À la suite d\’une \”attaque informatique\” chez un fournisseur de Postes-Canada (tierce partie), des pirates se sont emparés des informations personnelles de 950 000 personnes ayant reçu des colis de 44 entreprises entre juillet 2016 et mars 2019.
Les informations compromises incluent les noms, adresses, numéros de téléphone et numéros de boîtes postales des victimes.
Cette situation met la lumière sur le partage des données personnelles des Canadiens avec des tierces parties, c\’est-à-dire des co-contractants ou des sous-contractants de Postes-Canada (ou de quiconque collecte directement des données et transfère celles-ci à des tiers) qui non seulement ont accès à ces données personnelles, mais comme en l\’espèce, les conservent suffisamment longtemps (sans raison légitime) pour pouvoir les perdre.
Le partage des données avec des tierces parties, auquel les usagers n\’ont aucun choix que de consentir, est trop souvent pris à la légère,
Les vulnérabilités de cyber-sécurité des tierces parties devraient engager la responsabilité personnelle de Poste-Canada (ou toute personne qui partage avec des tiers des données qui lui ont été confiées et que ce tiers subit une attaque informatique qui résulte en une perte de données).
En l\’espèce, il se peut même que le fournisseur en question est un acteur du secteur privé, ce qui attire l\’attention sur l\’échange de l\’information confidentielle des Canadiennes et des Canadiens qui s\’opère entre les sociétés d\’état (ex. Postes-Canada) et des sociétés du secteur privé. Ce partage est également pris à la légère plus souvent que non.
Nos lois sur la protection de la vie privée se séparent en lois applicables au secteur public et lois applicables au secteur privé, mais la réalité est telle que le public et le privé se chevauchent à plusieurs égards, et surtout dans des projets d\’envergure, tels que des applications de traçage par exemple.