COW - Atteintes à la sécurité des données et à la vie privée - 10 juin 2021
Messages clés
- Le gouvernement du Canada respecte les normes les plus élevées en matière de protection des renseignements personnels de ses clients.
- Immigration, Réfugiés et Citoyenneté Canada (IRCC) s’engage à protéger les renseignements personnels des clients et à bien gérer et protéger leurs données en mettant en place des politiques rigoureuses de protection des renseignements personnels et de sécurité.
- IRCC a relevé une atteinte à la vie privée concernant des empreintes digitales et des photographies qui ont été conservées par inadvertance au-delà de la période de conservation définie.
- IRCC a retenu les services du Commissariat à la protection de la vie privée, et avise les clients concernés afin de les assurer que leurs dossiers sont bien protégés et que leurs empreintes digitales et leur photo sont supprimées.
- IRCC examine continuellement ses pratiques de gestion de l’information pour assurer leur conformité à la Loi sur la protection des renseignements personnels. Les employés sont informés et formés sur les politiques et les procédures relatives à la protection de la vie privée.
Messages supplémentaires
Atteintes à la sécurité des données
- IRCC n’est au courant d’aucune cyberattaque, d’aucun accès malveillant ou d’aucune utilisation ou divulgation de renseignements personnels résultant d’une atteinte aux mesures de sécurité du Ministère.
Atteintes à la vie privée
- IRCC prend au sérieux toutes les atteintes à la vie privée. Le Ministère dispose d’activités de formation et de sensibilisation bien établies. Il a mis en place des politiques et des directives afin que les atteintes soient limitées, suivies et réglées le plus rapidement possible.
Traitement des atteintes à la vie privée par IRCC
- La grande majorité des cas d’atteinte à la vie privée à IRCC sont considérés comme « à risque ou à incidence faible » (p. ex. courrier/courriel mal acheminé) et sont traités à l’interne. IRCC évalue le niveau de risque en fonction des Lignes directrices du Secrétariat du Conseil du Trésor du Canada sur les atteintes à la vie privée, pour déterminer si une atteinte est ou non considérée comme « substantielle ».
- Une atteinte à la vie privée est réputée « substantielle » si elle concerne des renseignements personnels sensibles et s’il est raisonnable de penser qu’elle pourrait causer un dommage ou un préjudice grave à une personne ou qu’elle touche un grand nombre de personnes. Le Commissariat à la protection de la vie privée (CPVP) est avisé lorsque surviennent des atteintes à la vie privée jugées substantielles.
- Bien qu’IRCC traite une quantité importante de renseignements personnels et soit, par conséquent, sujet à des atteintes à la vie privée, le nombre de telles atteintes qui sont signalées est minime par rapport aux volumes de traitement globaux.
Atteinte à la vie privée concernant les empreintes digitales et les photos
- IRCC recueille des renseignements personnels auprès de ses clients, y compris des empreintes digitales et des photographies, à l’appui de leur demande d’immigration ou d’asile.
- Une fois qu’une personne obtient la citoyenneté canadienne, les empreintes digitales recueillies sont supprimées de la base de données sur l’immigration qui est hébergée par la Gendarmerie royale du Canada (GRC) pour le compte d’IRCC.
- En raison d’un problème de système, le gouvernement du Canada (IRCC, la GRC et l’Agence des services frontaliers du Canada [ASFC]) a conservé par inadvertance des renseignements personnels biométriques (empreintes digitales et photos) de certains clients de l’immigration au-delà de la période de conservation définie.
- IRCC a avisé les clients touchés que leurs empreintes digitales avaient été conservées au-delà de la période de conservation normale.
- Les renseignements ont toujours été bien protégés. Les données biométriques (empreintes digitales et photographies) de certains clients n’ont pas été immédiatement supprimées une fois la citoyenneté canadienne obtenue, comme le prévit la politique ministérielle.
- IRCC continue d’enquêter activement sur toute l’étendue de la situation et de faire preuve de transparence au sujet de cette atteinte à la vie privée :
- Le CPVP a été avisé le 26 février 2021.
- IRCC a commencé à aviser ses clients le 19 mars 2021 que leurs données biométriques avaient été conservées au-delà de la période de conservation indiquée.
- Un avis public concernant la conservation des données biométriques est publié à l’intention des clients sur le site Web d’IRCC.
- Le Ministère continue de collaborer activement avec les partenaires concernés et poursuit ses consultations avec le CPVP.
- IRCC a mis en place un centre spécialisé que les clients peuvent contacter s’ils ont des questions ou des préoccupations.
- IRCC prend cette situation très au sérieux et a mis sur pied un groupe de travail composé de cadres supérieurs pour examiner exactement ce qui a causé cette atteinte, combien de personnes sont précisément touchées et comment éviter une atteinte de cette nature à l’avenir.
- IRCC travaille avec diligence pour supprimer des bases de données d’IRCC et de l’ASFC les photographies des personnes qui sont devenues citoyens.
[Si l’on insiste au sujet des conséquences de l’atteinte à la vie privée sur les personnes?]
- La conservation de ces renseignements au-delà de la période de conservation définie a entraîné la divulgation des renseignements de certains clients à des organismes d’application de la loi, lors de la vérification d’empreintes digitales pour une enquête criminelle ou pour porter des accusations criminelles.
- IRCC a avisé les personnes concernées de cette divulgation.
- Il n’y a aucune raison de croire qu’il y a eu fraude ou vol d’identité, car les informations ont toujours été bien protégées et n’étaient pas accessibles au public. IRCC s’engage à protéger les renseignements personnels des clients et à s’assurer que ces renseignements sont correctement gérés et protégés.
