Le 25 septembre 2007 –Le risque de brèche dans la protection des renseignements personnels sensibles détenus par TJX Companies Inc., la société mère américaine des magasins Winners et HomeSense du Canada, était prévisible, mais l’entreprise a tout de même omis de mettre en place des mécanismes de sécurité adéquats. C’est ce qu’a révélé une enquête des commissaires à la protection de la vie privée du Canada et de l’Alberta.
« L’entreprise recueillait trop de renseignements personnels, elle les conservait trop longtemps et utilisait une technologie de cryptage déficiente pour les protéger, ce qui a compromis la protection de la vie privée de millions de clients », a indiqué la commissaire à la protection de la vie privée du Canada, Jennifer Stoddart.
« Les groupes criminels cherchent activement les numéros de cartes de crédit et d’autres renseignements personnels, a rappelé Mme Stoddart. Une banque de données contenant des millions de numéros de cartes de crédit pourrait être une véritable mine d’or pour les fraudeurs. Il faut donc qu’elle soit protégée à l’aide de mécanismes très efficaces. »
« La brèche dans la protection des données recueillies par TJX montre de manière frappante combien il peut être dangereux de conserver longtemps de grandes quantités de renseignements sensibles – et plus particulièrement des renseignements qui ne sont pas nécessaires à des fins commerciales. »
Les deux commissaires ont lancé une enquête conjointe après que TJX a révélé en janvier que son système informatique avait fait l’objet d’une effraction. Cette effraction a compromis la sécurité de millions de numéros de cartes de crédit et de débit, ainsi que d’autres renseignements personnels, comme les numéros de permis de conduire demandés aux clients qui retournent des marchandises sans reçu.
« Cette affaire tient lieu d’alarme à l’endroit des détaillants. Ils ne doivent recueillir que les renseignements personnels nécessaires aux transactions », a déclaré Frank Work, le commissaire à l’information et à la protection de la vie privée de l’Alberta.
« Cette brèche très regrettable a eu au moins un résultat positif : TJX a collaboré avec nous pour élaborer un nouveau processus qui permet de traiter les retours d’articles sans reçu, et d’arriver à un juste équilibre entre la protection de la vie privée et la nécessité, pour le détaillant, de prévenir les fraudes. »
Selon TJX, l’intrus pourrait d’abord avoir eu accès aux renseignements des clients au moyen des réseaux locaux sans fil installés dans deux de ses magasins états-uniens. D’après une enquête de TJX, des renseignements ont été volés à partir du milieu de 2005 jusqu’en décembre 2006. Certains de ces renseignements concernaient des transactions remontant à 2002.
L’intrus a volé des renseignements figurant à des comptes de carte de crédit et des données recueillies lorsque les clients retournent des marchandises sans reçu (numéros de permis de conduire, noms et adresses).
L’enquête des commissaires a conclu que TJX n’avait pas respecté la loi fédérale sur les renseignements personnels dans le secteur privé, la Loi sur la protection des renseignements personnels et les documents électroniques, ni la Personal Information Protection Act (la loi sur la protection des renseignements personnels) de l’Alberta. Elle a également révélé ce qui suit.
TJX n’a pas géré correctement le risque d’intrusion compte tenu de la quantité de données qu’elle rassemblait sur les clients.
L’entreprise n’a pas agi assez rapidement afin de renforcer son système de cryptage, qui était déficient. Le processus de conversion a pris deux ans, et la brèche a eu lieu pendant ce temps.
L’entreprise ne s’est pas acquittée de son devoir de surveiller attentivement ses systèmes informatiques. Si elle avait disposé d’un système de surveillance adéquat, elle aurait été alertée de l’intrusion avant décembre 2006.
L’entreprise n’a pas adhéré aux normes de sécurité sur les données de l’industrie des cartes de paiement, qui ont été créées en réponse au problème croissant du vol des données des cartes de crédit.
L’enquête a aussi montré qu’il n’était pas raisonnable, de la part de l’entreprise, de recueillir le numéro de permis de conduire et d’autres numéros d’identification lorsqu’un client retournait un article sans avoir de reçu. TJX a indiqué qu’elle demandait ces renseignements afin d’identifier les personnes qui retournaient fréquemment de la marchandise, et ainsi de prévenir la fraude. Elle conservait indéfiniment les numéros de permis de conduire, des renseignements très précieux pour les voleurs d’identités.
En réponse à ces préoccupations, TJX a proposé un nouveau processus pour régler le problème des retours frauduleux. Le personnel des magasins continuera de demander une pièce d’identité, mais les renseignements tels que le numéro de permis de conduire seront convertis instantanément en un numéro d’identification unique dès leur saisie dans le système du point de vente. L’entreprise pourra ainsi surveiller les retours de marchandises sans reçu tout en évitant de conserver les numéros de permis de conduire des clients dans son système.
Les commissaires ont invité TJX à prendre des mesures pour améliorer ses mécanismes de sécurité et ses pratiques de protection de la vie privée, et ils sont heureux de constater que l’entreprise a accepté de suivre ses recommandations.
La commissaire Stoddart a fait remarquer que la brèche dans la protection des données recueillies par les magasins Winners et HomeSense démontre le besoin d’appliquer dès le départ des mécanismes de sécurité efficaces, et ainsi d’éviter les brèches de ce genre, qui peuvent coûter très cher.
« Les entreprises doivent veiller à maintenir des couches de sécurité multiples et à s’adapter aux progrès de la technologie dans le domaine. Sinon, les coûts peuvent être énormes – aussi bien pour l’entreprise que pour ses clients », a averti Mme Stoddart, selon qui une brèche dans la protection des données peut également avoir des répercussions majeures sur les sociétés émettrices de cartes de crédit, les banques ainsi que les organismes d’application de la loi et de réglementation.
Les sites Web des deux commissaires présentent un résumé des conclusions de l’enquête.
La commissaire à la protection de la vie privée du Canada est mandatée par le Parlement pour agir à titre d’ombudsman, de défenseur et de gardienne en matière du droit à la vie privée et à la protection des renseignements personnels des Canadiennes et Canadiens.
Le commissaire à l’information et à la protection de la vie privée de l’Alberta a pour mandat de promouvoir une société où la vie privée des personnes est respectée et où les organismes publics font preuve de transparence et de responsabilité.
Personnes‑ressources :
Colin McKay,
Commissariat à la protection de la vie privée du Canada
Tél. : 613-995-0103 Courriel : cmckay@privcom.gc.ca
Wayne Wood
Bureau du commissaire à l'information et à la protection de la vie privée de l'Alberta
Tél. : 780-644-4015 Courriel : wwood@oipc.ab.ca
