reproduise pas. Ces objectifs provoquent généralement la mise en œuvre des mesures suivantes : Rassembler une équipe appropriée destinée à enquêter sur la violation (p. ex., des personnes provenant des services de protection de la vie privée, de sécurité, des TI, des communications et juridiques) et concevoir et mettre en œuvre le plan d action de l entreprise (dont un plan de communications interne ciblant les employés et la direction). Procéder à une enquête sur les faits entourant la violation, notamment : la chaîne de possession des données; la date de la violation; la manière dont est survenue la violation; le moment de la découverte de la violation; le nombre de personnes touchées par la violation; la nature des renseignements touchés par la violation (p. ex., renseignements sur la santé, données financières, numéros d assurance sociale, coordonnées personnelles, etc.); la présence d obstacles matériels ou technologiques à l accès non autorisé aux renseignements (p. ex., protection par mot de passe, cryptage, etc.); le fait que les renseignements ont déjà été utilisés ou divulgués de manière inappropriée, et la probabilité qu ils le soient à l avenir.

38 Comment agir? 38 L identification des territoires touchés par la violation et les lois qui pourraient s appliquer. Évaluer le risque de danger si les renseignements étaient effectivement utilisés ou divulgués de façon inappropriée (p. ex., danger physique, fraude, vol d identité, atteinte à la réputation ou inconvénients subis par les personnes touchées, perte de profit ou d occasions d emploi, etc.). Établir le caractère approprié d une offre de surveillance du crédit ou d autres services aux personnes touchées. Élaborer les étapes à suivre par l entreprise pour atténuer l incidence de la violation, à l interne (p. ex., récupération de copies, modification de mots de passe ou de droits d accès, bases de données de sauvegarde) et à l externe (p. ex., aviser les personnes touchées, la police, les commissaires à la protection de la vie privée ou les organismes de réglementation, obligations contractuelles en matière de divulgation si les données étaient traitées pour le compte d une autre entreprise, etc.). Si l entreprise décide d aviser les personnes touchées par la violation, concevoir un plan de notification portant sur la façon de donner un tel avis (p. ex., un avis direct aux personnes touchées ou un avis indirect par l entremise de déclarations publiques). Identifier et mettre en œuvre les mesures à prendre par l entreprise afin d empêcher qu un tel événement ne se reproduise (p. ex., modifications des procédures, politiques et modèles contractuels de la société; modifications des mesures de protection matérielles ou technologiques et formation des employés). Concevoir et mettre en œuvre un plan de communications destiné à gérer les questions et requêtes subséquentes provenant des personnes touchées, des employés, des organismes de réglementation, de la police et des médias.

39 Décision CIBC/Talvest (2008) 39 Voici un résumé des explications fournies par la CIBC concernant le niveau d effort requis pour informer tous les clients : Enquête par les personnes chargées de la sécurité organisationnelle de la CIBC : Douze employés chargés de la sécurité de l'organisation ont participé à l'enquête qui a débuté le 18 décembre Dans le cadre de l'enquête, on a procédé à plusieurs visites des lieux, à une fouille exhaustive des deux sites, à 45 entrevues auprès d'employés et à un examen juridique du système informatique. Cette enquête a pris fin le vendredi 5 janvier La CIBC a informé la police de Montréal le lundi 8 janvier Établissement de la liste des clients et validation de leur adresse : Cette activité s est révélée chronophage puisqu'il fallait consulter 3,3 millions d'images, qui ont ensuite dû être associées de manière adéquate à la base de données existante sur les clients. Puisqu'il n'y avait pas de renseignements de tous les clients de Talvest sur le disque dur, le processus d'association était compliqué. De plus, d'importantes démarches de validation des adresses ont été requises pour les dossiers des clients inactifs. Rédaction des lettres et du communiqué : On avait besoin de plusieurs lettres différentes pour les clients, les conseillers en investissement et les courtiers. Les lettres et les communiqués devaient aussi être traduits en français. Arrangements avec les bureaux de crédit : Afin d'offrir des services de contrôle du crédit aux clients, la CIBC a dû négocier des modalités de contrat passées avec des bureaux de crédit. Il fallait donc coordonner et mettre en œuvre un processus d'enregistrement, qui incluait la création de formulaires adaptés aux clients et l'établissement de liens avec les bureaux afin de traiter les demandes.

