Mise à jour le 1er janvier 2012 Sécurité et confidentialité.

Mise à jour le 1er janvier 2012

Sécurité et Sécurité et confidentialitéconfidentialité

Sécurité et confidentialitéSécurité et confidentialité

• Sécurité des transactions bancairesSécurité des transactions bancaires

– Deux grandes préoccupations du milieu bancaire Deux grandes préoccupations du milieu bancaire

• Usurpation d’identité;Usurpation d’identité;

• Blanchiment de fonds.Blanchiment de fonds.

– Usurpation d’identitéUsurpation d’identité

• Assumer et utiliser l’identité d’une autre personneAssumer et utiliser l’identité d’une autre personne

– Dans le but de soutirer des fonds ou crédits.Dans le but de soutirer des fonds ou crédits.

– Blanchiment de fondsBlanchiment de fonds• Processus consistant à dissimuler la source de Processus consistant à dissimuler la source de

l'argent ou des biens tirés d'activités criminelles.l'argent ou des biens tirés d'activités criminelles.– Compromet l'intégrité des institutions et des Compromet l'intégrité des institutions et des

systèmes financiers légitimes;systèmes financiers légitimes;

– Procure au crime organisé les fonds nécessaires pour Procure au crime organisé les fonds nécessaires pour entreprendre d'autres activités criminelles.entreprendre d'autres activités criminelles.Source:Source:

http://www.cba.ca/fr/ViewDocument.asp?fl=4&sl=268&tl=276&docid=690http://www.cba.ca/fr/ViewDocument.asp?fl=4&sl=268&tl=276&docid=690





– Différentes façons d’usurper l’identité d’une autre Différentes façons d’usurper l’identité d’une autre personnepersonne

• Hameçonnage (Hameçonnage (phishingphishing))

– Terme général qui définit la création et l'utilisation, Terme général qui définit la création et l'utilisation, par des criminels, de courriels et de sites Web par des criminels, de courriels et de sites Web d'apparence officielle « représentant » des d'apparence officielle « représentant » des entreprises, des établissements financiers et des entreprises, des établissements financiers et des organismes gouvernementaux légitimes.organismes gouvernementaux légitimes.

– Selon l’APWG (Anti-Phishing Working Group) – au Selon l’APWG (Anti-Phishing Working Group) – au mois d’août 2006:mois d’août 2006:

» 26 150 signalements;26 150 signalements;

» 10 091 sites Web différents d’hameçonnage à 10 091 sites Web différents d’hameçonnage à travers le monde;travers le monde;

» 148 marques d’entreprises différentes ont été 148 marques d’entreprises différentes ont été « détournées »;« détournées »;

» 92, 6% de l’ensemble des attaques perpétrés 92, 6% de l’ensemble des attaques perpétrés contre le secteur financier.contre le secteur financier.

Source:Source:Rapport sur l’hameçonnage, Ministère de la Rapport sur l’hameçonnage, Ministère de la

Sécurité publique et de la Sécurité publique et de la Protection civile du CanadaProtection civile du Canada




• Hameçonnage (Hameçonnage (phishingphishing))

Source:Source:http://www.webrealite.com/forum/d-alerte-hameconnage-desjardins_19840.htmlhttp://www.webrealite.com/forum/d-alerte-hameconnage-desjardins_19840.html





• Escroqueries par téléphone Escroqueries par téléphone

– Fraudeurs se font passer pour des fonctionnaires, Fraudeurs se font passer pour des fonctionnaires, des enquêteurs ou des employés de compagnies, des enquêteurs ou des employés de compagnies, pour soutirer des renseignements personnelspour soutirer des renseignements personnels

– Selon PhoneBusters pour lSelon PhoneBusters pour l’année’année 2006: 2006:

» Au Québec, il y a eu 2040 victimes et des Au Québec, il y a eu 2040 victimes et des pertes 4,674,504.44$;pertes 4,674,504.44$;

» En Ontario, il y a eu 3353 victimes et des En Ontario, il y a eu 3353 victimes et des pertes de 7,584,188.86$ ;pertes de 7,584,188.86$ ;

» Au Cananda, 7778 victimes et des pertes de Au Cananda, 7778 victimes et des pertes de 16,283,776.91$.16,283,776.91$.

Source:Source:http://www.phonebusters.com/francais/statistics_E06.htmlhttp://www.phonebusters.com/francais/statistics_E06.html





• Interception électroniqueInterception électronique

– Fraudeurs peuvent placer des appareils d’écoute Fraudeurs peuvent placer des appareils d’écoute entre un terminal de validation de cartes de crédit et entre un terminal de validation de cartes de crédit et le réseau de communications pour capter les le réseau de communications pour capter les numéros de carte de crédit et les mots de passenuméros de carte de crédit et les mots de passe





• Piratage informatique (Piratage informatique (hackinghacking) – spyware, ) – spyware, malwaremalware

• Fouille de poubelle (!)Fouille de poubelle (!)


http://images.google.ca/imgres?imgurl=http://computers.livedoor.com/livedoor/soft/st-rev/Konfabulator/Konfabulator011.jpg&imgrefurl=http://computers.livedoor.com/series_detail%3Fid%3D3997&h=148&w=191&sz=7&hl=en&start=3&tbnid=-BdNVc02KJ1T6M:&tbnh=80&tbnw=103&prev=/images%3Fq%3Dwaste%2Bbasket%2BWindows%26svnum%3D10%26hl%3Den%26rls%3DGGLD,GGLD:2005-17,GGLD:en%26sa%3DN



– Technologies pour contrer le vol de renseignement Technologies pour contrer le vol de renseignement

• Anti-hameçonnageAnti-hameçonnage

– Filtres ajoutés aux fureteurs d’internetFiltres ajoutés aux fureteurs d’internet

– Utilise les techniques ou une combinaison des Utilise les techniques ou une combinaison des techniques:techniques:

» Signalement des usagers;Signalement des usagers;

» Vérification manuelle;Vérification manuelle;

» Heuristique basée sur la proximité des noms de Heuristique basée sur la proximité des noms de sites;sites;

» Heuristique basée sur le lieu géographique des Heuristique basée sur le lieu géographique des sites;sites;

» Heuristique basée sur l’historique des sites déjà Heuristique basée sur l’historique des sites déjà visités par l’utilisateur;visités par l’utilisateur;

» Liste blanche des sites acceptables;Liste blanche des sites acceptables;

» Liste noire des sites suspects.Liste noire des sites suspects.

Source:Source:Carnegie Mellon University, http://www.cylab.cmu.edu/default.aspx?id=2255Carnegie Mellon University, http://www.cylab.cmu.edu/default.aspx?id=2255




– Technologies pour contrer le vol d’identité Technologies pour contrer le vol d’identité

• Anti-hameçonnageAnti-hameçonnage

– Filtres ajoutés aux fureteurs d’internetFiltres ajoutés aux fureteurs d’internet

– Utilise les techniques ou une combinaison des Utilise les techniques ou une combinaison des techniques:techniques:

» Signalement des usagers;Signalement des usagers;

» Vérification manuelle;Vérification manuelle;

» Heuristique basée sur la proximité des noms de Heuristique basée sur la proximité des noms de sites;sites;

» Heuristique basée sur le lieu géographique des Heuristique basée sur le lieu géographique des sites;sites;

» Heuristique basée sur l’historique des sites déjà Heuristique basée sur l’historique des sites déjà visités par l’utilisateur;visités par l’utilisateur;

» Liste blanche des sites acceptables;Liste blanche des sites acceptables;

» Liste noire des sites suspects.Liste noire des sites suspects.

Source:Source:Carnegie Mellon University, http://www.cylab.cmu.edu/default.aspx?id=2255Carnegie Mellon University, http://www.cylab.cmu.edu/default.aspx?id=2255




– Technologies pour contrer le vol d’identitéTechnologies pour contrer le vol d’identité

• Identification biométriqueIdentification biométrique

– Basée sur l’unicité des traits physiques;Basée sur l’unicité des traits physiques;

– Il s’agit du traitement statistique des variations de Il s’agit du traitement statistique des variations de ces traits physiques.ces traits physiques.

