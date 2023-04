Selon une source bien informée au sujet de ce dossier, la division bancaire canadienne de Manuvie a stocké les informations personnelles de ses clients − des millions de noms, d'adresses, de dates de naissance, de numéros de compte, de numéros d’assurance sociale et de numéros de carte de crédit − dans une base de données mal protégée et accessible par plus d’une centaine d’employés.

Des milliers de clients seraient touchés par cette faille, selon cette même source.

Si vous êtes un client de la Banque Manuvie [...], vos données personnelles pourraient avoir été volées par quelqu’un , a dit cette source qui a requis l’anonymat à l’émission d’enquête de CBC Go Public.

« On peut voler votre identité, ouvrir une ligne de crédit à votre nom, obtenir des cartes de crédit à votre nom ou vendre vos données à une tierce personne et il n’y a pas moyen de savoir si cela s’est produit ou pas. » — Une citation de Une source confidentielle

Ces craintes sont d’ailleurs évoquées dans un rapport interne de cette banque, rédigé au printemps 2021 et dont CBC a obtenu copie. Ce document fait état de problèmes de confidentialité en rapport avec cette base de données, qui a été créée il y a près de 10 ans, mais les dirigeants de l’entreprise n’ont pas pris ces failles au sérieux, toujours selon la même source.

J’ai compris que [Manuvie] n’est pas prête à consacrer beaucoup de temps, de ressources et d’argent pour régler les problèmes , a-t-elle affirmé.

Des experts se disent inquiets

Des experts qui ont consulté le rapport se disent eux aussi troublés par les failles mentionnées. Il y a de quoi susciter de l’inquiétude chez toute personne qui a confié des informations personnelles à Manuvie , a dit Jennifer Davidson, une avocate basée à Toronto et spécialisée dans le droit des technologies de l'information, de la vie privée et de la cybersécurité.

Selon elle, les entreprises qui détiennent des données personnelles sensibles doivent renforcer la sécurité autour de ces données et respecter les règles de limitation d'utilisation, c’est-à-dire autoriser leur utilisation uniquement pour la raison pour laquelle elles ont été collectées. Cela ne semble toutefois pas avoir été respecté dans le cas de la base de données de Manuvie lors de son examen, il y a deux ans.

Jennifer Davidson, une avocate basée à Toronto spécialisée en cybersécurité. Photo : Kimberly Ivany/CBC

Sollicité par CBC, Luke Shane, responsable des relations avec les médias chez Manuvie, a refusé d’accorder une entrevue sur cette affaire, mais il a affirmé dans une déclaration écrite que la base de données de l’entreprise respecte ou dépasse même les exigences réglementaires en matière de confidentialité .

Cela pourrait gâcher des vies

Selon la source qui s’est confiée à CBC, la base de données en question, surnommée Databarn , a été créée il y a une dizaine d’années pour les besoins d’une poignée de personnes qui avaient besoin d’avoir un accès rapide aux informations personnelles des clients à des fins d’analyse.

Toutefois, au fil du temps, toujours selon cette source, l’accès à cette base de données s’est élargi à un plus grand nombre d'employés. Cette base de données est ainsi devenue un outil central pour les opérations bancaires. Les données personnelles n'étaient plus uniquement consultées à des fins d’analyse : on le faisait également à des fins publicitaires, fiscales ou de ventes.

Cette expansion a poussé l’entreprise à mener un examen interne de Databarn au début de l’année 2020, ce qui a donné lieu à la production de ce rapport qui met en lumière de sérieux problèmes, a précisé la source à CBC.

L’important, ce n’est pas comment on en est arrivés là , peut-on lire dans le rapport. L’important, c'est ce que nous allons faire à partir de maintenant. C’est là-dessus que nous devons concentrer nos efforts.

Selon l’auteur du document, il n’y a aucun moyen de savoir dans quelle mesure – ou à quelles fins – les données tirées de Databarn ont été utilisées. Cela pourrait gâcher des vies , a-t-il averti.

