Protection de la vie privée: Equifax semoncée

Les systèmes informatiques de l’agence d’évaluation du crédit Equifax ont été piratés «en raison d’une vulnérabilité que la société connaissait depuis plus de deux mois, mais n’avait pas corrigée».
Photo: Mike Stewart Associated Press Les systèmes informatiques de l’agence d’évaluation du crédit Equifax ont été piratés «en raison d’une vulnérabilité que la société connaissait depuis plus de deux mois, mais n’avait pas corrigée».

Le Commissariat à la protection de la vie privée du Canada a constaté des « lacunes importantes » dans les pratiques de l’agence d’évaluation du crédit Equifax au Canada pendant et après une cyberattaque mondiale en 2017.

Le commissaire Daniel Therrien soutient mardi que ces lacunes ont contribué à aggraver les répercussions de l’atteinte mondiale qui a touché plus de 143 millions de personnes, dont 19 000 Canadiens. Equifax Canada et sa société mère aux États-Unis ont accepté depuis de signer un « accord de conformité » et ont pris des mesures pour améliorer leurs programmes de sécurité, de reddition de comptes et de destruction de données, indique le commissariat fédéral.

L’atteinte s’est produite après que des pirates informatiques eurent accédé aux systèmes d’Equifax, la compagnie mère, « en raison d’une vulnérabilité que la société connaissait depuis plus de deux mois, mais n’avait pas corrigée », rappelle le commissaire à la protection de la vie privée du Canada.

Les préoccupations du commissariat portaient notamment sur des mesures de sécurité insuffisantes chez Equifax ; une conservation des renseignements pendant une période trop longue ; des procédures de consentement inadéquates ; une absence de reddition de comptes à l’égard des renseignements des Canadiens ; et des mesures de protection limitées offertes aux personnes touchées après cette atteinte mondiale.

« Compte tenu de la grande quantité de renseignements personnels extrêmement critiques détenus par Equifax et de son rôle essentiel dans le secteur financier en tant qu’agence d’évaluation du crédit, il était totalement inacceptable de constater des lacunes aussi importantes dans les pratiques de l’entreprise en matière de protection de la vie privée et de sécurité », conclut Daniel Therrien.