•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Un syndicat partage les données personnelles de ses membres « par erreur »

Un homme pose ses mains sur le clavier d'un ordinateur portable dans l'obscurité.

Même si la fuite a eu lieu à l'interne, rien ne protège les employés concernés contre une utilisation malveillante de leurs données.

Photo : iStock

Une erreur informatique serait à l'origine d'une fuite de données au Syndicat national des employés de garage du Québec. Les renseignements personnels de quelque 700 membres, dont leurs numéros d'assurance sociale, ont été partagés par courriel à d'autres syndiqués.

La brèche de sécurité s'est ouverte mercredi.

D'après ce qu'il a été possible d'apprendre, un sous-traitant chargé de produire un envoi massif de courriels pour le compte du syndicat serait à l'origine de l'erreur. Normalement, chaque syndiqué souscrivant à l'assurance collective de l'organisation aurait dû recevoir son document fiscal.

Certains d'entre eux ont cependant reçu près de 700 courriels contenant les documents d'autant de syndiqués. Selon le président du syndicat, Dany Caron, jusqu'à 700 membres ont ainsi été touchés par la fuite de données.

Ce n'est pas un piratage. C'est vraiment une erreur informatique de la firme qu'on a engagée. C'est vraiment une erreur de leur côté. On est en contact avec eux. [...] La fuite est colmatée, mais les dommages sont faits, a fait savoir M. Caron.

Un garagiste près d'une roue de voiture

Jusqu'à 700 syndiqués ont été exposés par la fuite de données personnelles.

Photo : Radio-Canada / Carl Boivin

Données personnelles

Nom, adresse personnelle, historique de réclamations d'assurance et numéro d'assurance sociale font partie des données dévoilées par erreur. Seuls les syndiqués inscrits à cette assurance ont vu leurs données compromises, assure le syndicat.

Tous les efforts sont mis en place pour trouver la solution adéquate pour protéger les données personnelles des gens. On travaille là-dessus présentement.

Une citation de :Dany Caron, président, Syndicat national des employés de garage du Québec

Bien que les données aient été partagées à l'interne, il est impossible pour le syndicat d'assumer qu'il n'y aura pas d'utilisation malveillante des informations. Si quelqu'un en fait mauvais usage et le transfert à l'externe, je n'ai pas de contrôle là-dessus. C'est pour ça qu'il faut mettre en place un système de protection des données des gens, admet Dany Caron, très préoccupé par la situation.

M. Caron dit évaluer actuellement, avec le reste de l'exécutif ainsi que le sous-traitant informatique, quel accompagnement offrir aux membres.

Manque d'expertise

Loin d'être une fuite de l'ampleur de celle vécue chez Desjardins, Steve Waterhouse, expert en cybersécurité et chargé de cours à l'Université de Sherbrooke, refuse de prendre celle du Syndicat national des employés de garage (SNEGQ) à la légère.

Un homme dans une salle de nouvelles regarde l'objectif.

Steve Waterhouse est expert en cybersécurité et chargé de cours à l’Université de Sherbrooke.

Photo : Radio-Canada

C'est toujours majeur, dit-il. Est-ce que c'est grave ou c'est pas grave 700 personnes? Oui, si c'est nous qui sommes pris après ça à se démêler avec le problème. Autrement dit, chaque personne potentiellement à risque, ainsi que les gestionnaires, auront à fournir temps et énergie au cours des prochaines semaines pour s'assurer de l'intégrité de leurs données.

L'éducation n'est pas en place. En dépit de leur position de décision, [des gestionnaires] ne sont pas bien outillés pour faire l'évaluation du risque.

Une citation de :Steve Waterhouse, expert en cybersécurité+

Sans connaître les détails de ce qui s'est produit au SNEGQ, il suppose une mauvaise évaluation du risque et des impacts potentiels d'une erreur informatique.

Envoyer un courriel électronique, c'est comme envoyer une carte postale, illustre-t-il. Si l'accès aux fichiers avait été protégé par un outil supplémentaire, il ne croit pas que les mauvais destinataires auraient pu en voir le contenu.

À son avis, trop de PME et d'organisations négligent la sécurité informatique. Des solutions informatiques qu'il qualifie de bas niveau sont trop souvent utilisées pour sauver temps et argent. Même certaines firmes de consultants, dit-il, ne sont pas toujours au fait des pratiques les plus sécuritaires. Il y a méconnaissance des outils qui sont fiables et sécuritaires sur le marché.

Le risque, dit-il, est que des organisations n'ayant pas suffisamment d'expertise à l'interne soient amenées vers un mauvais chemin.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !