NOUVELLES
25/03/2014 01:37 EDT | Actualisé 25/05/2014 05:12 EDT

Perte d'informations personnelles sur 500 000 ex-étudiants: le disque dur n'était pas protégé

Shutterstock / wrangler

OTTAWA - Un disque dur portatif contenant des informations personnelles sur plus d'un demi-million de Canadiens qui ont bénéficié d'un prêt étudiant a été laissé sans surveillance pendant de longues périodes de temps et n'était pas protégé par un mot de passe ou du cryptage, a dévoilé le Commissariat à la protection de la vie privée, mardi.

Les employés qui ont manipulé le disque dur n'était pas conscients du caractère très personnel des informations qu'il contenait, a conclu le rapport de la commissaire par intérim, Chantal Bernier.

Emploi et Développement social Canada a dévoilé, l'an dernier, que le disque dur contenait des renseignements personnels sur 583 000 bénéficiaires du Programme canadien de prêts aux étudiants entre 2000 et 2006.

Les fichiers répertoriaient le nom des étudiants, ainsi que leur numéro d'assurance-sociale, leur date de naissance, leurs coordonnées et la balance du prêt. Le disque dur contenait également les coordonnées personnelles de 250 fonctionnaires du ministère.

Le rapport de la commissaire, déposé au Parlement, indique qu'un écart entre les politiques et les pratiques au ministère a mené à des lacunes dans la gestion de l'information, dans les contrôles de sécurité et dans la vigilance des employés.

La commissaire ajoute que des fonctionnaires ont violé des sections de la Loi sur la protection des renseignements personnels relatives à l'utilisation, la divulgation et la destruction des informations personnelles.

«Cet incident devrait servir d'exemple pour toutes les organisations, soutient Mme Bernier par voie de communiqué.. Mettre les politiques sur papier n'est pas suffisant pour assurer la protection des renseignements personnels. Les politiques doivent être mises en pratique chaque jour et surveillées régulièrement.»

Le Commissariat avait ouvert une enquête en janvier 2013 après que le ministère eut rapporté que le disque dur était égaré depuis deux mois — il n'a jamais été retrouvé depuis. Les autorités ne savent pas s'il s'agit d'une erreur humaine ou d'un geste délibéré.

Le rapport de la commissaire a été déposé au moment où un juge de la Cour fédérale a autorisé un recours collectif par d'anciens étudiants qui cherchent à obtenir réparations pour violation de la vie privée et pour rupture de contrat.

Le rapport précise également que le ministère a accepté l'ensemble des recommandations du commissariat, et qu'il a «commencé à prendre les mesures nécessaires pour les mettre en oeuvre».

De fait, le ministère a précisé, lui aussi par voie de communiqué, que la majorité des recommandations avaient déjà été mises en place, et que le tout devrait être complété d'ici l'automne prochain.

De son côté, une porte-parole du ministre de l'Emploi Jason Kenney a dit que celui-ci était dans l'incapacité de commenter.

La vaste majorité des failles de sécurité en termes de données détenues par le fédéral survenues l'an dernier n'ont pas été rapportés au commissariat, affirme Charmaine Borg, la porte-parole néo-démocrate pour les questions touchant au numérique.

«Les ministères ont tendance à ne pas signaler ces failles au commissariat, ou aux gens touchés par ces fuites», dit-elle.

«Nous avons besoin d'un système qui oblige à informer les gens lorsque leurs données font l'objet de fuites. Les Canadiens ont le droit de savoir lorsque leurs informations personnes ont été perdues par le gouvernement.»

INOLTRE SU HUFFPOST

8 astuces pour sécuriser sa vie privée en ligne