• Traits physiques exploitésTraits physiques exploités

» Empreintes digitales;Empreintes digitales;

» Empreintes palmairesEmpreintes palmaires

» Signal vocal;Signal vocal;

» Disposition faciale;Disposition faciale;

» Rétine , l’iris, écriture;Rétine , l’iris, écriture;

» Géométrie des mains.Géométrie des mains.





• Principe de l’identification biométriquePrincipe de l’identification biométrique

Source:Source:http://fr.wikipedia.org/wiki/Biom%C3%A9triehttp://fr.wikipedia.org/wiki/Biom%C3%A9trie


http://fr.wikipedia.org/wiki/Image:Biometrie_sch%C3%A9ma_2.svg




• Empreintes digitalesEmpreintes digitales

– Capture: Numérisateur optiqueCapture: Numérisateur optique

» Capteur de luminosité par CCD (Charge Capteur de luminosité par CCD (Charge Coupled Device) semblable à celui des caméras Coupled Device) semblable à celui des caméras numériques;numériques;

» Empreinte capturée est une image inversée: Empreinte capturée est une image inversée: couleurs foncées représentent des crêtes alors couleurs foncées représentent des crêtes alors les couleurs pâles représentent les vallées;les couleurs pâles représentent les vallées;

» Numérisateur vérifie l’obscurité de l’image Numérisateur vérifie l’obscurité de l’image obtenue – rejet de l’image si elle est trop obtenue – rejet de l’image si elle est trop foncée ou trop pâle;foncée ou trop pâle;

» Numérisateur vérifie la définition de l’image Numérisateur vérifie la définition de l’image obtenue – une bonne définition est obtenue s’il obtenue – une bonne définition est obtenue s’il y a alternance de couleurs foncées et de y a alternance de couleurs foncées et de couleurs pâles.couleurs pâles.Source:Source:

http://computer.howstuffworks.com/fingerprint-scanner.htmhttp://computer.howstuffworks.com/fingerprint-scanner.htm

Il existe également un Il existe également un autre méthoide courante autre méthoide courante de capture: Numérisateur de capture: Numérisateur par capacitépar capacité


http://en.wikipedia.org/wiki/Image:Fingerprintonpaper.jpg





– Traitement: Identification des minutiesTraitement: Identification des minuties

» Bifurcation, île, noyau, delta, lac, fin de ligne, Bifurcation, île, noyau, delta, lac, fin de ligne, etc.;etc.;

» Mesurer la position Mesurer la position relativerelative de ces minuties sur de ces minuties sur le doigt; le doigt;

Source:Source:http://perso.orange.fr/fingerchip/biometrics/types/fingerprint_algo.htmhttp://perso.orange.fr/fingerchip/biometrics/types/fingerprint_algo.htm






– Fichier de signature: Fichier de signature: AucuneAucune image n’est stockée image n’est stockée pour fin de comparaisonpour fin de comparaison

» Positions et directions des minuties;Positions et directions des minuties;

» Distances entre les minuties;Distances entre les minuties;

» Nombre de lignes entre minuties d’une région Nombre de lignes entre minuties d’une région donnée;donnée;

» Etc.Etc.

– Transformation de ces informations à l’aide d’une Transformation de ces informations à l’aide d’une fonction de hachage unidirectionnelle fonction de hachage unidirectionnelle cryptographiquecryptographique

– Résultat: Empreinte digitale Résultat: Empreinte digitale nombre numérique nombre numérique

– Enregistrer le nombre + identité de la personne dans Enregistrer le nombre + identité de la personne dans une base de donnéesune base de données







– Comparaison: Fouille dans une base de donnComparaison: Fouille dans une base de donnéesées

» On estime à 6x10On estime à 6x10-8-8 la probabilité que 12 la probabilité que 12 minuties parmi 36 correspondent, mais de minuties parmi 36 correspondent, mais de nombreuses estimations existent... ;nombreuses estimations existent... ;

