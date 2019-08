L’imposante fuite de données personnelles des employés de Revenu Québec admise par l’agence cette semaine a de quoi nous inquiéter.

Selon les informations obtenues par notre Bureau d’enquête, l’agence a fait preuve de négligence dans ce qui est devenu une violation de la confidentialité majeure touchant 23 000 personnes, dont la majorité est constituée d’employés actuels ou de retraités.

Une employée, visée d’abord par une enquête interne, puis arrêtée par la police avec son conjoint, avait été soupçonnée d’avoir consulté des dossiers fiscaux dans le système informatique sans autorisation, il y a un an. Mais elle a été rencontrée par des enquêteurs seulement il y a un mois.

Difficile d’expliquer ce délai autrement que par un pur laxisme digne de nos organisations gouvernementales.

Des vérifications auraient permis de découvrir que Sandra Fajardo avait envoyé une quinzaine de courriels contenant des fichiers avec des renseignements personnels, comme le numéro d’assurance social des employés, à son adresse courriel personnelle et à celle de son conjoint. Dans certains cas, la violation de confidentialité implique aussi la date de naissance et le salaire des personnes.

Vos données sont importantes

Dans un communiqué de presse, le président-directeur général de Revenu Québec, Carl Gauthier, soutient qu’il « accorde la plus haute importance à la protection des renseignements personnels et fiscaux des citoyens québécois ainsi que du personnel ».

Comment se fait-il alors que l’agence a autant tardé à agir lorsque des feux jaunes sont apparus quant à cette employée ?

On dirait que certains ont allumé sur le tard. Il est fort possible que ce soit la très médiatisée fuite de renseignements personnels chez Desjardins et son impact négatif sur l’institution qui a fait réaliser le potentiel de dommages pour l’image de l’agence. C’est seulement à ce moment-là que les vérifications sérieuses ont été enclenchées.

Une hypothèse circule selon laquelle la dame aurait agi ainsi dans le cadre d’un télétravail.

Permis ou pas ?

Est-ce possible pour un employé en contact avec de tels renseignements confidentiels de transférer des fichiers à l’extérieur des bureaux de l’agence ? En raison de l’enquête policière en cours, les porte-paroles refusent d’expliquer la politique en vigueur.

À l’Agence de revenu du Canada, on confirme que « de nombreux employés » ont déjà la chance de faire du télétravail. Dans une réponse écrite fournie au Journal, on stipule que « des ordinateurs portables sécurisés sont distribués » et que « les employés avec cette permission sont tenus de remplir une entente de travail virtuel » qui détaille des mesures de sécurité.

La Commission d’accès à l’information du Québec, responsable de l’application de la Loi sur la protection des renseignements personnels, ne dicte pas de marche à suivre à ce sujet. Elle dit que c’est à chaque organisme d’établir de bonnes pratiques et d’informer ses employés des consignes, que ce soit au travail ou à l’extérieur, pour assurer la confidentialité des données.

Un rapport préparé par le Conseil du trésor, publié en 2014, mentionnait d’ailleurs qu’au Québec, « la gestion des risques en sécurité de l’information [...] est caractérisée par une approche purement sectorielle, voire cloisonnée ».

Pendant ce temps, la Colombie-Britannique a plutôt créé une entité qui est consacrée à l’encadrement de la gestion des risques au niveau gouvernemental. Le Risk Management Branch and Government Security Office produit des lignes directrices qui englobent tous les risques, dont ceux liés à la sécurité de l’information.

Heureusement, le Conseil du trésor semble s’être mis en marche. Il a rapatrié une escouade spécialisée du ministère de la Sécurité publique et est en voie de créer un groupe de cybersécurité à portée gouvernementale. Le responsable de cette équipe a été embauché et entrera en poste dans les prochaines semaines.

Dans un monde interconnecté, aux 1001 transactions virtuelles et où Big Brother est devenu réalité, il serait bon de mettre en place des systèmes étanches et uniformes de protection des renseignements. Sans quoi, la sécurité des informations deviendra un autre facteur de perte de confiance des citoyens envers l’État.