Deux ministères fédéraux épinglés sur la protection des renseignements personnels

OTTAWA — Le commissaire fédéral à la protection de la vie privée épingle deux ministères, qui ne disposaient pas de mesures de surveillance adéquates pour empêcher une cyberattaque qui aurait compromis les renseignements personnels sensibles de dizaines de milliers de Canadiens pendant la pandémie.

Dans un rapport déposé jeudi, le commissaire Philippe Dufresne décrit comment la défaillance de l’Agence du revenu du Canada et du ministère de l’Emploi et du Développement social, à l’été 2020, a permis à des pirates informatiques de toucher frauduleusement des prestations fédérales, ou même de détourner des paiements.

Le rapport indique que la cyberattaque a compromis les renseignements financiers, banquiers et sur l’emploi de nature sensible de dizaines de milliers de Canadiens, «donnant lieu à de nombreux cas de fraudes et de vols d’identité». Les pirates ont ainsi fait de nombreuses demandes frauduleuses pour la Prestation canadienne d’urgence (PCU) dans le cadre de la COVID-19, indique le commissariat.

L’enquête a révélé que les ministères du Revenu et de l’Emploi avaient «sous-évalué» le niveau de validation de l’identité requis pour leurs programmes et services en ligne, considérant «la nature sensible des renseignements personnels en cause».

Le commissaire conclut également que les ministères n’ont pas pris les mesures nécessaires pour détecter et limiter rapidement l’atteinte.

Le rapport indique que les deux ministères ont convenu de mettre en œuvre les recommandations visant à assurer des mesures de sécurité efficaces contre de telles attaques, une réponse rapide aux violations et des évaluations de sécurité régulières.