Un rapport accablant publié en 2021 jette la lumière sur les failles dans la gestion des données personnelles à Manuvie. Photo : CBC

Parmi les mauvaises pratiques en matière de cybersécurité signalées dans le rapport figurent les éléments suivants :

Non-respect du principe du moindre privilège , un concept de sécurité selon lequel un utilisateur a un accès limité à certaines données pour accomplir son travail.

, un concept de sécurité selon lequel un utilisateur a un accès limité à certaines données pour accomplir son travail. Certains numéros de carte de crédit n'étaient pas masqués : les 16 chiffres étaient visibles.

Les employés de Manuvie pouvaient envoyer et recevoir des courriels non chiffrés qui contenaient des renseignements personnels sur les clients.

Il n'y avait aucune possibilité de déterminer comment ou pourquoi les données étaient utilisées, quelles données étaient consultées ou quand elles l'étaient.

Les clients n'avaient pas été informés que Manuvie stockerait leurs informations personnelles dans une base de données avec des contrôles d'accès et des audits insuffisants en place .

Aucune preuve d'une violation, selon Manuvie

De plus, toujours selon le rapport, il était possible pour les employés de télécharger les informations personnelles des clients et de les stocker sur des ordinateurs portables, ce qui signifie que des données sensibles ont pu être ramenées à la maison et transférées sur d'autres ordinateurs.

C’est un problème majeur , a déclaré Katrina Ingram, une éthicienne basée à Edmonton spécialisée dans les données personnelles, qui conseille les entreprises sur les meilleures pratiques en matière de cybersécurité.

Selon elle, le fait que des informations personnelles puissent être téléchargées et retirées du lieu de travail augmente très certainement le risque [...] que ces données tombent entre de mauvaises mains .

Katrina Ingram, spécialiste des meilleures pratiques en matière de cybersécurité. Photo : David Bajer/CBC

Dans un communiqué, Manuvie a nié toute violation des mesures de sécurité, affirmant qu’il n’y a pas de preuves qui indiquent que les données de ses clients ont été utilisées à mauvais escient. Le rapport de 2021 mentionne cependant qu'il n'y avait aucun moyen de le savoir.

CBC a aussi consulté un enregistrement d’une réunion de cadres de Manuvie qui a eu lieu plusieurs mois après la publication dudit rapport. On peut notamment entendre le vice-président de l’entreprise, Mike Pettersen, dire : Nous n'avons aucune idée si nous avons été piratés ou non [...] ou si nous avons perdu des données, n'est-ce pas?

Le rapport de 2021 mentionne également que Manuvie a peut-être violé sans le savoir un certain nombre de principes de confidentialité depuis la création de Databarn .

Pour cette raison, nous pourrions être contraints de faire part de cette situation au gouvernement, à nos clients ou aux deux , indique le rapport. Nous devons évaluer cela dès que possible et prendre toutes les dispositions nécessaires.

Selon la source de CBC, la banque n'a contacté ni le gouvernement ni ses clients.

Question de confiance

Un porte-parole de Manuvie a toutefois déclaré que l’entreprise signalait toute violation des mesures de sécurité impliquant des informations personnelles qui représente un risque réel de préjudice pour un individu .

Selon Me Davidson, Manuvie pourrait être en violation de plusieurs lois fédérales et provinciales sur la protection de la vie privée. La loi canadienne sur la protection des renseignements personnels – la Loi sur la protection des renseignements personnels et les documents électroniques – s'applique à toute société du secteur privé qui recueille, utilise ou divulgue des renseignements personnels sur des particuliers.

De son côté, Mme Ingram affirme que les problèmes de confidentialité dans les grandes entreprises comme Manuvie pourraient sérieusement éroder la confiance des clients. Nous devons pouvoir faire confiance à ce type de sociétés, car nous leur confions beaucoup d'informations sensibles.

C’est terrifiant , a encore dit la source confidentielle à CBC. Les clients de Manuvie sont de vraies personnes dont les informations n'ont pas été protégées pendant plusieurs années. Ces gens méritent mieux .

Avec les informations de Rosalie Sinclair, d'Erica Johnson et de Kimberly Ivany, CBC