Renseignements personnels communiqués par erreur : atteinte substantielle à la vie privée

Le 17 février 2020

Dans la cadre de ses activités courantes, Services publics et Approvisionnement Canada (SPAC) envoie aux dirigeants des ressources humaines (RH) et aux dirigeants principaux des finances des ministères un courriel chiffré contenant un rapport bimensuel qui énumère les paiements versés en trop aux employés de leur ministère. Le rapport fait état du nom complet, du code d'identification de dossier personnel (CIDP), de l’adresse du domicile et du montant du trop-payé de chaque employé concerné.

Lors de la distribution du plus récent rapport au début de ce mois-ci, les renseignements personnels précités de certains fonctionnaires ont été communiqués par erreur à des ministères fédéraux autres que le leur, ce qui constitue une atteinte à la vie privée. Rien n’indique que ces renseignements ont été communiqués en dehors du gouvernement.

Nous prenons très au sérieux la protection et la sécurité des renseignements personnels. Dès que nous avons constaté qu’il y avait eu atteinte à la vie privée, nous avons fait immédiatement le nécessaire pour contenir et détruire les renseignements indûment communiqués. Nous en avons informé le Commissariat à la protection de la vie privée du Canada, et les employés concernés en seront avisés au cours des prochains jours.

Nous procédons actuellement à une enquête interne en profondeur afin de déterminer les mesures à prendre pour qu’une telle situation ne se reproduise plus. Dans l’attente des résultats de l’enquête, nous avons cessé de distribuer ces rapports sur les trop-payés.

À qui ces renseignements ont-ils été envoyés?

Les renseignements personnels des fonctionnaires ont été envoyés à 161 dirigeants principaux des finances et dirigeants des RH de 62 ministères.

Quand cette atteinte a-t-elle eu lieu et qu'a-t-on fait pour y remédier?

Le courriel a été envoyé le 4 février, et l'erreur a été signalée le même jour. On a communiqué immédiatement avec les destinataires, et on leur a demandé de supprimer le courriel. Le 6 février, il a été établi après examen de la situation que l’atteinte était substantielle. Les services de technologie de l’information de SPAC ont donc pris des mesures supplémentaires pour contenir l’atteinte en supprimant le courriel sur ses serveurs.

Le 7 février, le Commissariat à la protection de la vie privée et le Secrétariat du Conseil du Trésor du Canada en ont été informés. On a demandé aux dirigeants principaux de la sécurité des 62 ministères de supprimer le courriel de leurs serveurs.

En tant qu'employé concerné, comment puis-je m'assurer que mes renseignements personnels n'ont pas été divulgués à des personnes non autorisées?

SPAC a immédiatement fait le nécessaire pour contenir la situation en collaboration avec les ministères qui ont reçu les courriels en les supprimant. Le courriel n’a été distribué qu’aux dirigeants des RH et aux dirigeants principaux des finances des 62 ministères, et rien n’indique que le courriel a été communiqué en dehors du gouvernement.

Quelles mesures ont été prises pour faire en sorte qu’une telle situation ne se reproduise plus?

SPAC a revu et ajusté la façon dont il communiquera ces renseignements à court et à long terme. Parmi les mesures prises immédiatement, mentionnons l'arrêt de la distribution de ces rapports d’ici à ce que nous ayons pris connaissance des résultats de l'enquête et que nous ayons examiné les procédures et les contrôles en place.

Pour remédier à cette situation à long terme, nous allons examiner et confirmer les besoins en information des ministères clients, sensibiliser davantage les employés aux questions de la sécurité et de la protection de la vie privée et explorer d'autres méthodes plus sûres pour communiquer les renseignements de cette nature.

Date de modification :