» Empreinte digitale est représentée par un Empreinte digitale est représentée par un nombre généré à l’aide d’une fonction de nombre généré à l’aide d’une fonction de hachage + identité de la personne;hachage + identité de la personne;

» Il suffit de trouver, dans la base de données, la Il suffit de trouver, dans la base de données, la valeur recherchée pour obtenir l’identité de la valeur recherchée pour obtenir l’identité de la personne.personne.



http://www.secugen.com/products/sdk.htm




• Anti-Spyware, -malwareAnti-Spyware, -malware

– Spyware et malwareSpyware et malware

» Utilise un ensemble de techniques pour soutirer Utilise un ensemble de techniques pour soutirer du renseignement personnel des internautes – du renseignement personnel des internautes – enregistrement des séquences de touches du enregistrement des séquences de touches du clavier (keystroke logging), fréquence des clavier (keystroke logging), fréquence des sites visités (tracking), des mots de passe, etc;sites visités (tracking), des mots de passe, etc;

» Nous excluons ici les adware qui vous Nous excluons ici les adware qui vous proposent de la publicité non sollicitée;proposent de la publicité non sollicitée;

– Techniques anti-spyware, anti-malwareTechniques anti-spyware, anti-malware

» Détection et élimination basée sur le balayage Détection et élimination basée sur le balayage de la signature ou caractéristiques du spyware de la signature ou caractéristiques du spyware et malware;et malware;

» Blocage au de la transmission des données.Blocage au de la transmission des données.

L’ingénierie inverse L’ingénierie inverse « reverse « reverse engineering » est engineering » est nécessaire pour nécessaire pour découvrir la découvrir la signature et les signature et les caractéristiques. Ce caractéristiques. Ce travail est parfois travail est parfois manuel car certains manuel car certains spyware et malware spyware et malware contiennent du code contiennent du code de programmation de programmation d’auto-défense (anti-d’auto-défense (anti-reverse reverse engineering).engineering). Mise à jour le 1er janvier 2012




• Anti-Spyware, -malwareAnti-Spyware, -malware

– Techniques anti-spyware, anti-malwareTechniques anti-spyware, anti-malware

» Contrôle par liste d’accès au noyau du système Contrôle par liste d’accès au noyau du système d’exploitation;d’exploitation;

» Noyau (kernel) est un ensemble de routines de Noyau (kernel) est un ensemble de routines de base permettant lw système d’exploitation (ex: base permettant lw système d’exploitation (ex: Windows, Linux, Mac, etc.) d’offrir les services Windows, Linux, Mac, etc.) d’offrir les services de haut niveau aux applications;de haut niveau aux applications;

» Les spyware et les malware désirent soutirer Les spyware et les malware désirent soutirer de l’information personnelle des utilisateurs, de l’information personnelle des utilisateurs, l’idée est de maintenir une liste d’accès gérée l’idée est de maintenir une liste d’accès gérée par le système d’exploitation lui-même;par le système d’exploitation lui-même;

» L’accès à ces données est accordé par le L’accès à ces données est accordé par le système avec l’autorisation des utilisateurs.système avec l’autorisation des utilisateurs.

Source:Source:Chow, Hui, Chow, Hui, A generic anti-spyware solution by access control list at kernel levelChow, Hui, Chow, Hui, A generic anti-spyware solution by access control list at kernel level





• Fouille poubelle Fouille poubelle

– Poubelle physiquePoubelle physique

» Solution: déchiquetageSolution: déchiquetage

» On retrouve souvent notre nom, notre adresse, On retrouve souvent notre nom, notre adresse, notre téléphone, notre compte client dans des notre téléphone, notre compte client dans des documents jetés;documents jetés;

» Parfois, même notre NAS, numéro de carte de Parfois, même notre NAS, numéro de carte de crédit!crédit!

