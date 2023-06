Plus de 447 000 personnes auraient été victimes d’un incident de confidentialité avec «un risque de préjudice sérieux» en l’espace d’à peine six mois, entre septembre et mars dernier, selon le chien de garde des données des Québécois.

Depuis l’entrée en vigueur des nouvelles dispositions de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, plus de 218 incidents ont été déclarés à la Commission d'accès à l'information (CAI).

«Une même personne peut avoir été victime de plusieurs incidents, ou bien l’information peut ne pas être disponible ou exacte, notamment en raison des vérifications qui peuvent s’échelonner sur une plus longue période», tient à préciser le porte-parole de la CAI, Jorge Passalacqua.

«Quand l’incident présente le risque qu’un préjudice sérieux soit causé aux personnes dont les renseignements sont concernés, l’organisation doit en aviser la Commission», ajoute-t-il.

Pour la CAI, «un incident de confidentialité correspond à tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même que la perte d’un renseignement personnel ou toute autre atteinte à sa protection».

«Enjeux de réputation»

Est-ce qu’il y a plus d’incidents qu’avant? Peut-être pas, estime Romain Gauthier, PDG et cofondateur de la firme experte en protection des données Didomi.

C’est surtout que les entreprises sont aujourd’hui forcées de les divulguer à la Commission d'accès à l'information (CAI), et que l’on en parle plus.

«On pouvait mettre cela sous le tapis pour que personne ne le voie. Maintenant, ce n’est plus possible. Il y a des enjeux de réputation», observe Romain Gauthier.

Fournie par Didomi

«Souvent, on diabolise la réglementation, on dit que c’est lourd, mais le résultat reste quand même positif. Il y a un progrès dans la protection des données», ajoute-t-il.

D’après lui, la deuxième phase de la loi 25, qui entrera en vigueur en septembre prochain, permettra aux gens de savoir ce que font les entreprises de leurs données.

«Il aura le contrôle. Il pourra dire: “Oui, j’accepte que vous utilisiez mes cookies [mouchards] sur votre site, ou non. J’ai le droit de m’y opposer.” C’est une notion de consentement très tangible», résume-t-il.

«Vous pouvez mettre une épée de Damoclès au-dessus des entreprises qui vous embêtent en disant: “Je souhaite accéder à mes données et les supprimer”», conclut-il.

TROIS ENTREPRISES QUI ONT RAPPORTÉ DES INCIDENTS

Banque Nationale

Le 23 décembre dernier, les affaires juridiques de la banque québécoise ont déclaré un incident de confidentialité à la Commission d'accès à l'information (CAI). Interrogée par Le Journal, l’institution financière a refusé de dire combien de personnes ont été ciblées ni quels types de données ont été mises à risque. «Il s’agit d’une situation ayant touché un nombre très limité de clients, qui ont tous été informés il y a plusieurs mois», s’est limité à dire son porte-parole Alexandre Guay.

Beneva

Le 30 janvier dernier, l’assureur québécois Beneva a déclaré un incident à la CAI. D’après l’entreprise, il s’agirait d’une simple erreur, qui ne devrait pas causer trop de torts. «Cet incident mineur dû à une erreur humaine a touché une dizaine de personnes et la nature des renseignements personnels en cause rend le risque d’atteinte à l’identité très faible. Les personnes touchées ont été informées individuellement et sont satisfaites des mesures prises», a assuré au Journal sa relationniste Catherine Tardif.

Sun Life

À trois reprises, soit les 11 et 17 novembre et le 6 janvier derniers, la torontoise Sun Life a déclaré des incidents. L’assureur n’a pas voulu préciser combien de personnes ont été concernées ni les données en cause. «Ces déclarations sont reliées à des situations isolées qui ont touché un nombre restreint d’individus. Conformément aux pratiques courantes, nous avons informé les personnes concernées et signalé ces incidents aux organismes de réglementation appropriés», a indiqué au Journal Ariane Richard aux relations publiques.

Hydro-Québec touchée par deux incidents ces derniers mois

La société d’État a déclaré deux incidents à la Commission d'accès à l'information il y a six mois

Hydro-Québec a été victime «d’une supercherie téléphonique» et d’une cascade de «connexions inhabituelles», qui a touché 173 espaces clients en décembre dernier.

Le premier incident, déclaré à la Commission d'accès à l'information (CAI) le 15 décembre passé, a poussé des employés de son service à la clientèle à dévoiler les informations confidentielles de deux clients, a confirmé la société d’État.

«Les informations révélées à une tierce partie sont des renseignements personnels, mais ne sont pas de nature bancaire ni [numéro d'assurance sociale] NAS», assure son porte-parole, Louis-Olivier Batty.

Fournie par Louis-Olivier Batty

«Les constables spéciaux de notre service de sécurité corporative avaient avisé les deux clients concernés de l’incident», souligne-t-il.

Plus de 173 espaces clients touchés

Pour ce qui est du deuxième incident, il a été déclaré à la CAI huit jours plus tard, après un problème survenu deux mois plus tôt.

«Une alerte de notre système de surveillance a permis de détecter plusieurs connexions inhabituelles à des espaces clients, à partir d'une adresse IP sur une courte période de temps, ce qui permet de croire qu’il s’agit de connexions automatisées et possiblement d’origine malveillante», a expliqué Hydro-Québec.

Plus de 173 espaces clients ont ainsi été touchés, mais la société d’État affirme qu’elle n’est pas à l’origine de cette compromission.

«Les informations qui ont pu être consultées ne comprennent pas de numéro de compte bancaire complet, de carte de crédit [puisqu’elle ne fait pas partie de nos modes de paiement acceptés] ou de numéro d’assurance sociale», précise Hydro.

En entrevue au Journal en avril dernier, le chef de la cybersécurité d’Hydro-Québec chargé de surveiller ses infrastructures critiques avait prévenu que la principale menace vient souvent de l’interne.