(Photo: 123RF)
Le Commissariat à la protection de la vie privée du Canada a constaté des « lacunes importantes » dans les pratiques de l’agence d’évaluation du crédit Equifax (EFX) au Canada pendant et après une cyberattaque mondiale en 2017.
Le commissaire Daniel Therrien soutient mardi que ces lacunes ont contribué à aggraver les répercussions de l’atteinte mondiale qui a touché plus de 143 millions de personnes, dont 19 000 Canadiens.
Equifax Canada et sa société mère aux États-Unis ont accepté depuis de signer un « accord de conformité » et ont pris des mesures pour améliorer leurs programmes de sécurité, de reddition de comptes et de destruction de données, indique le commissariat fédéral.
L’atteinte s’est produite après que des pirates informatiques ont eu accès aux systèmes d’Equifax Inc., la compagnie mère, « en raison d’une vulnérabilité que la société connaissait depuis plus de deux mois, mais n’avait pas corrigée », rappelle le commissaire à la protection de la vie privée du Canada.
Or, bien qu’Equifax Canada ait ultimement accepté d’offrir pendant un minimum de quatre ans la surveillance gratuite du crédit pour les victimes de l’atteinte, la filiale canadienne, contrairement à sa société mère, « n’était pas allée jusqu’à proposer d’autres protections après l’atteinte », notamment un gel du crédit qui permettait aux victimes de limiter l’accès à leur dossier.
Les préoccupations du commissariat en matière de protection de la vie privée portaient notamment sur des mesures de sécurité insuffisantes chez Equifax; une conservation des renseignements pendant une période trop longue; des procédures de consentement inadéquates; une absence de reddition de comptes à l’égard des renseignements des Canadiens; et des mesures de protection limitées offertes aux personnes touchées après cette atteinte mondiale.
« Compte tenu de la grande quantité de renseignements personnels extrêmement sensibles détenus par Equifax et de son rôle essentiel dans le secteur financier en tant qu’agence d’évaluation du crédit, il était totalement inacceptable de constater des lacunes aussi importantes dans les pratiques de l’entreprise en matière de protection de la vie privée et de sécurité », conclut Daniel Therrien.
Par ailleurs, plusieurs plaignants ont déclaré au Commissariat qu’ils avaient été surpris d’apprendre, à la suite de cette atteinte mondiale, que leurs renseignements avaient quitté le Canada et avaient été transférés aux États-Unis, à leur insu. Le commissaire à la protection de la vie privée rappelle que ce transfert d’informations est « incompatible » avec l’obligation juridique d’Equifax d’obtenir « le consentement valable des personnes avant de divulguer leurs renseignements personnels à un tiers ».