Source:Source:Chow, Hui, Chow, Hui, A generic anti-spyware solution by access control list at kernel levelChow, Hui, Chow, Hui, A generic anti-spyware solution by access control list at kernel level


http://images.google.ca/imgres?imgurl=http://www.ocf.berkeley.edu/~rleung/shredder.jpg&imgrefurl=http://www.ocf.berkeley.edu/~rleung/&h=150&w=150&sz=4&hl=en&start=19&tbnid=Uik1U8rfEeG_RM:&tbnh=96&tbnw=96&prev=/images%3Fq%3Dshredder%26svnum%3D10%26hl%3Den%26rls%3DGGLD,GGLD:2005-17,GGLD:en





• Fouille poubelleFouille poubelle

– Poubelle informatiquePoubelle informatique

» Solution: déchiquetage par logicielsSolution: déchiquetage par logiciels

» Fichiers déplacés dans la poubelle n’est pas Fichiers déplacés dans la poubelle n’est pas réellement effacés;réellement effacés;

» Même lorsque effacés, les fichiers demeurent Même lorsque effacés, les fichiers demeurent enregistrés sur le disque;enregistrés sur le disque;

» Même effacés depuis longtemps, la probabilité Même effacés depuis longtemps, la probabilité que des parties du fichiers demeurent sur le que des parties du fichiers demeurent sur le disque est grande!disque est grande!

» Même le soi-disant “formatage” du disque Même le soi-disant “formatage” du disque n’élimine pas nécessairement les fichiers sur le n’élimine pas nécessairement les fichiers sur le disque!!disque!!

– Il existe un standard pour l’élimination des fichiers Il existe un standard pour l’élimination des fichiers informatique – DoD 5220.22-M de la défense informatique – DoD 5220.22-M de la défense nationale américaine.nationale américaine.

http://en.wikipedia.org/wiki/Data_erasure




• Fouille poubelleFouille poubelle

– Poubelle informatiquePoubelle informatique

» Recommandations contenues dans DoD Recommandations contenues dans DoD 5220.22-M de la défense nationale américaine:5220.22-M de la défense nationale américaine:

» Écrire par dessus chaque caractère du fichier à Écrire par dessus chaque caractère du fichier à effacer par un caractère, ensuite le effacer par un caractère, ensuite le complément de ce caractère (en terme de complément de ce caractère (en terme de bits), ensuite par un nombre pseudo-aléatoire;bits), ensuite par un nombre pseudo-aléatoire;

» Le NSA (National Security Agency des É.U.) Le NSA (National Security Agency des É.U.) recommande au moins 7 répétitions de ces recommande au moins 7 répétitions de ces opérations par fichier à effacer.opérations par fichier à effacer.

Source:Source:http://www.dtic.mil/whs/directives/corres/html/522022m.htmhttp://www.dtic.mil/whs/directives/corres/html/522022m.htm




– Blanchiment de fondsBlanchiment de fonds

• Techniques:Techniques:

– Le placement de fonds, qui consiste à introduire les Le placement de fonds, qui consiste à introduire les produits de la criminalité dans le système financier;produits de la criminalité dans le système financier;

– La dispersion de fonds, qui consiste à convertir les La dispersion de fonds, qui consiste à convertir les produits de la criminalité en une autre forme et à produits de la criminalité en une autre forme et à créer un enchevêtrement d'opérations financières;créer un enchevêtrement d'opérations financières;

» Par exemple, lPar exemple, l l'achat et la vente d'actions, de l'achat et la vente d'actions, de biens et de propriétés;biens et de propriétés;

– L'intégration, qui consiste à réintroduire les L'intégration, qui consiste à réintroduire les bénéfices d'origine criminelle dans l'économie afin bénéfices d'origine criminelle dans l'économie afin de donner aux fonds une apparence légitime. de donner aux fonds une apparence légitime.

Source:Source:http://www.fintrac.gc.ca/fintrac-canafe/definitions/money_f.asphttp://www.fintrac.gc.ca/fintrac-canafe/definitions/money_f.asp





• Pourquoi faut-il contrer le blanchiment de fonds?Pourquoi faut-il contrer le blanchiment de fonds?

