Failles de sécurité sur le site du Parti vert, des informations personnelles en ligne

Outre des informations sensibles au sujet des électeurs, le Parti vert a publié des vidéos sur la façon de transformer les interactions avec les électeurs en occasions de collecter des données à leur sujet.
Photo : La Presse canadienne / Cole Burston
Le Parti vert du Canada a laissé en ligne des informations sensibles et personnelles appartenant à ses membres et à ses sympathisants, violant ainsi ses propres règles internes, mais pas de loi fédérale.
Des dizaines d’éléments d'information (noms, numéros de téléphone, adresses et autres) ont été accessibles sur le site web du parti pendant un certain temps.
Les informations avaient été stockées dans le nuage dans un simple document Google Drive.
On ignore depuis quand ces informations étaient accessibles sur le site. Ce qu’on sait toutefois, c’est que les dossiers et les fichiers étaient datés de juillet 2022 et que le document a disparu jeudi, deux jours après que le parti a été contacté par CBC
.Enquête
La cheffe des verts, Elizabeth May, a indiqué que le parti enquêtera et mènera un examen de la racine à la branche
de tous ses systèmes de conservation des données après que des informations sur les membres ont été publiées en ligne par erreur.
Nous prenons cela très au sérieux, a déclaré la cheffe du Parti vert. Nous veillerons à ce que cela ne puisse plus avoir lieu.
Mme May a assuré que le Parti vert cherchera à regagner la confiance en assumant la responsabilité de la fuite et contactera ceux qui ont été touchés.
Jonathan Pedneault, le chef adjoint du parti qui s'est présenté aux côtés de Mme May en proposant un modèle de codirection, a déclaré que ce n'est pas un secret que les deux dernières années ont été difficiles pour les verts.
Nous avons un nouveau directeur général, nous avons un nouveau président au sein de notre conseil fédéral, qui est notre organe de gouvernance supérieur. Nous sommes donc maintenant très stables
, a-t-il déclaré.
Des vidéos utiles pour amasser des informations
Outre des informations sensibles au sujet des électeurs, le Parti vert a publié un certain nombre de vidéos sur la façon de transformer les interactions avec les électeurs en occasions de collecter des données à leur sujet.
Dans une de ces vidéos, les bénévoles apprennent que le porte-à-porte ou le démarchage auprès de candidats, les collectes de fonds, les abonnements aux infolettres ainsi que les webinaires constituent des occasions pour enrichir les bases de données.
Ce n'est pas la première fois que les verts publient des informations personnelles concernant les électeurs. En 2019, le parti avait supprimé d'un Google Drive des vidéos de formation contenant des informations personnelles sur les électeurs. Le parti s'était excusé à la suite de cette faille.
En infraction avec ses propres règles
Directrice du centre d'excellence Privacy by Design de l'Université métropolitaine de Toronto et ancienne commissaire à l'information et à la protection de la vie privée de l'Ontario, Ann Cavoukian a qualifié la situation d’épouvantable
.
« Je suis désolée, je trouve ça tellement épouvantable que le Parti vert publie ces informations et les rende accessibles au public. »
La publication en ligne de renseignements personnels enfreint la politique de confidentialité du parti. Sur son site, il est d’ailleurs mentionné que la formation politique utilise des garanties
contre la perte ou le vol de ses informations, ainsi que leur utilisation ou leur partage non autorisés.
Aucun renseignement lié à des cartes de crédit ou informations financières dans les fichiers n’était visible, mais les noms, adresses, codes postaux, numéros de téléphone, dates de naissance, documents internes du parti et vidéos de formation étaient tous disponibles pour visualisation et téléchargement.
Par exemple, CBCliste des électeurs
qui appartenaient aux candidats à la direction de la formation politique aux élections de 2020, soit Dylan Perceval-Maxwell, Andrew West, Amita Kuttner, David Merner, Glen Murray, Judy Green, Courtney Howard et Annamie Paul.
La liste électorale de l’ancienne cheffe Annamie Paul, élue en 2020 avant de démissionner un an plus tard en raison d’une lutte intestine, comportait 26 000 lignes d'information sur les électeurs lorsqu'elle était visible en ligne.
Certaines informations relatives à la campagne de Dimitri Lascaris, arrivé deuxième dans la course à la direction, ont également été partagées sur le site.
Situation sérieuse, mais pas étonnante
Le directeur général du parti, Kevin Dunbar, a assuré dans un communiqué que le parti revoyait sans relâche
ses systèmes internes et son site web. M. Dunbar est en poste depuis 2022 dans la foulée du retour à la tête du parti d’Elizabeth May, son ancienne cheffe, à la suite du départ de Mme Paul.
Les informations auxquelles vous faites référence n'ont jamais été destinées à être accessibles au public et ont maintenant été supprimées
, a-t-il assuré.
« Nous prenons la sécurité des données au sérieux et avons déjà commencé à enquêter sur la façon dont elles se sont retrouvées dans une section accessible au public de notre site web. »
Saul Bottcher, membre éloigné du Parti vert, a vu certaines informations personnelles le concernant être disponibles sur le site.
Cet ancien bénévole a qualifié ce manquement de sérieux
. En même temps, il dit ne pas être surpris de cette situation puisque le parti a dû réduire son personnel en 2021 et en 2022 en raison de sa situation financière précaire.
Élections Canada réclame des règles plus strictes
Bien que le parti ait violé sa politique de confidentialité, il n'a probablement pas enfreint la loi fédérale parce que les lois sur l'information et la confidentialité ne s'appliquent pas aux partis fédéraux.
Et même si la Loi électorale du Canada exige que les partis politiques élaborent des politiques de confidentialité, ils ne sont pas pénalisés s'ils les enfreignent.
Dans un récent rapport, le directeur général des élections, Stéphane Perrault, a affirmé que les formations politiques devraient être assujetties à la Loi sur la protection des renseignements personnels et les documents électroniques, une loi fédérale régissant la façon dont le secteur privé fédéral recueille, utilise et divulgue les renseignements.
« Élections Canada continue d'être d'avis que l'application de ces principes de confidentialité aux partis politiques est la meilleure approche pour aller de l'avant. »
Aucune disposition ne les oblige à prendre des mesures pour protéger les informations personnelles
, a-t-il déploré, ajoutant qu’il n'existe pas de mécanisme de surveillance pour vérifier si les partis respectent bel et bien le contenu de leurs propres politiques.
D’ailleurs, en 2021, le commissaire fédéral à la protection de la vie privée de l'époque, Daniel Therrien, avait déploré que les législateurs avaient refusé de soumettre les organisations politiques aux lois fédérales sur l'information et la protection de la vie privée.
À cette époque, Mme May elle-même avait déclaré que les partis politiques devraient respecter les règles
, ce qui s’avère légèrement ironique aujourd’hui vu les manquements récents du Parti vert à l’égard de la sécurité des informations.
À lire aussi :
Des informations qui valent de l’or
De nombreux partis politiques possèdent des bases de données qu’ils utilisent à des fins électorales.
Dans ce contexte, les interactions avec les électeurs sont vues comme des occasions de collecter et de stocker des informations à leur sujet, qu’ils partageront par la suite avec les organisateurs politiques et le parti.
Les données relatives aux électeurs recueillies par l'équipe du Parti vert sont saisies sur la plateforme en ligne interne du parti, GVote. Elle peut ensuite être croisée avec la liste électorale afin de cibler les électeurs potentiels. Plusieurs partis font la même chose.
D’après un texte de David Thurton, de CBC