Enquête des commissaires à l'information du Canada et de l'Alberta - Que le vol de renseignements personnels chez Winners serve de leçon à l'industrie

Le laxisme de la compagnie américaine TJX, propriétaire des magasins Winners et HomeSense, est à la source d'un vol colossal de renseignements personnels qui a touché 45 millions de personnes dans le monde.

C'est du moins la principale conclusion d'un rapport d'enquête conjoint rendu public hier par Jennifer Stoddart, commissaire à la protection de la vie privée du Canada, et son homologue albertain, Frank Work. «L'entreprise recueillait trop de renseignements personnels, elle les conservait trop longtemps et utilisait une technologie de cryptage déficiente pour les protéger, ce qui a compromis la protection de la vie privée de millions de clients», a déploré Mme Stoddart.

L'enquête fait état de six violations aux principes de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Les commissaires se disent néanmoins satisfaits des mesures correctrices prises à ce jour par TJX et ils considèrent que l'affaire est close.

Les commissaires à la vie privée du Canada et de l'Alberta ont appris le 17 janvier dernier que TJX avait fait l'objet d'un vol de données touchant des millions de personnes aux États-Unis, au Canada, à Puerto Rico, au Royaume-Uni et en Irlande. Des pirates informatiques, toujours au large, se sont introduits dans le système informatique de l'entreprise par le truchement de réseaux locaux sans fil de deux magasins Marshalls situés à Miami.

Le ou les intrus ont accédé au système à plusieurs reprises, de juillet 2005 à décembre 2006, en prenant bien soin d'utiliser une technologie de suppression, si bien qu'à ce jour, TJX n'a pu être en mesure de déterminer le contenu de la majorité des dossiers téléchargés de façon frauduleuse. Des numéros de cartes de crédit utilisés par les clients (y compris les dates d'expiration), des noms, numéros de téléphone, adresses et numéros de permis de conduire ont été dérobés (dont 300 numéros de permis au Canada).

La Gendarmerie royale du Canada enquête sur le dossier, de même que la Commission fédérale du commerce et un groupe de procureurs aux États-Unis. Le commissaire à l'information du Royaume-Uni et le commissaire à la protection des données de l'Irlande se penchent également sur l'affaire.

TJX fait aussi l'objet de poursuites et recours collectifs aux États-Unis et au Canada. La compagnie a conclu tout récemment des ententes hors cour avec certains clients. TJX a estimé ses pertes totales à 150 millions de dollars américains. L'ampleur des pertes et inconvénients subis par les consommateurs et les compagnies de crédit reste cependant la grande inconnue de cette affaire. Cette information n'a pas été divulguée par les banques et les agences de crédit.

Selon Mme Stoddart, la brèche chez TJX devrait servir d'exemple pour toutes les entreprises dans le commerce de détail. Ce vol de renseignements démontre en effet qu'il est périlleux de conserver trop longtemps une masse de données sensibles. «Les entreprises comprennent maintenant que si les systèmes de sécurité requis pour la collecte de renseignements de leurs clients coûtent cher, il en coûte encore davantage pour réparer les dégâts liés à une fuite de données», dit-elle.

La vigilance des consommateurs est également de mise, estime Mme Stoddart. «Les consommateurs devraient avoir de plus en plus le réflexe de contester la demande de renseignement personnels. Vous n'avez pas besoin de donner votre numéro de téléphone pour faire une transaction, explique-t-elle. Dites non, et demandez chaque fois pourquoi il est nécessaire de collecter ces renseignements.» Le numéro de permis de conduire, une donnée très sensible, devrait être donné en dernier recours seulement.