– Le blanchiment de fonds est un moyen pour les Le blanchiment de fonds est un moyen pour les criminels de soutenir leurs activités illégales;criminels de soutenir leurs activités illégales;

– Instabilise les institutions bancaires et par extension Instabilise les institutions bancaires et par extension l’économie du pays;l’économie du pays;

» Ces avoirs sont le fruit de la criminalité et donc Ces avoirs sont le fruit de la criminalité et donc non légitime;non légitime;

» Ce n’est pas l’accumulation par la création de Ce n’est pas l’accumulation par la création de richesse.richesse.

– Le blanchiment de fonds mène souvent à la Le blanchiment de fonds mène souvent à la corruption.corruption.

Source:Source:http://www.fintrac.gc.ca/fintrac-canafe/definitions/money_f.asphttp://www.fintrac.gc.ca/fintrac-canafe/definitions/money_f.asp





• Lutte contre le blanchiment de fondsLutte contre le blanchiment de fonds

– CANAFE (Centre d’analyse des opérations et CANAFE (Centre d’analyse des opérations et déclarations financières du Canada)déclarations financières du Canada)

– De concert avec la Banque du Canada, le ministère De concert avec la Banque du Canada, le ministère des finances, l’association canadienne de paiement des finances, l’association canadienne de paiement et l’association des banquiers canadiens:et l’association des banquiers canadiens:

» Identifier les biens appartenant à des groupes Identifier les biens appartenant à des groupes terroristes;terroristes;

» Analyser des opérations d’importance en Analyser des opérations d’importance en espèces;espèces;

» Analyser les transferts de fonds (télévirement);Analyser les transferts de fonds (télévirement);

» Analyser les mouvements transfrontaliers des Analyser les mouvements transfrontaliers des effets.effets.

Source:Source:http://www.fintrac.gc.ca/intro_f.asphttp://www.fintrac.gc.ca/intro_f.asp





• ExemplesExemples

– Kenneth W. Salomon Investment Fund soupçonné Kenneth W. Salomon Investment Fund soupçonné de blanchir ~ milliard dollars de blanchir ~ milliard dollars (http://lapresseaffaires.cyberpresse.ca/economie/200(http://lapresseaffaires.cyberpresse.ca/economie/200901/06/01-681054-qui-se-cache-901/06/01-681054-qui-se-cache-derrierekennethfund.php) derrierekennethfund.php)

– Hells Angels fraudent en Bourse Hells Angels fraudent en Bourse (http://lapresseaffaires.cyberpresse.ca/economie/200(http://lapresseaffaires.cyberpresse.ca/economie/200901/06/01-676657-les-hells-fraudent-aussi-en-901/06/01-676657-les-hells-fraudent-aussi-en-bourse.php) bourse.php)

– Ex-avocat accusé d’avoir blanchi des millions de Ex-avocat accusé d’avoir blanchi des millions de dollars dollars (http://fr.canoe.ca/infos/societe/archives/2008/07/20(http://fr.canoe.ca/infos/societe/archives/2008/07/20080708-053301.html)080708-053301.html)

– Regard sur le blanchiment d’argent Regard sur le blanchiment d’argent (http://www.canafe.gc.ca/publications/watch-(http://www.canafe.gc.ca/publications/watch-regard/2011-06-fra.asp) regard/2011-06-fra.asp)





• Lutte contre le blanchiment de fondsLutte contre le blanchiment de fonds

– CANAFE communique les résultats d’analyse aux CANAFE communique les résultats d’analyse aux organismes opérant dans le système de justice;organismes opérant dans le système de justice;

» Au Canada, la principale loi pour contrer le Au Canada, la principale loi pour contrer le blanchiment de fonds est: blanchiment de fonds est: Loi sur le recyclage Loi sur le recyclage des produits de la criminalité et le financement des produits de la criminalité et le financement des activités terroristesdes activités terroristes (http://lois.justice.gc.ca/fr/P-24.501/index.html)(http://lois.justice.gc.ca/fr/P-24.501/index.html)

– Il communique également ces résultats aux Il communique également ces résultats aux organismes chargés d'assurer l'application des lois organismes chargés d'assurer l'application des lois et aux services de renseignements canadiens.et aux services de renseignements canadiens.

