Isabelle Matte, présidente-directrice générale
__
Chère communauté du CCSMTL,
Je voulais prendre un moment pour vous adresser quelques mots en lien avec l’incident de confidentialité qui est survenu dans notre établissement. Mercredi dernier, nous avons tous et toutes reçu un avis nous informant qu’en tant que personne à l’emploi du CCSMTL, un fichier contenant certains de nos renseignements personnels avait été transmis par erreur, par courriel, à certains membres du personnel.
C’est une employée de notre établissement qui nous a signalé la situation à la mi-décembre. Je tiens à la remercier. Cette personne a agi de façon exemplaire en signalant à son gestionnaire qu’elle venait de recevoir un fichier contenant des données personnelles auxquelles elle n’aurait jamais dû avoir accès.
Vous avez été plusieurs à nous demander comment cette situation a pu ainsi se reproduire dans le temps. Cette question est bien légitime. La Direction des ressources financières a agi dès que la situation a été déclarée par l’employée. Le fichier a été sécurisé. Mais le fait que cette situation ait « pu » se produire nous a immédiatement amenées à déclencher une recherche exhaustive remontant jusqu’à la date de création du fichier en 2019. C’est cette enquête interne qui a permis d’avoir le portrait juste de la situation et de débuter l’opération de destruction du document. En tout, presque cent membres du personnel ont reçu ce document par erreur et ces personnes ont toutes été contactées individuellement afin qu’elles nous confirment par écrit la destruction, la non-transmission et la non-divulgation du fichier. Dans plusieurs cas, le fichier a aussi été détruit directement à distance par les services informatiques.
L’objectif de cette opération était évidemment de protéger les données en réduisant le plus possible le risque de fuite. C’est pourquoi nous parlons actuellement d’un incident de confidentialité. Aucune situation de fuite de données ne nous a été signalée.
L’équipe de la paie, où le fichier a été transmis par erreur, est évidemment ébranlée par la situation. Le fichier a été créé en 2019 pour éviter les erreurs manuelles d’ajustements des paies et des primes. Les processus de travail ont évidemment été revus dans ce secteur. Nous savons que les membres du personnel à l’origine de cette erreur n’étaient pas mal intentionnés. Mais ceci nous rappelle à quel point nos responsabilités sont grandes lorsqu’on a accès et qu’on manipule des données personnelles d’usagers et usagères ou de membres du personnel.
En ce qui concerne les mesures de précaution que nous devons prendre individuellement, nous avons consulté plusieurs institutions financières avant de procéder à l’envoi de l’avis individuel que nous avons tous et toutes reçu. Sur le conseil de l’institution avec laquelle nous faisons affaire pour le versement de nos salaires, le signalement de l’incident à sa banque ainsi que l’adoption et le maintien des bonnes pratiques de surveillance régulière des transactions effectuées dans son compte nous ont été mentionnés comme étant suffisants pour les personnes touchées. Cependant, les avis des banques diffèrent, même au sein des succursales d’une même institution bancaire, allant d’une note au dossier à une recommandation de changement de numéro de compte bancaire. On nous a aussi expliqué que la situation personnelle de chaque individu influence le conseil qui est donné par la banque. Les mesures émises dans l’avis officiel que nous avons reçu demeurent ainsi de mise. Votre institution financière est celle qui peut le mieux vous conseiller.
Je vous invite aussi à consulter la page Web dédiée à cet incident de confidentialité. De nouvelles informations sur certains services offerts par Équifax, dont un gratuit, ont été ajoutées. Bien que cette solution ne nous ait pas été recommandée d’entrée de jeu, certaines personnes pourraient vouloir l’utiliser.
Je souhaite ajouter que même si la fermeture de compte ne nous a pas non plus été recommandée par notre institution, certaines personnes ont choisi ou choisiront cette solution. Nous avons aussi vérifié. Ces changements sont gratuits dans la majorité des grandes institutions financières (à moins que le compte ne soit ouvert depuis moins de 90 jours).
Les personnes qui choisiront de procéder à un changement de compte et qui se verront imposer des frais sont invitées à entrer le tout dans leur compte de dépenses Logibec à partir du 1er février. Pour cela, vous devrez fournir une preuve de facturation, et sélectionner la description « Frais Chq Compte Bq » dans le menu.
En terminant, il va sans dire qu’en tant qu’établissement, nous devons faire mieux pour nous assurer qu’un tel événement ne se reproduise plus.
Sur le plan individuel, je nous rappelle que nous avons toutes et tous une responsabilité de signaler sans délai, aux personnes désignées, toute situation de bris de confidentialité, et ce, même en cas de doute. J’insiste sur ce point.
Au CCSMTL, nos processus pour déclarer ce type d’incident sont clairs et bien expliqués sur l’extranet.
Cet événement nous amène aussi à réfléchir à l’utilisation sécuritaire que nous faisons des données auxquelles nous avons accès dans le cadre de nos fonctions.
Des messages de sensibilisation sont diffusés régulièrement. Cette sensibilisation sera accentuée dans les prochaines semaines.
Merci de votre compréhension