Atteintes notables à IRCC :
Atteinte | Nombre de personnes touchées | Description de l’atteinte et mesures d’atténuation prises | Type d’atteinte |
---|---|---|---|
Atteinte à la vie privée liée au sondage auprès des clients Cette atteinte a été récemment mentionnée pendant la période de questions |
30 205 | IRCC a retenu les services d’Advanis pour mener son sondage annuel d’évaluation du service à la clientèle. Quand Advanis a envoyé l’invitation par courriel aux clients d’IRCC, un nom de destinataire différent a été placé dans toutes les invitations envoyées. Les responsables du programme ont mis en place des mesures pour s’assurer que ce type d’atteinte ne se reproduise plus. Il convient de noter que pour la réalisation du sondage de 2021, environ 230 000 invitations ont été envoyées et aucune atteinte à la vie privée connue liée au sondage n’a été signalée cette année. |
Atteinte non substantielle |
Atteinte à la vie privée au CTD-Sydney | 721 | Le 29 avril 2020, le CTD-Sydney a envoyé un message à 721 employés concernant une initiative de formation. Par erreur, les adresses courriel personnelles de tous les destinataires du courriel ont été divulguées aux autres membres du personnel. Le directeur du CTD-Sydney a envoyé un courriel d’excuses à tout le personnel. |
Atteinte non substantielle |
Cyberattaque visant les ClésGC
- Le 13 août 2020, Services partagés Canada a informé IRCC d’une compromission potentielle de ClésGC avec accès aux portails d’IRCC.
- CléGC est un service d’identifiants du gouvernement du Canada utilisé par certains ministères fédéraux pour permettre l’accès à leurs services.
- Dans le cas de cet incident, des noms d’utilisateur et des mots de passe ont été acquis frauduleusement par des acteurs mal intentionnés, qui ont ensuite tenté d’accéder à des services gouvernementaux.
- Dès qu’IRCC a eu connaissance de cet incident de sécurité, il a procédé à l’examen de l’activité sur son portail « MonCompte » et révoqué l’accès à 2 687 comptes qui auraient pu avoir été touchés.
- Le contrôle de sécurité d’IRCC, un processus d’authentification en deux étapes, a empêché les « acteurs mal intentionnés » de se connecter aux comptes de clients d’IRCC, empêchant ainsi une atteinte à la vie privée.
- IRCC a néanmoins avisé les clients de cet incident, en leur fournissant les renseignements suivants :
- mesures à prendre pour rétablir l’accès à leur compte en ligne;
- directives pour mettre à jour leurs comptes en utilisant un mot de passe unique afin d’éviter de réutiliser les mêmes mots de passe pour différents systèmes et différentes applications;
- coordonnées des personnes à contacter s’ils ont des questions supplémentaires.
Atteinte à la vie privée liée à Élections Canada
- 34 293 personnes touchées par cette atteinte substantielle.
- En mars 2019, IRCC et Élections Canada (EC) ont signé un protocole d’entente (PE) qui permet à IRCC de communiquer des données sur les non-citoyens à EC dans le but de mettre à jour et de maintenir le Registre national des électeurs.
- À la demande d’EC, le 1er avril 2019, IRCC lui a communiqué un extrait de données sur les résidents permanents et les ressortissants étrangers de longue durée tiré du Système mondial de gestion des cas qui n’aurait pas dû inclure de citoyens canadiens, mais qui en comprenait.
- IRCC a avisé le CPVP le 28 janvier 2020.
- Des lettres d’avis ont été envoyées le 23 septembre 2020.
- Les responsables du programme ont mis en place des mesures pour s’assurer que ce type d’atteinte ne se reproduise plus.
Contexte
Atteintes à la vie privée
- En cas d’atteinte à la vie privée, IRCC réagit rapidement en limitant l’atteinte, en informant les personnes concernées et en mettant en œuvre des mesures pour empêcher que de tels incidents se reproduisent.
- IRCC a élaboré et mis en œuvre des lignes directrices internes exhaustives sur les atteintes à la vie privée.
- IRCC évalue continuellement ses processus afin d’assurer le plus haut niveau de respect de la Loi sur la protection des renseignements personnels. Les employés sont informés et formés sur les politiques et les procédures relatives à la protection de la vie privée.
- IRCC signale les atteintes à la vie privée substantielles au Commissariat à la protection de la vie privée et au Secrétariat du Conseil du Trésor.
Atteinte à la vie privée concernant les empreintes digitales et les photos
- Afin de protéger l’intégrité de son système d’immigration, IRCC recueille des renseignements personnels auprès de ses clients, y compris des données biométriques (empreintes digitales et photographies), fournies à l’appui de leur demande d’immigration ou d’asile. Ces photographies auraient dû être supprimées des fonds ou des bases de données d’IRCC, de la Gendarmerie royale du Canada et de l’Agence des services frontaliers du Canada une fois que les clients ont obtenu la citoyenneté canadienne.
- Selon la politique d’IRCC, une fois qu’une personne obtient la citoyenneté canadienne, les empreintes digitales recueillies sont supprimées de la base de données sur l’immigration qui est hébergée par la Gendarmerie royale du Canada pour le compte d’IRCC.
- IRCC continue d’améliorer ses systèmes et ses règles opérationnels pour assurer une meilleure fonctionnalité du système. Des mesures de vérification et de contrôle renforcées sont également mises en place.
Détails de la page
- Date de modification :