Technologies

Cyberattaque : vos données personnelles en danger chez vos anciens employeurs

Il y a quelques jours, Marie-Aude Pomerleau a reçu une lettre de l’entreprise Olymel qui lui indiquait que ses données personnelles étaient compromises par la cyberattaque perpétrée dans les serveurs de l’entreprise.

J’aurais pensé que si c’était pour m’arriver, ça aurait été dans une banque. Je n’aurais jamais pensé que ça aurait été dans une attaque dans le système d’un employeur pour lequel j’ai travaillé il y a 22 ans, se surprend la femme qui a aujourd’hui 41 ans.

Marie-Aude Pomerleau a travaillé six semaines à l'usine Olymel en 1999.

Marie-Aude Pomerleau a travaillé six semaines à l’usine Olymel de Vallée-Jonction en 1999.

Photo : Radio-Canada

Dans la communication du 23 janvier, Olymel affirme que les renseignements personnels d’employés actuels, d’anciens employés et de postulants ont pu être dérobés.

Les données concernées sont liées au dossier d’emploi et comprennent le nom, l’adresse, la date de naissance, le numéro d’assurance sociale et, dans certains cas, pour les travailleurs étrangers, des informations contenues dans leurs passeports.

Il faut mettre en place plus d’encadrement et de législation pour que les employeurs, un coup que les données ne sont plus nécessaires, soient obligés de les détruire de façon sécuritaire, affirme Mme Pomerleau.

Loin d’être un cas isolé

La professeure à la Faculté de droit de l’Université d’Ottawa Céline Castets-Renard, est d’avis que la durée de conservation des données confidentielles de l’entreprise Olymel est excessive, mais pas inhabituelle.

Le comportement de cette entreprise n’est pas du tout isolé. C’est ce qu’on constate un peu partout dans le monde quand on a une législation qui est un peu abstraite et complexe, soulève Céline Castets-Renard.

La professeure en droit civil de l'Université d'OttawaCéline Castets-Renard

La professeure Céline Castets-Renard est titulaire d’une chaire de recherche de l’Université d’Ottawa sur l’intelligence artificielle responsable à l’échelle mondiale.

Photo : Radio-Canada

Pour l’instant, les entreprises sont dans l’obligation de ne conserver les renseignements personnels que pour le temps nécessaire à la réalisation des fins pour lesquelles ils ont été collectés.

Cependant, la Loi sur la protection des renseignements personnels dans le secteur privé contient actuellement une lacune dans la mesure où elle ne prévoit pas d’obligation de destruction.

Vers des sanctions aux entreprises

Conscient de cette problématique, le gouvernement Legault veut donner plus de pouvoir à la Commission d’accès à l’information (CAI) afin de sanctionner les entreprises fautives avec son projet de loi 64, actuellement à l’étude à l’Assemblée nationale.

Le projet de loi prévoit explicitement l’obligation de détruire les renseignements personnels une fois les finalités accomplies. Le non-respect de cette obligation exposerait l’entreprise à une plainte à la CAI et ultimement à une sanction, affirme le cabinet du ministre responsable de la Protection des renseignements personnels, Éric Caire.

Le ministre Éric Caire prend la parole lors de l’étude des crédits budgétaires à l’Assemblée nationale.

Éric Caire, ministre délégué à la Transformation numérique gouvernementale

Photo : Radio-Canada

Avec un nombre grandissant de cyberattaques au pays, la professeure Castets-Renard est d’avis que l’imposition de sanctions pour les entreprises négligentes est le seul moyen de mieux protéger les citoyens, comme on a pu l’observer avec l’adoption du Règlement général sur la protection des données (RGPD) en Europe, en 2016.

En Europe, la législation sur les données personnelles existe depuis les années 70. Mais ce n’est seulement que maintenant après le RGPD et l’augmentation très significative des sanctions que le sujet est pris au sérieux, affirme celle qui est aussi titulaire d’une chaire de recherche sur l’intelligence artificielle responsable à l’échelle mondiale.

Nouvelle politique pour Olymel

Olymel admet s’être concentré davantage sur sa croissance que sur la mise à jour de sa politique de conservation des données personnelles au cours des dernières années.

Depuis la cyberattaque, l’entreprise assure avoir mandaté une firme externe pour l’aider à se moderniser. Une fois cette nouvelle politique établie, ce qui est en cours d’élaboration, on peut croire qu’un grand nombre d’informations et de données personnelles seront détruites, précise le porte-parole Richard Vigneault.

L'usine Olymel de Vallée-Jonction

L’entreprise Olymel a été victime d’une cyberattaque en octobre 2020.

Photo : Radio-Canada / Guillaume Croteau-Langevin

Par ailleurs, Olymel a offert aux victimes une surveillance du crédit par l’entremise d’Equifax et une assurance contre le vol d’identité et la fraude pour une période de 24 mois.

Sous la recommandation d’un expert en cybersécurité, un paiement a aussi été effectué aux pirates en échange d’une preuve de destruction des données ayant fait l’objet de la cyberattaque.

Malgré ces dispositions, Marie-Aude Pomerleau demeure inquiète.

Je n’ai pas de preuve entre les mains qu’elles sont détruites. C’est sûr qu’il y a toujours le petit stress que les données soient utilisées, craint-elle.

Pour l’instant rien n’indique que les renseignements personnels ont été divulgués publiquement ou qu’il y a eu vol d’identité. Une enquête policière est toujours en cours.

Source: Radio-Canada | Techno

Ajouter un commentaire

Click here to post a comment

%d blogueueurs aiment cette page :