L’information crépite sur la plupart des médias québécois et canadiens : une filiale de la CIBC, Talvest Mutual Funds, aurait « perdu » un fichier contenant des renseignements personnels de 470 000 clients. Et c’est a peu près tout ce que l’on sait.

Un communiqué de la CIBC évoque ceci :

« Fonds d’investissement Talvest a annoncé aujourd’hui qu’un fichier informatique de sauvegarde a récemment été signalé disparu alors qu’il était en transit entre ses bureaux. Ce fichier de sauvegarde renfermait des renseignements liés au processus utilisé pour ouvrir et administrer environ 470 000 comptes de clients actuels et ex-clients de Talvest. Il pourrait avoir inclus les nom, adresse, signature, date de naissance, numéros de comptes bancaires, des renseignements sur le bénéficiaire, ainsi que le numéro d’assurance sociale des clients. Talvest conserve les copies originales de ce fichier informatique sur son réseau sécurisé. »

Communiqué repris sur le site de Talvest.

Je parierai, et même si c’est de la futurologie, que c’est le cas classique de perte d’un laptop. Je ne voudrais pas jouer le naïf ou pire, le « lêche-industrie », mais je voudrais attendre un peu avant de m’inquiéter totalement, et ce, même si je suis un client de l’institution en question.

D’une part, selon l’information dont je dispose, il s’agit d’une divulgation volontaire de la part de l’institution bancaire auprès du Commissariat à la vie privée fédéral. Et cela, c’est très bien. La banque a donc pris sur elle le fait d’avertir les institutions compétentes de ce potentiel vol d’identité, et ce, sans qu’aucune obligation légale ne l’y oblige. Une diligence qui devrait être la norme, une norme d’ailleurs suggérée depuis longtemps dans un vieux texte de 2005 depuis malheureusement oublié, initialisé par le Bureau de la consommation, dépendant d’Industrie Canada, dans le texte « Working Together to Prevent Identity Theft ». Il y était notamment recommandé ceci :

« Option V - Require organizations that store personal information to notify individuals and credit bureaus in cases of security breaches »

La CIBC a donc adressé un communiqué où certaines mesures intéressantes, ont été prises :

« - Aviser par lettre tous les clients en cause.
- Compenser tous les clients en cause de Talvest des pertes monétaires découlant directement d’un accès non autorisé à leurs renseignements personnels contenus dans ce fichier.
- Offrir aux clients en cause de Talvest l’occasion de s’abonner à un service gratuit de surveillance du crédit. Ce service procurera une sécurité supplémentaire aux dossiers de crédit des clients dans les principales agences d’évaluation du crédit.
- Etablir un centre d’appels et un site Web spéciaux pour répondre à toute question des clients en cause de Talvest.
- Conseiller aux clients en cause de Talvest d’examiner régulièrement l’activité sur tous leurs comptes financiers et de signaler immédiatement toute activité non autorisée à leur institution financière.
- Collaborer avec la police pour faire enquête sur cet incident et récupérer ce fichier de sauvegarde. »

D’autre part, il semblerait qu’il s’agisse d’une perte et non d’un vol, ce qui est sans doute moins dangereux.

Mais, bon, c’est sans aucun doute une affaire de plus pour motiver de faire quelquechose en terme de sécurité et notamment de la part des institutions qui gérent des renseignements sensibles. En effet, outre la recommandation précédente, il me semble qu’il y aurait intérêt, en vrac, à :

- responsabiliser davantage les institutions gérant des renseignements personnels sensibles.

- Préciser davantage l’obligation de sécurité que ces institutions doivent certes déjà satisfaire par les lois applicables (article 7 de l’annexe 1 de la Loi sur la vie privée et les documents électroniques ou l’article 10 de la Loi sur la protection des renseignements personnels dans le secteur privé [1] ou l’article 34 de la Loi concernant le cadre juridique des technologies de l’information [2]) mais en des termes tellement flous que dans les faits, il n’y a que très rarement de condamnation.

- Ã©valuer la qualité de leurs politiques et procédures de sécurité par des experts indépendants, plutôt que d’avoir des politiques « maisons ».

- etc.

À suivre donc... En espérant ne pas me tromper.

[1] 10. Toute personne qui exploite une entreprise et recueille, détient, utilise ou communique des renseignements personnels sur autrui doit prendre et appliquer des mesures de sécurité propres à assurer le caractère confidentiel des renseignements.

[2] 34. Lorsque la loi déclare confidentiels des renseignements que comporte un document, leur confidentialité doit être protégée par un moyen approprié au mode de transmission, y compris sur des réseaux de communication.