Source:Source:http://www.fintrac.gc.ca/intro_f.asphttp://www.fintrac.gc.ca/intro_f.asp



• Confidentialité des renseignements personnelsConfidentialité des renseignements personnels

– Loi sur la protection des renseignements Loi sur la protection des renseignements personnels et les documents électroniques du personnels et les documents électroniques du CanadaCanada

• Les organisations du secteur privéLes organisations du secteur privé

– Porte en fait sur de saines pratiques de gestion des Porte en fait sur de saines pratiques de gestion des renseignements personnelsrenseignements personnels

– Les entreprises visées par cette loi fédérale:Les entreprises visées par cette loi fédérale:

» le transport inter-provincial ou international par le transport inter-provincial ou international par voie terrestre ou par eau; voie terrestre ou par eau;

» les aéroports, les aéronefs ou les lignes de les aéroports, les aéronefs ou les lignes de transport aérien, les télécommunications; transport aérien, les télécommunications;

» les stations de radiodiffusion et de les stations de radiodiffusion et de télédiffusion; télédiffusion;

» les banques, les centrales nucléaires; les banques, les centrales nucléaires;

» les entreprises de forage en mer.les entreprises de forage en mer.

» Etc.Etc.

Source:Source:http://www.privcom.gc.ca/information/guide_f.asp#002http://www.privcom.gc.ca/information/guide_f.asp#002






• DéfinitionDéfinition

– Renseignement personnel: désigne un Renseignement personnel: désigne un renseignement sur un particulier identifiable, renseignement sur un particulier identifiable, enregistré sous quelque forme que se soit.enregistré sous quelque forme que se soit.

– Un particulier est identifiable aux fins de la présente Un particulier est identifiable aux fins de la présente loi si des renseignementsloi si des renseignements

» a) comprennent son nom,a) comprennent son nom,

» b) rendent évidente son identité, ou b) rendent évidente son identité, ou

» c) ne comprennent pas son nom ou ne rendent c) ne comprennent pas son nom ou ne rendent pas évidente son identité mais sont pas évidente son identité mais sont susceptibles dans les circonstances d’être susceptibles dans les circonstances d’être adjoints à d’autres renseignements qui adjoints à d’autres renseignements qui comprennent son nom ou rendent son identité comprennent son nom ou rendent son identité évidente.évidente.

Source:Source:http://www.gnb.ca/acts/lois/p-19-1.htmhttp://www.gnb.ca/acts/lois/p-19-1.htm





• Cette loi ne régit pas:Cette loi ne régit pas:

– La collecte, l'utilisation ou la communication de La collecte, l'utilisation ou la communication de renseignements personnels par des institutions renseignements personnels par des institutions fédérales auxquelles s'applique la Loi sur la fédérales auxquelles s'applique la Loi sur la protection des renseignements personnels. protection des renseignements personnels.

– Les gouvernements provinciaux et territoriaux et Les gouvernements provinciaux et territoriaux et leurs mandataires; leurs mandataires;

– Le nom, le titre, l'adresse ou le numéro de téléphone Le nom, le titre, l'adresse ou le numéro de téléphone au travail d'un employé; au travail d'un employé;

– La collecte, l'utilisation ou la communication de La collecte, l'utilisation ou la communication de renseignements personnels par une personne à des renseignements personnels par une personne à des fins strictement personnelles;fins strictement personnelles;





• Cette loi ne régit pas:Cette loi ne régit pas:

– La collecte, l'utilisation et la communication de La collecte, l'utilisation et la communication de renseignements personnels par une organisation à renseignements personnels par une organisation à des fins strictement journalistiques, artistiques ou des fins strictement journalistiques, artistiques ou littéraires; littéraires;

– Les renseignements d'employé(e)s — à l'exception Les renseignements d'employé(e)s — à l'exception du secteur assujetti à la réglementation fédérale.du secteur assujetti à la réglementation fédérale.







