L’entreprise, assistée des forces policières, récupère chez un Montréalais des données relatives à 3,4 millions de clients, dont 5 % détenaient un numéro de téléphone confidentiel. Bell se veut rassurante, mais le Commissariat à la protection de la vie privée du Canada manifeste ses inquiétudes.
Le mardi 12 février, Bell Canada Entreprises a annoncé par la voie d’un communiqué que son Service de la sûreté, en collaboration avec le Service de police de la Ville de Montréal (SPVM), avait procédé à des perquisitions à deux endroits de la métropole québécoise afin de récupérer une banque de données qui contenait des informations relatives à 3,4 millions de ces clients du Québec et de l’Ontario. Un suspect a été arrêté.
L’information subtilisée consistait en les noms, les numéros de téléphone ainsi que les services fournis par Bell à des clients inscrits dans les répertoires publics, mais aussi à 170 000 clients dont le numéro de téléphone était confidentiel.
Yannick Paradis, porte-parole du Service de police de la Ville de Montréal, a indiqué que le suspect, un individu de 30 ans, avait été libéré avec une promesse de comparaître devant la Cour le 10 avril 2008. Le policier a précisé que l’enquête, en cours depuis la mi-janvier, avait été menée conjointement par Bell Canada au civil et par les services policiers au criminel.
« Ce n’est pas un événement qui arrive régulièrement, en fait cela arrive rarement », a indiqué M. Paradis, à propos d’un partenariat de la sorte pour la récupération de données volées.
Conforter après le fait
Dans le communiqué qui divulguait l’incident, Bell s’est empressée de préciser que la banque de données ne contenait pas de numéros d’identification personnels (NIP), de numéros de carte ou de renseignements de crédit, de données de facturation, d’informations sur les appels interurbains ou de vérifications de références.
Bell a également précisé qu’elle avait commencé à communiquer avec les détenteurs de numéros de téléphone confidentiels afin de leur offrir le remplacement gratuit de leurs numéros. Les procédures de contact de ces personnes auraient débuté après la divulgation publique de l’incident par le fournisseur de services de télécommunications. Ce dernier a précisé qu’il pourrait porter des accusations envers le suspect dans le cadre de procédures civiles.
Pierre Leclerc, le responsable des relations avec les médias chez Bell Canada, a confirmé que l’entreprise a été informée « par une tierce partie » qui avait des doutes qu’une personne puisse avoir des données en sa possession. Toutefois, en indiquant que l’enquête entourant l’incident se poursuivait, le porte-parole n’a pas fourni de précisions à propos de l’identité de cet informateur et des liens directs ou indirects du suspect avec l’entreprise, tout en précisant qu’il ne s’agissait pas d’un employé.
« Nous avons un code d’éthique et de conduite pour nos employés, nous sommes rigoureux dans la protection des renseignements personnels, a affirmé M. Leclerc. Nous devons aller au fond des choses pour voir exactement ce qui en est, à savoir comment un individu a pu se retrouver avec une banque de données de clients qui appartient à Bell. »
« Lorsqu’un [tel] événement arrive, c’est très choquant pour la compagnie. Nous n’avons aucune tolérance, et c’est pour cela que nous avons déclenché une enquête aussitôt que nous avons validé que [ces allégations étaient] possibles. Cette enquête a été complétée rapidement et nous en sommes bien contents et fiers, mais on a aussi hâte de voir la fin de l’enquête qui va nous emmener à la source de ce vol », a-t-il ajouté.
Dans son communiqué, l’entreprise a indiqué que « La protection des renseignements personnels de ses clients est d’une importance capitale pour Bell. L’entreprise s’est donné des politiques et des procédures rigoureuses et des systèmes de sécurité évolués pour protéger ces renseignements. Pour ce qui touche ses pratiques et politiques en matière de protection des renseignements personnels, Bell se classe systématiquement parmi les meilleures entreprises canadiennes. »
Dans son plus récent rapport trimestriel, Bell Canada rapportait qu’elle détenait 8,1 millions d’abonnés aux services téléphoniques sur fil, soit 4,6 millions de clients résidentiels et 3,5 millions de clients d’affaires.
Inquiétude et ironie
Sur la Toile, quelques internautes ont commenté l’incident sur des forums de discussion ou des sites de médias, notamment ceux de DSL Reports et du Globe and Mail.
