Appareil portatif perdu – Pas de cryptage pour les données de 52 000 clients

Quoted as privacy and IT law expert

L’appareil portatif perdu par un employé de l’Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) et contenant les informations personnelles de 52 000 investisseurs canadiens provenant de 32 firmes de courtage n’avait pas de système de cryptage.

Pourtant, les politiques mêmes de l’OCRCVM obligent deux niveaux de protection. L’appareil perdu respectait le premier niveau de protection, celui du mot de passe, mais pas le second niveau, celui du cryptage.

Selon l’expert en sécurité informatique, Ryk Edelstein, de la firme CICADA Security Technology, cela ne peut démonter que deux choses : «Ces données ne devaient pas se retrouver dans cet appareil ou les politiques de l’organisme n’ont pas été appliquées correctement.»

une obligation de sécurité n’est pas une obligation de résultat et chaque juridiction provinciale pourrait interpréter le «dommage» différemment…

Il se dit étonné qu’il n’y ait pas eu de système de cryptage, car les entreprises protègent normalement le disque dur ou les fichiers, le chiffrement des fichiers étant selon lui plus efficace que celui du disque dur.

Pascal Lefrançois fait partie de l’une des 52 000 victimes de cette perte. Son nom, son adresse, sa date de naissance, le nom de son courtier en placement et ses numéros de comptes pouvaient se retrouver dans l’appareil.

Ce client possède des comptes auprès de trois institutions et l’OCRCVM ne lui a pas précisé les données de quelle institution ont été perdues. Dorénavant, il admet qu’il sera plus vigilent; il a d’ailleurs reçu un courriel de l’agence d’évaluation du crédit TransUnion. «On me dit que je ne pourrai plus faire de demande de crédit par internet. Il faudra que je le fasse en personne.»

To find out more

This content has been updated on August 23, 2014 at 14 h 14 min.