Equifax rabrouée par le commissaire à la protection de la vie privée

On annonçait hier que le commissaire à la protection de la vie privée surveillera dorénavant la société Equifax, suite aux mesures inadéquates prises par cette entreprise en matière de protection des renseignements personnels.

Comme on s’en souviendra, Equifax avait été la cible d’une atteinte mondiale à la sécurité de ses données en 2017, affectant les renseignements de 143 millions d’individus, dont quelques milliers de Canadiens. Les pirates informatiques avaient alors profité d’une vulnérabilité qu’Equifax connaissait pourtant depuis plus de deux mois, mais qu’elle avait fait défaut de corriger, par négligence. C’est suite à cet incident et à des plaintes adressées au commissaire qu’une enquête avait été amorcée quant aux pratiques d’Equifax.

Les résultats de cette enquête démontreraient chez Equifax:

«des mesures de sécurité insuffisantes; une conservation des renseignements pendant une période trop longue; des procédures de consentement inadéquates; une absence de reddition de comptes à l’égard des renseignements des Canadiens et des mesures de protection limitées offertes aux personnes touchées après l’atteinte »

Selon l’annonce, notamment: «Equifax Canada a refusé d’offrir une option de gel de crédit aux Canadiens touchés». On lui reproche aussi d’avoir transféré le contenu de ses dossiers à sa société mère, aux États-Unis, sans chercher à obtenir de consentement réel de la part des individus fichés chez elle.

Bien que depuis l’incident de 2017, Equifax a pris des mesures pour améliorer ses programmes de sécurité et ses pratiques en matière de protection des renseignements personnels, de sérieuses lacunes demeurent, semble-t-il. Pour que le tir soit corrigé, pendant les six (6) prochaines années, Equifax devra faire préparer et fournir périodiquement des rapports de vérification compilés par une firme de sécurité externe. On espère que cela permettra de mieux surveiller sa conformité à la Loi sur la protection des renseignements personnels et les documents électroniques (la «LPRPDE»).

La détention et l’usage de renseignements personnels par des sociétés de crédit comme Equifax a cela de préoccupant que rares sont les individus qui choisissent d’être fichés chez elle. Bien qu’une partie des individus fassent volontairement affaire avec la société (par exemple pour faire surveiller leur dossier de crédit), la vaste majorité des individus fichés le sont sans leur consentement, relativement à leur cote de crédit.