Les émetteurs des commentaires, dont certains sont des clients de Bell Canada, partageaient leurs inquiétudes ou manifestaient leur ironie envers le concept de la confidentialité des informations personnelles par les entreprises.
Au cours des derniers mois, des détaillants, des institutions bancaires, des organismes gouvernementaux et des entreprises privées ont rapporté la perte ou le vol de systèmes informatiques ou de données qui contenaient des données personnelles de clients ou d’individus
Le Commissariat à la protection de la vie privée du Canada est un organisme fédéral qui a la responsabilité de surveiller le respect de la Loi sur la protection des renseignements personnels, qui s’applique aux ministères et organismes fédéraux, mais aussi de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDÉ), qui s’applique au secteur privé depuis 2004.
Le directeur des communications et de la sensibilisation du grand public, Colin McKay, a manifesté l’inquiétude de l’organisme à propos de l’incident dont Bell Canada a fait l’objet, mais surtout un souhait que des correctifs soient apportés par l’entreprise.
« La question est de savoir comment l’information a été volée ou coulée vers le public. Nous parlons avec Bell Canada pour savoir ce qui s’est passé et ce qui sera changé pour éviter qu’un tel problème [se reproduise] dans le futur », a indiqué M. McKay.
« Nous avons toujours des questionnements à propos des brèches de n’importe quel type d’organisation. Toute information personnelle doit être conservée et protégée. Certainement, pour les clients de Bell Canada, c’est frustrant que des numéros confidentiels aient été publiés ou volés. Mais le seul fait que 3,4 millions de numéros de téléphone ou de fichiers de Bell Canada [aient fait l’objet d’un incident] nous inquiète », a-t-il ajouté.
M. McKay a précisé que le Commissariat à la protection de la vie privée du Canada consistait en un ombudsman plutôt qu’en un bureau d’application de lois. Il explique que l’organisme avait comme objectif de travailler avec les entreprises qui subissaient des incidents pour savoir comment une information avait été publiée et pour établir ce qui devrait être fait pour éviter la reproduction de tels événements.
« Notre but est de terminer l’enquête avec la reconnaissance de l’entreprise qu’elle implantera les changements qui sont nécessaires. Si elle refuse, ou bien si un plaignant se dit insatisfait, la cause peut être soumise à la Cour fédérale du Canada qui peut attribuer une compensation », a-t-il ajouté.
Conscientisation
M. McKay a souligné l’existence d’un problème fondamental au sein des entreprises en matière de protection de l’information personnelle, alors que les organisations, surtout les plus petites entreprises, ne se préoccupaient pas assez de la gestion de l’information qui est demandée ou conservée.
« Avec l’amélioration de la technologie et l’augmentation de la puissance des ordinateurs, il est plus facile de retenir l’information des consommateurs, et les compagnies ne sont pas habituées à se demander ce qui doit être fait avec l’information, ou quand et comment on doit la détruire ou s’en débarrasser, pour être certain qu’elle ne deviendra pas publique ou ne sera pas volée », a indiqué le porte-parole.
M. McKay a souligné que des compagnies devenaient plus conscientes de leurs responsabilités en matière de gestion de l’information personnelle, alors que les déclarations d’incidents se font plus nombreuses. Il a mentionné que la déclaration d’incident n’était pas obligatoire en ce moment, mais que la révision actuelle de la Loi sur la protection des renseignements personnels et les documents électroniques par Industrie Canada pourrait entraîner l’imposition d’une forme d’obligation.
« La Loi n’est pas une vieille loi, mais elle aura bientôt cinq ans, a-t-il indiqué. Industrie Canada est en train de la réviser, et une chose que [le ministère] se demande est si le rapport d’incidents pourrait devenir obligatoire. Cela ne signifie pas que la déclaration d’incident se ferait auprès de n’importe qui. La question est de savoir si une entreprise devrait la rapporter à leurs clients ou à nous. »
« Dans notre mémoire déposé à Industrie Canada, nous avons dit que nous croyons qu’il y devrait y avoir une déclaration obligatoire auprès de nous lorsque les torts sont significatifs », a-t-il précisé.
Jean-François Ferland est journaliste au magazine Direction informatique.
À lire aussi cette semaine: Les fabricants s’intéressent aux revendeurs canadiens L’actualité des TI en bref L’économie des TI en bref Sécurité de l’information : les normes à la rescousse Les TIC de l’amour, l’amour des TIC