40 Décision CIBC/Talvest 40 Site Web : Afin de répondre aux besoins des clients en matière d'information et d'inscription dans le cadre des services de crédit, la CIBC a dû préparer des pages Web et ajouter des liens appropriés. Le contenu devait être élaboré en français et en anglais et il fallait ajouter des liens logiciels vers les bureaux de crédit. Impression et envoi par la poste des lettres : La quantité de lettres exigeait à la fois l'établissement d un processus de contrôle de la qualité et l'élaboration d'un processus de regroupement qui devaient être mis à l'essai avant d'être utilisés. Les lettres étaient classées par région géographique afin de faciliter leur livraison par Postes Canada. Elles ont été imprimées, glissées dans des enveloppes et postées de manière progressive pendant plusieurs jours afin de garantir que les centres d'appels étaient en mesure de répondre au nombre accru d'appels entrants. Centres d appels : Vu le nombre de clients touchés, la CIBC a jugé essentiel de faire affaire avec un tiers afin de compléter ses propres ressources de centre d'appels interne. Il a fallu examiner les fournisseurs possibles. La prestation de soutien en français a dû être impartie. Il a fallu rédiger des scripts et former les employés internes et externes. En outre, on a créé un processus afin de fournir aux clients des copies de leurs documents lorsqu'ils en faisaient la demande. Il a fallu créer des lignes téléphoniques exclusives ainsi qu'un processus pour les clients qui souhaitaient transmettre une préoccupation ou une demande aux échelons supérieurs. Les heures d'exploitation ont dû être adaptées à plusieurs fuseaux horaires. Les responsables de la sécurité de l'organisation ont participé afin d'assurer la sécurité du processus.

41 Décision CIBC/Talvest 41 De manière générale, je suis satisfaite de la réaction de la banque à l incident, particulièrement le fait qu elle a avisé les clients concernés et a offert d indemniser ceux qui auraient été victimes de pertes financières ou qui ont dû obtenir les services supplémentaires d un bureau de crédit. J ajouterai que, après avoir tenu compte de l ensemble de la situation, je trouve que la période prise par la banque pour informer les clients était d une durée raisonnable dans les circonstances, vu le nombre très important de clients à aviser, le niveau d effort requis, la complexité du processus et la difficulté liée à la gestion d un tel projet durant les Fêtes. En ce qui a trait aux préoccupations précises soulevées par le Commissariat dans l affaire qui nous occupe, je suis, de manière générale, convaincue que les mesures correctives de la CIBC ont permis de régler adéquatement les problèmes liés à l absence de chiffrement et au manque de supervision concernant le transfert des données. Cependant, encore faut-il que ces politiques et procédures améliorées soient appliquées de manière stricte et uniforme.

42 Q & R 42 Charles Morgan cmorgan@mccarthy.ca

43 Vancouver P.O. Box 10424, Pacific Centre Suite 1300, 777 Dunsmuir Street Vancouver (Colombie-Britannique) V7Y 1K2 Tél. : Téléc. : Calgary Suite 3300, 421 7th Avenue SW Calgary (Alberta) T2P 4K9 Tél. : Téléc. : Ottawa The Chambers Suite 1400, 40 Elgin Street Ottawa (Ontario) K1P 5K6 Tél. : Téléc. : Montréal Bureau , rue De La Gauchetière Ouest Montréal (Québec) H3B 0A2 Tél. : Téléc. : Québec Le Complexe St-Amable 1150, rue de Claire-Fontaine, 7 e étage Québec (Québec) G1R 5G4 Tél. : Téléc. : United Kingdom & Europe 5 Old Bailey, 2 e étage Londres, Angleterre EC4M 7BA Tél. : +44 (0) Téléc. : +44 (0) Toronto Box 48, Suite 4700 Toronto Dominion Bank Tower Toronto (Ontario) M5K 1E6 Tél. : Téléc. :