Dans un incident majeur concernant la protection des renseignements personnels, plus de 4 000 clients de Nova Scotia Power ont vu leurs informations personnelles exposées lorsque l’entreprise a accidentellement inclus des données privées dans des courriels envoyés à des sous-traitants. Cette fuite, confirmée la semaine dernière, suscite de vives inquiétudes quant aux pratiques de gestion des données des entreprises dans toute la province.
« Il ne s’agit pas simplement de noms qui ont été divulgués—nous parlons d’informations détaillées sur les comptes qui pourraient être utilisées pour le vol d’identité, » a déclaré Jillian Rogers, défenseure de la vie privée numérique auprès de la Coalition pour la protection des renseignements personnels de l’Atlantique. « Le fait que des sous-traitants qui n’avaient aucune raison de voir ces informations les aient reçues soulève de sérieuses questions sur les contrôles internes. »
Selon les déclarations de Nova Scotia Power, la fuite s’est produite entre janvier et mars lorsque des courriels contenant des détails de facturation, des adresses et des informations bancaires partielles des clients ont été partagés par inadvertance avec des fournisseurs. Le service public a découvert l’erreur lors d’un audit de sécurité de routine fin avril, mais a attendu jusqu’en mai pour en informer les clients concernés.
Le Commissaire à l’information et à la protection de la vie privée de la Nouvelle-Écosse a ouvert une enquête. La commissaire Tricia Ralph m’a confié que son bureau examine si l’entreprise a enfreint les lois provinciales sur la protection des renseignements personnels en ne mettant pas en œuvre des mesures de protection appropriées.
« Les organisations à qui l’on confie des renseignements personnels sensibles doivent maintenir des protections rigoureuses, » a déclaré Mme Ralph. « Lorsque des fuites se produisent, une notification rapide est essentielle pour permettre aux personnes touchées de prendre des mesures de protection. »
J’ai examiné les lettres de notification envoyées aux clients, qui offraient 12 mois de surveillance gratuite du crédit mais fournissaient peu de détails sur la façon dont la fuite s’est produite ou sur les sous-traitants qui ont reçu les informations. Ce manque de transparence a frustré les défenseurs des consommateurs.
David Fraser, avocat spécialisé en protection des renseignements personnels chez McInnes Cooper à Halifax, estime que l’incident met en évidence des faiblesses systémiques dans la façon dont les services publics traitent les données sensibles. « Nous observons une tendance préoccupante où les informations des clients sont traitées comme un actif opérationnel plutôt que comme une responsabilité protégée, » a expliqué M. Fraser lors de notre entretien hier.
Nova Scotia Power a fait l’objet de critiques non seulement pour la fuite elle-même, mais aussi pour le retard dans la notification. En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada, les organisations doivent signaler les fuites importantes « dès que possible » au Commissaire à la protection de la vie privée.
L’entreprise maintient qu’elle a suivi les protocoles appropriés. « Nous avons pris des mesures immédiates pour sécuriser les informations et avons mené une enquête approfondie avant d’informer les clients, » a déclaré Ellen Williams, porte-parole de Nova Scotia Power. « Les sous-traitants qui ont reçu les informations ont confirmé la suppression des courriels. »
Cependant, Brian MacKenzie, un client de Bedford, reste sceptique. « Ils ont laissé mes informations circuler pendant des mois avant de me prévenir. Comment puis-je leur faire confiance avec mes données maintenant? » a-t-il demandé lorsque je l’ai interviewé lors d’une réunion communautaire organisée par les résidents touchés.
L’incident survient à un moment particulièrement délicat, alors que Nova Scotia Power a récemment mis en œuvre des augmentations de tarifs moyennes de 7% pour les clients résidentiels. Ce timing a amplifié la frustration du public, certains clients se demandant si l’investissement de l’entreprise dans l’infrastructure de sécurité correspond à ses hausses de prix.
Des chercheurs de la Faculté d’informatique de l’Université Dalhousie considèrent cette fuite comme la preuve de vulnérabilités plus larges. « Les compagnies de services publics maintiennent de vastes bases de données d’informations personnelles mais fonctionnent souvent sur une infrastructure informatique vieillissante, » a noté le professeur Samuel Liu, spécialiste de la sécurité des infrastructures critiques.
J’ai examiné des documents publics montrant que Nova Scotia Power a déclaré avoir dépensé 14,3 millions de dollars en mises à niveau de sécurité informatique l’année dernière—un chiffre qui représente moins de 1% de son revenu annuel. En comparaison, les normes de l’industrie suggèrent que les services publics devraient allouer entre 3 et 5% des revenus à la cybersécurité.
La réponse réglementaire a été rapide. La Commission des services publics et de révision de la Nouvelle-Écosse a annoncé qu’elle tiendra des audiences spéciales le mois prochain pour examiner les pratiques de gouvernance des données de l’entreprise. Le président de la Commission, Peter Gurnham, a indiqué qu’ils pourraient imposer de nouvelles exigences en matière de protection des données.
Pour les clients touchés, les préoccupations pratiques restent primordiales. Les services de surveillance du crédit peuvent aider à détecter les activités suspectes, mais les experts recommandent des mesures supplémentaires. « Les clients devraient placer des alertes de fraude auprès des bureaux de crédit, surveiller étroitement leurs comptes et envisager de changer leurs mots de passe bancaires, » a conseillé Melanie Dixon de l’Association de protection des consommateurs de la Nouvelle-Écosse.
Cette fuite ne sera probablement pas la dernière. Selon le Centre canadien pour la cybersécurité, les services publics font face à des menaces croissantes provenant à la fois d’attaques externes et de défaillances des contrôles internes. Leur rapport de 2023 a documenté une augmentation de 34% des incidents de données affectant les entreprises d’infrastructure critique.
En me promenant dans le centre-ville d’Halifax cette semaine, j’ai constaté que le sentiment parmi les résidents était universellement critique. « Il ne s’agit pas seulement de la divulgation de mes informations, » a déclaré Margaret Sampson, résidente de longue date. « Il s’agit de se demander avec quoi d’autre ils sont négligents. S’ils ne peuvent pas gérer correctement un courriel, qu’en est-il de la sécurité de notre réseau électrique? »
Nova Scotia Power a promis d’améliorer ses mesures de protection des données, mais regagner la confiance des clients pourrait s’avérer plus difficile que de corriger les vulnérabilités techniques. Les mois à venir révéleront si cet incident mènera à une réforme significative ou deviendra une autre fuite de données qui s’estompe de la mémoire publique sans changement durable.
