Une violation de données chez un sous-traitant de l’agence frontalière a impliqué jusqu’à 1,38 million de plaques d’immatriculation – Kelowna Capital News

Le chien de garde fédéral de la vie privée affirme qu’une violation de données chez un sous-traitant de l’agence frontalière du Canada a impliqué jusqu’à 1,38 million d’images de plaques d’immatriculation et d’informations associées.

Dans un rapport détaillant son enquête, le bureau du commissaire à la protection de la vie privée cite des incohérences dans la façon dont l’Agence des services frontaliers du Canada gère les informations sur les plaques d’immatriculation et un manque de mesures de sécurité.

Il met en évidence l’absence de clauses contractuelles adéquates pour s’assurer que le partenaire du secteur privé de l’agence frontalière protégeait correctement les informations.

Le rapport, bien que terminé en mai, a été déposé jeudi au Parlement dans le cadre du rapport annuel du commissaire à la protection de la vie privée Philippe Dufresne.

Le chien de garde a déposé une plainte et a commencé son enquête à la suite des reportages des médias en 2019 sur une cyberattaque contre un sous-traitant tiers basé aux États-Unis utilisé à la fois par l’agence frontalière canadienne et son homologue américain.

À l’époque, l’agence frontalière du Canada a déclaré au commissaire à la protection de la vie privée que la violation comprenait environ 9 000 photos de plaques d’immatriculation recueillies auprès de voyageurs entrant au Canada au poste frontalier de Cornwall, en Ontario.

L’enquête a révélé que le nombre de fichiers d’images de plaques d’immatriculation de l’agence frontalière canadienne compromis dans la violation était beaucoup plus élevé – jusqu’à 1,38 million, y compris les doublons.

Le rapport indique que parmi ceux-ci, environ 11 000 ont été publiés sur le dark web – les zones sombres et souterraines d’Internet.

Il a également constaté que les fichiers d’image comprenaient des métadonnées contenant la province ou l’État concerné associé à la plaque d’immatriculation, la date et l’heure à laquelle l’image a été prise et le code numérique représentant le site du passage frontalier ainsi que le numéro de voie.

L’agence frontalière a déclaré au commissaire qu’elle ne considérait pas les images des plaques d’immatriculation comme des informations personnelles. Cependant, selon le rapport, l’évaluation de l’agence n’a pas pris en compte les métadonnées associées révélant l’heure, la date et le lieu.

Le chien de garde de la vie privée a conclu que les fichiers constituaient des renseignements personnels en vertu de la Loi sur la protection des renseignements personnels pour certaines personnes.

Bien que certains détails personnels – par exemple, les dossiers médicaux et les données financières – soient presque toujours considérés comme sensibles, toute information personnelle peut être sensible, selon le contexte, indique le rapport.

“Cette enquête met en évidence la valeur des programmes, des contrats et des spécialistes de la protection de la vie privée travaillant ensemble pour évaluer si les informations collectées dans le cadre de la prestation des programmes et des services sont considérées comme des informations personnelles et pour élaborer des contrats avec des clauses de confidentialité appropriées pour les protéger.”

Le bureau du commissaire a finalement conclu que sa plainte auto-initiée était fondée, car l’agence frontalière avait enfreint les dispositions de la loi sur la protection de la vie privée concernant la divulgation d’informations.

Le bureau a recommandé à l’agence frontalière de revoir son contrat avec le fournisseur de services pour préciser que les fichiers d’images de plaques d’immatriculation constituent des informations personnelles et nécessitent donc “des garanties appropriées pour le stockage, l’utilisation, l’accès et la destruction”.

Le commissaire dit qu’une leçon importante dans l’affaire est que les obligations de confidentialité s’appliquent, que les données soient traitées par une agence gouvernementale ou un tiers sous contrat agissant en son nom.

Le commissaire considère que la plainte est résolue sur la base de la réponse de l’agence frontalière à l’enquête et de l’acceptation des recommandations.

—Jim Bronskill, La Presse Canadienne

agence frontalièrecybersécurité