Numéros d’assurance sociale, de carte d’assurance-maladie et de passeport, relevés de notes, renseignements bancaires et dossiers d’impôt… Bureau en gros n’a pas toujours supprimé toutes les données des clients se trouvant dans des dispositifs de stockage retournés et destinés à la revente, tels qu’ordinateurs portatifs et disques durs USB, révèle le Commissariat à la protection de la vie privée du Canada.
« Même si Bureau en gros s’était engagée dans le passé à régler les problèmes liés à la revente des dispositifs de stockage de données retournés, une vérification révèle que certains dispositifs retournés destinés à la revente contiennent toujours des données stockées par leur propriétaire précédent », mentionne le Commissariat.
Selon la commissaire à la protection de la vie privée du Canada, Jennifer Stoddart, il s’agit d’un problème récurrent qui met en danger les renseignements personnels des clients. « Les conclusions de la vérification sont particulièrement décevantes compte tenu du fait que nous avions déjà enquêté sur deux plaintes déposées contre Bureau en gros ».
Ces deux enquêtes ont bel et bien mené, tel que promis par l’entreprise, à un renforcement des procédures et mécanismes de contrôle convient la commissaire, mais elle précise que la vérification a démontré que ces mesures correctives « n’étaient pas appliquées de manière uniforme » et qu’elles « n’étaient pas toujours efficaces ».
Plus du tiers des 149 dispositifs de stockage (ordinateurs, ordinateurs portatifs, disques durs USB et cartes mémoires) retournés, puis nettoyés et restaurés par l’entreprise, qui ont été vérifiés et testés par le commissariat contenaient encore des données des clients.
« Selon les conclusions de la vérification, même si les pratiques en matière de confidentialité de l’entreprise sont généralement bonnes, Bureau en gros n’a pas respecté ses obligations en vertu de la loi fédérale sur la protection des renseignements personnels applicable au secteur privé en ce qui a trait aux dispositifs de stockage de données retournés ». Le commissariat lui recommande de revoir ses procédures de suppression.
« Si Bureau en gros est incapable de supprimer toutes les données de clients qui se trouvent sur le dispositif d’un fabricant en particulier, elle ne devrait pas revendre ce dispositif », a conclu Jennifer Stoddart. Le commissariat a demandé à l’entreprise d’ici le 30 juin 2012 un rapport indépendant précisant la façon dont elle se conforme.
Un résumé des conclusions de la vérification est inclus dans le rapport annuel 2010 déposé par le commissaire aujourd’hui au parlement. Le rapport fait aussi état des autres enquêtes du commissariat effectuées en 2010.
Pour consulter l’édition numérique du magazine de juin de Direction informatique, cliquez ici