Les cyberattaques visant les données personnelles se multiplient. Tandis que la majorité des Canadiens se dit « très inquiète », le commissaire à la protection de la vie privée tire la sonnette d’alarme.

À l’occasion du dépôt de son rapport annuel, il a demandé à Ottawa de modifier la loi pour qu’il ne soit plus seulement un ombudsman recevant les plaintes, mais un officier pouvant rendre des ordonnances et imposer des amendes.

57 %

Proportion des Canadiens qui se disent « très inquiets » de la protection de leurs données personnelles, selon un sondage publié en janvier dernier par le Commissariat à la protection de la vie privée du Canada (CPVPC)

Jargon et politiques

Pratiquement tous les jours, au moment de télécharger une application, de s’enregistrer sur un site internet ou d’effectuer une demande de crédit, les consommateurs sont sollicités pour divulguer leurs données personnelles. Le plus souvent, a déploré le commissaire hier en conférence de presse, ils doivent accepter des « politiques de confidentialité de 50 pages rédigées dans un jargon juridique que la plupart des avocats ne comprennent pas ».

« Les clients s’y perdent dans les politiques de confidentialité incompréhensibles et, pourtant, ils se sentent contraints d’accorder leur consentement pour obtenir les biens ou les services souhaités », écrit le commissaire dans son rapport annuel.

Les solutions proposées sont nombreuses et souvent techniques, mais essentiellement, on estime que pour donner un consentement valable, le consommateur doit comprendre clairement quels sont les renseignements personnels recueillis, à qui ils peuvent être communiqués et quels sont les risques encourus.

Un « super-commissaire »

Devant les développements rapides de la technologie, il est pratiquement impossible pour un individu de comprendre pleinement ce que les organisations font de ses données personnelles, note le commissaire. La loi fédérale doit être modifiée pour donner plus de pouvoir à un organisme comme le sien, estime-t-il, comme les États-Unis et certains pays européens l’ont fait. Le CPVPC doit ainsi devenir un « organisme de réglementation indépendant » qui peut demander des comptes aux entreprises, sanctionner les comportements inacceptables et renseigner les citoyens. Les Canadiens, explique M. Therrien, « ne se sentent pas protégés par une loi qui n’a pas de mordant et des organisations qui peuvent suivre ou non les recommandations ».

Nombre de plaintes acceptées par le CPVPC, par secteur

Total 325

Finances 79 (24 %)

Internet 35 (11 %)

Transports 35 (11 %)

Services professionnels 33 (10 %)

Télécommunications 31 (10 %)

Services 26 (8 %)

Assurances 19 (6 %)

Vente et commerce de détail 19 (6 %)

Autres secteurs 18 (6 %)

Santé 13 (4 %)

Hébergement 6 (2 %)

Gouvernement 6 (2 %)

Divertissement 5 (2 %)

En attendant…

Même sans modifications à la loi fédérale, le commissaire estime pouvoir améliorer le fonctionnement de son organisme en implantant dès maintenant quelques mesures. Il souhaite notamment passer du « modèle actuel de l’ombudsman basé sur les plaintes » à la possibilité de déclencher lui-même des enquêtes, se disant « souvent mieux placé que les citoyens pour détecter les problèmes de protection de la vie privée associés aux nouvelles technologies complexes ». 

Il veut également mieux faire connaître les éléments clés qui doivent être mis en évidence dans les politiques de confidentialité, et préciser quand la collecte, l’utilisation ou la communication de renseignements personnels est interdite.

Afin d’éviter de télécharger des programmes malveillants ou de donner ses mots de passe à des sites frauduleux, on recommande de ne naviguer que sur un ordinateur protégé, avec antivirus, programmes de mises à jour et mur pare-feu. Il faut se méfier des courriels provenant de prétendues institutions financières ou de tout organisme demandant en ligne des informations personnelles.

Au Canada, tout citoyen peut demander à avoir accès aux renseignements personnels détenus par un organisme fédéral. De plus, au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé oblige toute entreprise à révéler les informations qu’elle détient sur une personne, si cette dernière en fait la demande. Cette loi encadre l’usage que l’entreprise peut faire de ces informations.

Il n’est pas nécessaire de toujours donner toute l’information réclamée par certains organismes, sites ou entreprises. Par exemple, on ne peut obliger un acheteur à fournir son numéro d’assurance sociale (NAS). En fait, selon le Commissariat à la protection de la vie privée, « aucune organisation du secteur privé n’est légalement autorisée à demander le NAS de ses clients à des fins autres que celles liées au revenu ». L’organisme fédéral recommande « fortement » de ne pas donner son NAS ou son permis de conduire à une entreprise… mais reconnaît qu’il n’est pas illégal de les demander.

Les politiques de confidentialité sont peu lues et souvent écrites dans un langage obscur, mais les entreprises peuvent améliorer leur image en suivant quelques recommandations. Dans un langage clair et précis, on recommande d’expliquer comment le consommateur peut accéder à ses propres données, d’indiquer les moyens de communiquer avec l’entreprise et, surtout, de préciser les informations récoltées et leur utilisation.

Sources : Commissariat à la protection de la vie privée du Canada, Protégez-vous, La Presse

Les informations au sujet de ces fraudes sont imprécises et très peu nombreuses. Lorsque nous avons contacté Air Miles pour obtenir des détails, on nous a d’abord dit qu’il n’y avait pas eu « de problèmes de fraudes récemment ». Et « qu’il n’est pas possible d’échanger des milles pour l’achat de cartes-cadeaux depuis le mois de mars dernier ». Pourtant, une section entière du site est consacrée à ce type d’achat.

On nous a ensuite indiqué que les bureaux québécois du populaire programme de fidélisation n’étaient « pas au courant de cette situation ».

Or, un simple appel au service à la clientèle nous a permis de parler à un superviseur qui connaissait très bien le type de fraude que nous lui avons détaillé.

Celui-ci a affirmé avoir parlé ces derniers jours avec une personne au Manitoba et une autre à Terre-Neuve qui avaient vécu exactement la même histoire que nous lui avons racontée (arrivée à une Montréalaise). Dans tous les cas mis à sa connaissance, les milles volés avaient servi, en août, à acheter des cartes-cadeaux Gap, nous a-t-il précisé.

Stratagème

Grosso modo, le fraudeur réussit à entrer dans votre boîte de réception et utilise un courriel expédié par Air Miles pour accéder à votre compte en ligne. Comme il n’a pas le NIP nécessaire, il demande à Air Miles de le changer, ce qu’il peut faire aisément puisqu’il a accès à vos courriels pour recevoir le nouveau mot de passe.

Une fois le mot de passe en main, le malfaiteur achète des bons d’achat qui lui sont livrés électroniquement. Il n’a qu’à jeter les courriels compromettants et à vider la corbeille pour effacer les traces de son délit. Cependant, les transactions d’achat sont enregistrées dans l’historique.

Selon Air Miles, « il semble s’agir d’un cas assez petit pour l’instant – environ 10 adhérents à travers le Canada – dans les derniers mois ».

Autre vague au printemps

En mars, des milles Argent avaient été utilisés frauduleusement dans des commerces pour payer des achats (cela est possible chez IGA, Jean Coutu et Shell, entre autres). Résultat, la possibilité d’échanger des milles en magasin avait été suspendue pendant environ deux semaines et lors de la reprise, le maximum quotidien était passé de 750 $ à 50 $.

Le nombre d’adhérents volés et l’ampleur de la fraude n’ont jamais été divulgués.

L’escroquerie n’avait pas touché les milles Rêves et les informations personnelles des adhérents n’avaient pas été volées, selon LoyaltyOne, l’entreprise derrière Air Miles.

Quinze jours après la cyberattaque contre Equifax, une nouvelle révélation en matière de piratage informatique, touchant cette fois le gendarme américain de la Bourse, attise les inquiétudes sur la sécurité informatique des institutions financières.

La Commission des opérations en Bourse américaine (SEC) a dit avoir été victime de pirates informatiques en 2016 et précisé que ceux-ci avaient pu en profiter pour réaliser des opérations financières illégales. L’attaque a visé sa banque de données EDGAR, qui permet notamment aux entreprises cotées en Bourse de publier les informations légales sur leurs opérations financières et leurs comptes.

Signe inquiétant, le président de la SEC Jay Clayton a reconnu à cette occasion que « même les plus grands efforts en matière de cybersécurité ne peuvent faire face à tous les risques en la matière auxquels font face les entreprises ». Selon lui, les attaques et « les tentatives d’intrusion sont permanentes et évoluent constamment, et ont, dans certains cas, réussi, même auprès des institutions les plus solides et à la SEC elle-même ». — Agence France-Presse