Le Commissariat à la protection de la vie privée du Canada a demandé aux agences fédérales d'adopter des règles plus rigoureuses pour protéger les informations personnelles des Canadiens, particulièrement lorsqu'elles se trouvent sur des supports externes faciles à égarer.
Dans son rapport annuel déposé jeudi, le commissaire Daniel Therrien a affirmé qu'un nombre record de violations de données gouvernementales lui avaient été signalées.
Bien que plusieurs institutions aient fait de grands progrès, il y a encore place à l'amélioration, particulièrement dans l'utilisation d'appareils de stockage, comme des disques durs externes ou des clés USB, mentionne M. Therrien.
Les institutions fédérales ont rapporté 256 violations de données en 2014-2015, soit une hausse par rapport aux 228 de l'année précédente.
8 astuces pour sécuriser sa vie privée en ligne
Lors des années précédentes, la cause première de ces brèches était accidentelle, un risque qui, selon le commissaire, pourrait souvent être évité en suivant des procédures adéquates.
Les agences fédérales ont dû répertorier et signaler les violations de données au Commissariat à la protection de la vie privée pour la première fois l'an dernier. Auparavant, la démarche se faisait sur une base volontaire.
Comme les Canadiens doivent donner des informations très confidentielles à certains ministères et agences fédérales, "le devoir de diligence du gouvernement est primordial", a fait valoir M. Therrien dans un communiqué.
Les dispositifs de stockage portables sont pratiques puisqu'ils peuvent contenir de grandes quantités de données et sont généralement petits et faciles à transporter, admet le commissaire. Mais ce sont ces caractéristiques mêmes qui les rendent risqués.
"(Ces appareils) peuvent facilement être perdus, égarés ou volés. L'utilisation de ces dispositifs peut accroître le risque de perte de données par une institution et, par le fait même, le risque d'accès non autorisé aux données", indique le rapport.
Le bureau de M. Therrien a entrepris un audit spécial après le signalement de quelques incidents inquiétants, dont la disparition, en 2012, d'un disque dur externe contenant les informations personnelles de près de 600 000 récipiendaires de prêts étudiants.
L'évaluation des pratiques de 17 institutions a identifié quelques faiblesses. Plus des deux tiers des agences n'avaient pas formellement évalué les risques entourant l'utilisation de tous les types de dispositifs de stockage portables. Plus de 90% d'entre elles n'effectuaient pas un suivi de tous ces dispositifs tout au long de leur existence. De plus, le quart n'encourageait pas l'utilisation d'appareils cryptés.
Le commissaire Therrien a affirmé que les institutions évaluées avaient accepté toutes ses recommandations.
