/investigations
Navigation

Les renseignements personnels en péril à la RAMQ et à Retraite Québec

Le Vérificateur général du Québec dénonce les risques pour les données confidentielles des Québécois

JDQ_01RAMQ

Coup d'oeil sur cet article

Les systèmes informatiques de la Régie de l’assurance maladie et de Retraite Québec sont des zones à risque qui mettent en péril la confidentialité et l’intégrité des informations personnelles des Québécois, tranche la vérificatrice générale.

• À lire aussi: Le MTQ «manque de rigueur» dans ses estimations

Possibles fuites de données, d’usurpation et d’utilisation illicite d’accès : dans son rapport, la vérificatrice générale du Québec, Guylaine Leclerc, lève le voile sur les principaux risques qui mettent en danger des millions d’informations confidentielles que détiennent ces deux entités du gouvernement.

ÉCOUTEZ l'entrevue avec Guylaine Leclerc, Vérificatrice générale du Québec, à QUB radio:   

Comme lors de la fuite de données chez Desjardins l’an dernier, les auditeurs soulignent que la RAMQ et Retraite Québec ne contrôlent pas assez les activités du personnel ayant des accès privilégiés.

« C’est comme si on a une porte qui demeure débarrée, donc il y a des risques », illustre la VG.

Cette enquête a été réalisée parce que plusieurs entités gouvernementales avaient des problèmes sur le plan de la sécurité des données, lors des audits financiers.

Inacceptables

Le rapport dénonce un contrôle insuffisant du téléchargement de données confidentielles, de la révision des accès, du suivi des alertes de sécurité automatisées ainsi que de la validation de l’honnêteté des personnes ayant des accès privilégiés, incluant la vérification des antécédents judiciaires.

Les travaux n’ont pas permis de déceler des cas de fraudes, mais la VG ne peut pas affirmer qu’il n’y en a pas.

Le président du Conseil du trésor, Christian Dubé, a admis lors de la période de questions au Salon bleu qu’il y avait des façons de faire « inacceptables » à la RAMQ et qu’il y aura des changements.

Meilleure supervision

La vérificatrice recommande que la supervision soit renforcée auprès du personnel qui détient des accès privilégiés pour télécharger des données confidentielles.

« Actuellement, les utilisateurs n’ont pas toujours besoin d’obtenir l’autorisation du gestionnaire avant de procéder au téléchargement », indique-t-elle.

La VG ajoute que les responsables de la gouvernance et la haute direction des organisations ne disposent pas de l’information nécessaire pour repérer les incidents de sécurité.

Or, même si toutes ces recommandations sont appliquées, Mme Leclerc admet « que le risque zéro n’existe pas ».

De son côté, la ministre de la Justice, Sonia LeBel, a affirmé qu’elle déposera bientôt un projet de loi qui encadrera les renseignements personnels.

« Nous allons travailler sur le consentement éclairé ainsi que le rehaussement de la responsabilité dans le secteur public et privé », a-t-elle précisé.

Plusieurs risques décelés  

Risque d’utilisation illicite d’un accès après le départ d’un employé.  

  • Exemple: une personne pourrait avoir accès aux systèmes, alors que cela ne devrait pas être le cas.      

Risque de destruction ou de modification de données sans autorisation.  

  • Exemple: un administrateur de base de données a le privilège d’altérer les données, et ce, sans qu’un contrôle soit effectué.      

Risque de fuite de données confidentielles.  

  • Exemple: un utilisateur possède les accès lui permettant de télécharger une base de données, et aucun contrôle n’est en place pour l’encadrement de cette activité.      

Risque d’usurpation des accès par une personne autre que celle autorisée.  

  • Exemple: une personne connaît l’identifiant d’un collègue et son mot de passe, et les utilise afin d’effectuer des transactions illicites.      

Les données à risque de la RAMQ   

  • Noms et numéros d’assurance sociale et d’assurance maladie     
  • Le salaire des médecins     
  • Les médicaments attribués aux personnes assurées     
  • Les prestations versées par la CNESST          

Les données à risque de Retraite Québec   

  • Les revenus des familles     
  • Les salaires des travailleurs     
  • La situation familiale des citoyens     
  • Les renseignements médicaux pour le versement des rentes d’invalidité         
Qui sont les hommes et les femmes derrière nos politiciens? Emmanuelle présente... un balado animé par Emmanuelle Latraverse.