/finance/homepage

Pas de cryptage pour les données de 52 000 clients

TVA Nouvelles

 

L’appareil portatif perdu par un employé de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) et contenant les informations personnelles de 52 000 investisseurs canadiens provenant de 32 firmes de courtage n’avait pas de système de cryptage.

Pourtant, les politiques mêmes de l’OCRCVM obligent deux niveaux de protection. L’appareil perdu respectait le premier niveau de protection, celui du mot de passe, mais pas le second niveau, celui du cryptage.

Selon l’expert en sécurité informatique, Ryk Edelstein, de la firme CICADA Security Technology, cela ne peut démonter que deux choses : «Ces données ne devaient pas se retrouver dans cet appareil ou les politiques de l’organisme n’ont pas été appliquées correctement.»

Il se dit étonné qu’il n’y ait pas eu de système de cryptage, car les entreprises protègent normalement le disque dur ou les fichiers, le chiffrement des fichiers étant selon lui plus efficace que celui du disque dur.

Pascal Lefrançois fait partie de l’une des 52 000 victimes de cette perte. Son nom, son adresse, sa date de naissance, le nom de son courtier en placement et ses numéros de comptes pouvaient se retrouver dans l’appareil.

Ce client possède des comptes auprès de trois institutions et l’OCRCVM ne lui a pas précisé les données de quelle institution ont été perdues. Dorénavant, il admet qu’il sera plus vigilent; il a d’ailleurs reçu un courriel de l’agence d’évaluation du crédit TransUnion. «On me dit que je ne pourrai plus faire de demande de crédit par internet. Il faudra que je le fasse en personne.»

Malgré cette absence de cryptage sur l’appareil de l’OCRCVM, l’avocate Éloïse Gratton précise qu’une obligation de sécurité n’est pas une obligation de résultat et chaque juridiction provinciale pourrait interpréter le «dommage» différemment. Cela dit, elle déplore que les failles de sécurité ne soient pas systématiquement rapportées aux personnes concernées.

« À ce jour, la seule province canadienne à avoir rendu obligatoire la déclaration des failles de sécurité est l'Alberta, bien que dans d'autres provinces canadiennes, la tendance semble vouloir changer. Au Québec, dans le rapport quinquennal 2011 de la Commission d'accès à l'information du Québec, la Commission recommande d'ajouter, aux lois sur la protection des données des secteurs public et privé, la déclaration obligatoire des failles de sécurité.»

Délais trop longs?

L’Association canadienne du commerce des valeurs mobilières (ACCVM) confirme avoir envoyé une lettre à l’Organisme canadien de réglementation du commerce des valeurs mobilières, mais sans en dévoiler le contenu.

Selon The Globe and Mail, l’ACCVM aurait manifesté son inquiétude sur les délais d’avis. L’appareil aurait été perdu à la fin février, l’OCRCVM a attendu jusqu’au 22 mars pour compléter la compilation des informations qui se retrouvaient sur l’appareil et a officiellement annoncé la perte de l’appareil le jeudi 11 avril.

L’Autorité des marchés financiers refuse de blâmer l’OCRCVM et préfère laisser l’organisme mener son enquête. « À ce que je sache, personne n’a dormi au gaz à l’OCRCVM durant les semaines qui ont suivi la perte », a lancé son porte-parole Sylvain Théberge.

L’OCRCVM n’a pas encore retrouvé son appareil et rien ne lui laisse croire que les données ont été utilisées par un tiers.