•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Des entreprises du web ont accès aux données des enfants de garderies

Les informations sensibles de plus de 500 000 enfants et de leurs parents pourraient être à risque, ce qui préoccupe le gouvernement Legault.

Illustration d'une famille entourée par des logos symbolisant les technologies de l'information.

Les données personnelles de plus de 500 000 enfants et de leurs parents sont consignées dans le système CSG, géré par le ministère de la Famille.

Photo : Getty Images / bubaone

Des portes ouvertes sur les données et des passerelles entre systèmes informatiques permettent à des fournisseurs de logiciels destinés aux garderies d'accéder à de grandes quantités de renseignements personnels d'enfants et de parents, a découvert Radio-Canada.

Je suis préoccupé par le type de données auxquelles ces gens, ces entreprises, ont accès, a déclaré le ministre de la Famille du Québec, Mathieu Lacombe, mercredi, alors qu'il avait été informé de notre découverte. C'est une situation qui est intolérable.

Un audit élargi va être mené à la suite du vol de données de 5000 enfants et parents sur les listes d'attente en garderie, car d'autres vulnérabilités existent dans le système.

Une mise en garde contre les risques dès 2020

Radio-Canada a par ailleurs appris que le gouvernement et la coopérative qui gère la Place 0-5 avaient été avisés dès le début de 2020 des risques potentiels.

Une directrice de garderie de Montréal et ancienne administratrice de la Place 0-5 avait sonné l'alarme auprès de la direction de la Coopérative Enfance Famille.

Je me posais des questions, je me demandais pourquoi et comment certaines personnes avaient accès à ces données, raconte Marie-Eve Dubé.

Le risque que je leur ai présenté, c'est que les données manquaient de protection. On parle d'un demi-million d'enfants.

Une citation de :Marie-Eve Dubé, propriétaire de garderie et ex-administratrice de La Place 0-5, en 2018 et 2019

Par crainte de vols d'identités des enfants qu'elle garde, Marie-Eve Dubé a même refusé d'entrer leurs données dans le système du ministère. D’autres garderies ont fait état, auprès de Radio-Canada, d’inquiétudes similaires.

Deux grandes bases de données accessibles à des « entreprises passerelles »

L'interface de La Place 0-5

La Place 0-5 est le guichet unique au Québec pour inscrire son enfant sur la liste d'attente des services de garde.

Photo : Radio-Canada

Des développeurs de logiciels destinés à faciliter le travail des gestionnaires de garderies bénéficient d'accès aux données personnelles des enfants et des parents, à la fois inscrits et en attente.

En effet, en échange d'une entente payante, la Place 0-5 leur permet d'extraire des milliers de données comme le nom, l'adresse, la date de naissance ou encore le numéro d'inscription au registre de l'état civil (NIREC), sorte de NAS de l'enfant.

Ces compagnies comme ACCEO, Planitou, Enfantin, Majeunesse, MaGarderie Plus ou encore Amisgest sont appelées entreprises passerelles par le gouvernement.

Elles ont aussi accès aux données des enfants inscrits dans leurs garderies clientes. L'ensemble de ces informations sont compilées sur un système baptisé CSG, hébergé par le ministère, qui contient plus de 500 000 dossiers.

Par ailleurs, ces logiciels peuvent également récupérer d’autres informations personnelles des parents, comme leurs coordonnées bancaires et leur numéro d’assurance sociale.

Benoit Gélinas est propriétaire d'un de ces logiciels, baptisé Grafea-GO. L'informaticien de Laval a accès à des milliers de données issues d'une cinquantaine de garderies clientes.

Les garderies sont des petites entreprises qui gèrent des données confidentielles et on essaie de les guider le mieux qu’on peut, explique-t-il.

M. Gélinas ne s'inquiète pas pour la sécurité des données qu'il gère, car il a de l'expérience en sécurité informatique. Il a notamment travaillé pour Desjardins. Mais ce n'est pas le cas de tous.

Chaque fournisseur fait sa propre sécurité selon ses connaissances et ses compétences, explique-t-il. Des failles existent-elles? Absolument, répond-il.

On ne nous dit pas les mesures à mettre en place pour protéger ces renseignements. C’est un peu basé sur un système de confiance.

Une citation de :Benoit Gélinas, propriétaire du logiciel Grafea-GO

Plus il y a de fournisseurs de logiciels qui ont accès à la base de données et plus le risque est étalé sur une grande surface, croit l'ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l'Université de Sherbrooke, Steve Waterhouse.

Souvent, on retrouve chez ces développeurs des pratiques qui ne sont pas à la hauteur des meilleures pratiques de cybersécurité et eux-mêmes vont devenir des maillons faibles.

Une citation de :Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense et chargé de cours en cybersécurité à l'Université de Sherbrooke

Les garderies elles-mêmes peuvent accéder à des milliers de données, bien au-delà de leurs propres enfants inscrits. Ainsi, le gestionnaire d'un CPE de 80 places situé à Montréal nous a affirmé avoir accès aux données de 4000 enfants pour lesquels les parents ont démontré un intérêt un moment ou à un autre pour sa garderie.

La Place 0-5 rassurante, mais Québec inquiet

Lorsqu'elle a été avertie des risques de vols de données, la directrice de la Coopérative Enfance Famille, Marie-Claude Sévigny, a répondu par courriel à Marie-Eve Dubé : Nous allons faire notre enquête pour voir s'il y a des irrégularités, mais n'importe qui pourrait prendre les données des enfants qu'il met en service et se bâtir une base de données.

Est-ce qu’il y a des failles potentielles? Oui et non, répond la directrice des communications Fannie Couture. Elle affirme que les développeurs de logiciels ne peuvent avoir accès qu'aux données qui concernent leurs garderies clientes.

On fait un pont entre notre base de données et leur base de données. [...] Je n’ai pas le contrôle sur ce qu’ils font, j’ai le contrôle sur les données qu’ils vont prendre.

Une citation de :Fannie Couture, directrice des communications de la Place 0-5

Tout ce qu’on a fait, en partenariat avec eux, c’est de monter un logiciel pour transférer les données de l’un à l’autre, explique-t-elle. C’est pour que les données se parlent, pour éviter aux services de garde de recopier toutes les informations à la mitaine.

La Place 0-5 explique qu'elle et ses partenaires sont soumis à la Loi sur la protection des renseignements personnels et qu’ils ont signé un engagement à les protéger.

Le ministère de la Famille affirme qu'il ne s'agit pas de failles de sécurité, mais d'utilisation de données.

Les parents qui s’inscrivent à la Place 0-5 [...] consentent à ce que leurs données soient transmises à ces services.

Une citation de :Bryan St-Louis, porte-parole du ministère de la Famille

Toutefois, le ministre Mathieu Lacombe s'est montré extrêmement préoccupé par la situation.

On s'attend à ce que les gens qui ont les données des Québécois les protègent bien.

Une citation de :Mathieu Lacombe, ministre de la Famille du Québec

La récente fuite de données est survenue à travers un de ses fournisseurs de services technologiques de la Place 0-5, InMedia.

En coulisses, Québec ne cache pas vouloir abolir la Place 0-5, qui génère, depuis plusieurs années, de multiples critiques. S'il faut prendre le contrôle, on le fera, a prévenu Mathieu Lacombe.

La veille, le premier ministre François Legault a lui-même évoqué cette idée de confier au gouvernement la gestion de toutes les données des enfants et de leurs parents.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !