La ministre de Ressources humaines et Développement des compétences (RHDCC), l’honorable Diane Finley, a émis la déclaration suivante concernant la perte d’un disque dur externe qui se trouvait dans un bureau de RHDCC, à Gatineau (Québec). Il contenait des renseignements personnels au sujet de 583 000 personnes ayant contracté un prêt d’études canadien entre 2000-2006:
Pour de plus amples détails, consulter le document d’information ci-joint.
« Je tiens à dire aux Canadiens que j’ai exprimé mon mécontentement aux représentants du Ministère à l’égard de cet incident lié à la manipulation des renseignements personnels des Canadiens. Cet incident est inacceptable et aurait pu être évité. C’est pourquoi je leur ai demandé de prendre immédiatement certaines mesures pour veiller à ce qu’une situation aussi déplorable ne se reproduise plus.
Le Ministère mettra tout en œuvre pour communiquer avec les personnes dont les renseignements ont été égarés. Notamment, nous aviserons directement les personnes pour qui nous disposons des coordonnées à jour. Je divulgue publiquement tous les détails au sujet de cette entorse à la vie privée et le Ministère collaborera avec un certain nombre de partenaires externes pour veiller à ce que les Canadiens soient informés de la perte de renseignements. Le Ministère poursuit son enquête. Le Commissariat à la protection de la vie privée a été consulté. Mon cabinet a fait appel à la Gendarmerie royale du Canada en raison de la gravité de l’incident.
J’ai demandé que les employés de RHDCC de partout au pays reçoivent des communications détaillées sur la gravité de ces incidents et qu’ils participent à une formation obligatoire traitant de la nouvelle politique sur la sécurité pour éviter qu’une telle situation ne se reproduise. De plus, j’ai demandé que de nouvelles mesures disciplinaires soient instaurées à l’intention des employés, mesures qui peuvent aller jusqu’à la cessation d’emploi, advenant le cas où ils enfreindraient les codes de sécurité relatifs à la protection des renseignements personnels.
Au nom du gouvernement, je tiens à rassurer les Canadiens que nous prenons au sérieux la protection de leurs renseignements personnels. À titre de ministre, je vais veiller à ce que tous les efforts soient déployés pour que RHDCC réponde aux attentes des Canadiens à cet égard. »
Document d'information
À la fin de 2012, RHDCC a informé le Commissariat à la protection de la vie privée qu’une clé USB avait été égarée. Cette dernière contenait des renseignements personnels au sujet de plus de 5000 Canadiens.
- En enquêtant sur cet incident, les représentants du Ministère ont appris qu’un autre dispositif contenant des renseignements personnels de Canadiens avait été égaré.
- À la suite d’une enquête approfondie, qui est toujours en cours, on a conclu qu’un disque dur externe se trouvant dans un bureau de RHDCC à Gatineau (Québec) avait été égaré.
- Le Ministère poursuit son enquête. Le Commissariat à la protection de la vie privée a été consulté. Le cabinet de la ministre a fait appel à la Gendarmerie royale du Canada, en raison de la gravité de l’incident.
Détails sur la perte du disque dur
- Un disque dur qui comportait des renseignements personnels de 583 000 bénéficiaires de prêts d’études canadiens datant de 2000 à 2006 a disparu des bureaux de RHDCC, à Gatineau (Québec). Les recherches sont toujours en cours.
- Le fichier comportait des renseignements comme le nom, la date de naissance, le numéro d’assurance sociale et l’adresse d’étudiants de partout au pays (sauf du Québec, du Nunavut et des Territoires du Nord-Ouest, car ceux-ci gèrent leurs propres programmes de prêts d’études) ainsi que des renseignements connexes sur leurs prêts d’études canadiens.
- Les renseignements personnels de 250 employés de RHDCC se trouvaient également sur le disque dur.
- Aucun renseignement bancaire ou médical ne figurait sur le disque dur.
- Les renseignements ont été enregistrés sur un disque dur externe pour en faire une copie de sauvegarde.
Chronologie des événements
- Le 5 novembre 2012 : Un employé de RHDCC a signalé qu’un disque dur externe a été égaré. Les efforts de recherche ont débuté.
- Le 28 novembre : L’Agent de sécurité ministériel de RHDCC a été informé.
- Le 6 décembre : Découverte que des renseignements personnels de bénéficiaires de prêts d’études canadiens étaient enregistrés sur le disque dur.
- Le 14 décembre : Le Ministère a informé le Commissariat à la protection de la vie privée.
- Le 7 janvier 2013 : Le Ministère a renvoyé l’affaire à la Gendarmerie royale du Canada.
- Le 11 janvier : Le Ministère a informé les Canadiens de l’incident.
Processus relatif aux demandes de renseignements et aux renseignements supplémentaires
RHDCC envoie en ce moment des lettres aux personnes touchées dont nous avons actuellement les coordonnées afin de les informer de l’incident et de leur signaler les mesures à prendre pour protéger leurs renseignements personnels.
Un numéro sans frais a été établi, soit le 1‑866‑885‑1866 (ou le 1‑416‑572‑1113 pour les personnes à l’extérieur de l’Amérique du Nord), pour que les gens puissent vérifier s’ils ont été touchés par cet incident et obtenir des réponses à leurs questions sur la situation. À compter du lundi 14 janvier 2013, il sera possible de se prévaloir de ce service de 8 h à 20 h, heure de l’Est, et ce, sept jours par semaine pour aussi longtemps qu’il le faudra.
Les personnes qui ont une déficience auditive ou un trouble de la parole et qui utilisent un téléimprimeur peuvent composer le 1‑800‑263‑5883. Elles pourront se prévaloir de ce service de 8 h à 20 h, heure de l’Est, sept jours par semaine, et ce, à compter du 14 janvier 2013 pour aussi longtemps qu’il le faudra.
Tous les détails liés à cet incident et les moyens dont les Canadiens peuvent protéger leurs renseignements personnels se trouvent à l’adressehttp://www.cibletudes.ca/fra/principal/envedette/protection/index.shtml.
Nouvelle politique de RHDCC sur le stockage de renseignements protégés
La ministre a ordonné que la politique globale sur la sécurité et le stockage des renseignements personnels à RHDCC soit renforcée et améliorée. Voici les points saillants :
- De nouveaux protocoles plus stricts seront mis en œuvre immédiatement. Les disques durs externes ne sont plus permis. Les clés USB non-approuvées ne pourront plus être connectées au réseau.
- Il y aura des évaluations immédiates des risques pour tous les dispositifs de sécurité portables utilisés dans l’environnement de travail du Ministère pour veiller à ce que les mesures de protection appropriées soient établies; ces évaluations se poursuivront de façon régulière et continue.
- Il y aura des formations obligatoires à l’intention de tous les employés sur le traitement adéquat des renseignements de nature délicate, y compris les renseignements personnels.
- Un nouveau logiciel lié à la prévention de la perte de données sera lancé. Il pourra être configuré afin de contrôler ou prévenir le transfert de renseignements de nature délicate.
- De nouvelles mesures disciplinaires pouvant aller jusqu’à la cessation d’emploi advenant le cas où ils enfreindraient les codes de sécurité relatifs à la protection des renseignements personnels sont prévues pour les employés.
