Revenu Québec touché par une fuite de renseignements personnels

Revenu Québec a précisé que les données concernées se trouvaient principalement dans des bases de données des ressources humaines.
Photo: Michaël Monnier Le Devoir Revenu Québec a précisé que les données concernées se trouvaient principalement dans des bases de données des ressources humaines.

La Sûreté du Québec mène une enquête pour comprendre les circonstances d’une fuite de renseignements personnels de 23 000 employés actuels et anciens de Revenu Québec, un épisode qui soulève des questions sur la sécurité des données confidentielles au sein des organisations.

Un mois et demi après l’annonce d’une fuite de renseignements chez Desjardins, qui a mis en lumière divers enjeux concernant la protection de la vie privée, le p.-d.g. de Revenu Québec a annoncé mercredi matin qu’un « membre du personnel » a été « provisoirement relevé de ses fonctions » pour un cas de violation de confidentialité.

« À l’heure actuelle, rien n’indique dans l’enquête interne que ces données auraient été utilisées à des fins malveillantes ni qu’elles auraient été vendues à des tiers, a indiqué Revenu Québec. Notons que l’employé avait légitimement accès à ces données dans l’exercice de ses fonctions. Toutefois, en raison de la violation de confidentialité à l’égard de données personnelles d’employés, Revenu Québec a immédiatement porté plainte à la SQ. »

La personne relevée de ses fonctions détenait des accès légitimes aux informations dans le cadre de son emploi, a précisé Revenu Québec.

Dans un communiqué distinct, la SQ, dont l’enquête a commencé le 25 juillet, a arrêté un homme et une femme de Québec et procédé à une perquisition dans une résidence de la ville.

Le cabinet du ministre des Finances, Eric Girard, a transmis une déclaration écrite dans laquelle ce dernier estime « très préoccupant » le transfert de données. « Revenu Québec a posé le bon geste en transférant le dossier à la Sûreté du Québec dès que la violation de confidentialité a été constatée grâce à son enquête interne. Nous suivons l’évolution du dossier de près. »

Instaurer des contrôles

La fuite de renseignements a remis à l’avant-plan un enjeu qui touche toute organisation ayant en sa possession des données personnelles : la protection de la vie privée et la surveillance de la gestion des renseignements.

« Que la personne puisse consulter l’information, c’est une chose, qu’elle puisse prendre cette information, la mettre sur une clé USB et partir avec la clé, c’est ce que je trouve aberrant », a dit Marc Tassé, professeur à temps partiel à l’École de gestion Telfer de l’Université d’Ottawa, comptable agréé et membre associé de l’Association of Certified Fraud Examiners.

Que la personne puisse consulter l’information, c’est une chose, qu’elle puisse prendre cette information, la mettre sur une clé USB et partir avec la clé, c’est ce que je trouve aberrant

Les organisations gouvernementales et privées devront revoir leurs procédures de contrôle, insiste M. Tassé, tout en s’assurant de pouvoir surveiller adéquatement le flot des informations délicates lorsqu’elles sont consultées ou téléchargées par un employé qui détient des accès.

Revenu Québec a précisé que les données concernées se trouvaient principalement dans des bases de données des ressources humaines. Dans l’immense majorité des cas, il s’agit du prénom, du nom et du numéro d’assurance sociale. Or, pour « un nombre très restreint de cas », il y a aussi la date de naissance ou le salaire.

« Les renseignements fiscaux et les autres informations personnelles contenues dans les dossiers fiscaux des citoyens du Québec ne sont donc aucunement touchés », a affirmé Revenu Québec.

« J’accorde la plus haute importance à la protection des renseignements personnels et fiscaux des citoyens québécois, ainsi que du personnel de Revenu Québec, a affirmé le p.-d.g. de Revenu Québec, Carl Gauthier. Cette situation est prise très au sérieux. Tous les moyens nécessaires seront mis en oeuvre afin de protéger les renseignements personnels de nos employés, de sorte que soit évitée toute atteinte à leur vie privée. » Les personnes touchées seront contactées par la poste et bénéficieront de mesures de protection.

Revenu Québec a avisé la Commission d’accès à l’information et a mis sur pied la page www.revenuquebec.ca/renseignements-personnels pour répondre aux questions des personnes touchées.