Disparition d'un disque dur: plusieurs failles ont été décelées

Une enquête sur la disparition d'un disque dur portatif contenant les renseignements personnels de près de 600 000 bénéficiaires de prêts d'études à Emploi et Développement social Canada a permis de relever plusieurs failles dans les mesures de protection.
Une enquête sur la disparition d'un disque dur portatif contenant les renseignements personnels de près de 600 000 bénéficiaires de prêts d'études à Emploi et Développement social Canada (EDSC) a permis de relever plusieurs failles dans les mesures de protection.
Le disque dur externe, dont la disparition d'un bureau du ministère situé à Gatineau avait été signalée en novembre 2012, contenait des renseignements personnels de personnes ayant contracté un prêt d'études canadien entre 2000 et 2006, de même que des informations confidentielles touchant 250 fonctionnaires. À la suite de la disparition, la ministre des Travaux publics et des Services gouvernementaux, Diane Finley, avait fait appel à la Gendarmerie royale du Canada en plus d'informer la commissaire à la protection de la vie privée.
Le rapport d'enquête déposé au Parlement aujourd'hui par le Commissariat à la protection de la vie privée du Canada a permis d'exposer en détail comment le disque dur était laissé sans protection pendant de longues périodes, n'était pas protégé par un mot de passe et contenait des renseignements personnels non cryptés. De plus, les employés qui manipulaient le disque dur n'étaient pas au courant de la nature délicate des renseignements qu'il contenait.
Selon l'enquête, les employés d'EDSC ont enfreint certains articles de la Loi sur la protection des renseignements personnels portant sur l'utilisation, la communication et la destruction des renseignements personnels.
Selon le rapport, l'écart entre les politiques et les pratiques d'EDSC a entraîné des faiblesses liées aux mesures de contrôle de l'information, la sécurité physique et à la sensibilisation des employés aux politiques et aux méthodes du ministère.
« Cet incident devrait servir d'exemple pour toutes les organisations, a indiqué Chantal Bernier, commissaire à la protection de la vie privée par intérim. Mettre les politiques sur papier n'est pas suffisant pour assurer la protection des renseignements personnels. Les politiques doivent être mises en pratique chaque jour et surveillées régulièrement. »
Le disque toujours introuvable
Le disque dur contenait le numéro d'assurance sociale, le nom, la date de naissance, l'adresse personnelle et le numéro de téléphone, ainsi que le montant et le solde des prêts de 583 000 bénéficiaires du Programme canadien de prêts aux étudiants. Il contenait aussi le sexe, la langue et l'état civil de certains bénéficiaires.
En raison de pratiques ministérielles défaillantes, EDSC n'a pas été en mesure de déterminer de façon définitive quels renseignements se trouvaient sur le disque dur portatif ou à quand remontait leur dernière mise à jour.
Et malgré tous les efforts déployés, le ministère a indiqué qu'il n'a toujours pas réussi à retrouver le disque dur et il n'a pas pu déterminer si la perte était attribuable à une erreur humaine ou à un geste délibéré visant à nuire.
Rien n'indique jusqu'à maintenant que les renseignements personnels susceptibles d'être contenus sur le disque dur aient été consultés ou utilisés à des fins frauduleuses, indique le rapport.
À la suite de cet incident, le ministère a accepté les recommandations visant notamment à restreindre l'utilisation de dispositifs de stockage portatifs et s'est engagé à installer un logiciel sur les ordinateurs de bureau qui empêche l'utilisation de tels dispositifs sans autorisation. Il s'est aussi engagé à examiner périodiquement les dispositifs de stockage portatifs pour s'assurer qu'ils sont utilisés uniquement aux fins autorisées. Tous les employés devront obligatoirement passer un test à tous les deux ans sur la protection des renseignements personnels.
Le commissariat a également précisé qu'une vérification sur l'utilisation de dispositifs de stockage portatifs par des institutions fédérales sélectionnées est présentement en cours.