Une dizaine de sociétés d’État québécoises recensent depuis 2014 des incidents où les données personnelles des Québécois ont été volées, consultées à tort ou divulguées par erreur, selon des documents obtenus par Le Journal.

À elle seule, la Régie de l’assurance maladie du Québec (RAMQ) dénombre environ 80 incidents depuis quatre ans, soit beaucoup plus que toutes les 18 autres organisations qui ont répondu à nos demandes d’accès à l’information.

Les erreurs de « jumelage » sont fréquentes : passeports envoyés à la mauvaise adresse ou cartes-soleil transmises avec les photos ou noms inversés, par exemple. Deux postes de travail ont aussi été infectés par des rançongiciels, mais sans pertes de données, précise-t-on.

« C’est préoccupant [...] Tu peux te faire passer pour quelqu’un d’autre [avec ces documents] », fait valoir le spécialiste en cybersécurité, Steve Waterhouse.

Rien dans les documents transmis n’a à voir avec l’ampleur des fuites ayant secoué le Québec l’été dernier.

Les données personnelles de millions de clients chez Desjardins avaient été soutirées par un employé, et 23 000 employés de Revenu Québec ont été touchés par un bris de confidentialité.

Steve Waterhouse croit qu’après « l’éveil collectif » vécu par les Québécois, les façons de faire doivent changer et, surtout, qu’il faut reconnaître la menace que pose une gestion « cowboy » des renseignements personnels.

« Avec l’automatisation de la collecte de données, l’erreur est plus facilement commise. En deux clics, un courriel est envoyé et quand c’est parti, c’est parti », rappelle-t-il.

Deux vols

Héma-Québec fait état de deux vols visant quatre personnes en 2014 et 2016, parmi les 17 incidents concernant les données personnelles. Selon le porte-parole, il est question de documents papier avec des informations relatives à des donneurs, volés lors de cambriolages de voitures d’employés.

Au Centre des services partagés du Québec (CSPQ), l’un des rapports transmis relate qu’une employée a recueilli le renseignement personnel d’un collègue de travail alors que ce « n’était pas nécessaire à l’exercice de [ses] attributions ».

Ironiquement, des sociétés affirment ne pas pouvoir transmettre les documents demandés en vertu de l’accès à l’information pour protéger les renseignements confidentiels.

Pourtant, certaines ont remis des rapports avec des passages caviardés.

D’autres comme Investissement Québec ou la Régie du logement ont répondu n’avoir aucun document de cette nature.

Mauvaise gestion

« Il n’y a pas de gestion structurée, donc ça donne ce résultat [des écarts entre les sociétés d’État] », poursuit M. Waterhouse, qui ne serait pas surpris que les fuites soient plus nombreuses que celles rapportées.

Pour sa part, le professeur en informatique à l’Université du Québec à Montréal Guy Bégin s’interroge sur les méthodes de travail des employés. Il souligne que diverses mesures pare-feu pourraient réduire le nombre d’incidents.

QUELQUES EXEMPLES

Cliniques négligentes

Le Tribunal administratif du travail a remis des lettres envoyées à diverses cliniques qui avaient transmis par télécopieur des documents qui concernaient l’état de santé d’un travailleur. Il leur rappelle que ces informations doivent être envoyées dans une enveloppe cachetée portant la mention « confidentiel ». Il a également à son tour glissé des documents concernant d’autres travailleurs dans les mauvais dossiers à 19 reprises.

Cartes-soleil inversées

À plusieurs reprises, la RAMQ note avoir inversé les photos et les noms de deux usagers et leur avoir envoyé la mauvaise carte-soleil. Par exemple, des parents ont contacté la Régie, car ils ont reçu la carte de leur enfant avec une photo d’une femme adulte. Sinon, deux personnes qui ont renouvelé leur carte se sont retrouvées avec la photo et la signature de l’autre. Ces situations ont été régularisées, précise la RAMQ. Malgré 80 incidents depuis 2015, elle fait valoir qu’elle émet ou renouvelle des millions de cartes par an.

Mauvais passeports

À deux reprises, la RAMQ a retourné des passeports par la poste à une mauvaise adresse. Dans les deux cas, les documents sensibles ont pu être récupérés par leur propriétaire.

Mauvaise adresse courriel

Un gestionnaire du Centre de services partagés du Québec (CSPQ) a voulu retourner par courriel un formulaire de rente à une employée retraitée, mais il s’est trompé d’adresse. Le courriel n’a pas pu être rappelé et aucune notification pour adresse inexistante n’a été reçue. Un deuxième courriel a été envoyé à l’adresse fautive pour leur demander de supprimer le document, mais aucune réponse n’a été reçue. Le CPSQ a cependant mis une note au dossier de l’employée chez Retraite Québec, afin que davantage de vérifications soient faites pour valider son identité lors d’appels. Le CSPQ recense 13 incidents relatifs à des données personnelles.

Deux cas isolés à la Sépaq

À deux reprises, la Sépaq souligne avoir envoyé un courriel de confirmation à un client, mais c’est une copie de la réservation d’une autre personne qui a été transmise. Ces confirmations incluent le nom et l’adresse du client, ainsi que son numéro de client.

Héma-Québec, Hydro-Québec et Élections Québec

Héma-Québec a transmis un tableau avec 17 incidents, dont deux vols (voir texte) et 12 divulgations indues de données personnelles. Hydro-Québec note sept incidents sans préciser davantage et Élections Québec en compte quatre depuis 2014.

- Avec la collaboration d’Andrea Valeria