• Les entreprises doivent respecter les 10 principes Les entreprises doivent respecter les 10 principes suivantes:suivantes:

– la responsabilité la responsabilité

– la détermination des fins de la collecte des la détermination des fins de la collecte des renseignements renseignements

– le consentement le consentement

– la limitation de la collecte la limitation de la collecte

– la limitation de l'utilisation, de la communication et la limitation de l'utilisation, de la communication et de la conservation de la conservation

– l'exactitude l'exactitude

– les mesures de sécurité les mesures de sécurité

– la transparence la transparence

– l'accès aux renseignements personnels l'accès aux renseignements personnels

– la possibilité de porter plainte la possibilité de porter plainte






• Le commissaire à la protection de la vie privée Le commissaire à la protection de la vie privée continuera d’assurer la surveillance de l’application continuera d’assurer la surveillance de l’application de cette loi.de cette loi.

– C’est un haut fonctionnaire du Parlement;C’est un haut fonctionnaire du Parlement;

– Relève directement de la Chambre des Commune et Relève directement de la Chambre des Commune et du Sénat;du Sénat;

– reçoit des plaintes et enquête sur les allégations reçoit des plaintes et enquête sur les allégations

• Exemples de plainte:Exemples de plainte:– Un repas pris au restaurant est payé au moyen d’une Un repas pris au restaurant est payé au moyen d’une

carte de crédit. Le nom, le numéro de carte de crédit carte de crédit. Le nom, le numéro de carte de crédit et la date d’expiration de la carte apparaissent sur le et la date d’expiration de la carte apparaissent sur le reçu;reçu;

– Un locataire s’est plaint que le concierge de son Un locataire s’est plaint que le concierge de son immeuble d’habitation ait divulgué aux autres immeuble d’habitation ait divulgué aux autres locataires que son chèque pour le loyer était sans locataires que son chèque pour le loyer était sans provision. provision.

Source:Source:http://www.privcom.gc.ca/index_f.asphttp://www.privcom.gc.ca/index_f.asp





• Exemples de plainte:Exemples de plainte:

– La plaignante a eu l’occasion de consulter une La plaignante a eu l’occasion de consulter une conseillère par l’conseillère par l’entremise du programme d’aide aux entremise du programme d’aide aux employés de son travailemployés de son travail. Elle s’est plainte que . Elle s’est plainte que l’entreprise de counselling ait divulgué à son l’entreprise de counselling ait divulgué à son employeur, entre autres, des renseignements de employeur, entre autres, des renseignements de nature délicate la concernant et que ces nature délicate la concernant et que ces renseignements étaient inexacts;renseignements étaient inexacts;

– Un membre d’une association sans but lucratif a dû Un membre d’une association sans but lucratif a dû montrer, en plus de sa carte de membre, une montrer, en plus de sa carte de membre, une deuxième carte d’identité, lorsqu’il a voulu se deuxième carte d’identité, lorsqu’il a voulu se procurer des biens et des services auprès de procurer des biens et des services auprès de l’association.l’association.Source:Source:

http://www.privcom.gc.ca/index_f.asphttp://www.privcom.gc.ca/index_f.asp




– Application de ces 10 principes chez BMOApplication de ces 10 principes chez BMO• ResponsabilitéResponsabilité

– Tous les employés de BMO sont tenus à protéger les Tous les employés de BMO sont tenus à protéger les renseignements personnels de leurs clients;renseignements personnels de leurs clients;

– Il existe un chef de la confidentialité;Il existe un chef de la confidentialité;

• Collecte des renseignements personnelsCollecte des renseignements personnels

– Pour contrer les fraudes;Pour contrer les fraudes;

– Pour réaliser les opérations bancaires;Pour réaliser les opérations bancaires;

– Pour évaluation de votre crédit.Pour évaluation de votre crédit.

• ConsentementConsentement

– Demande d’autorisation obligatoire pour Demande d’autorisation obligatoire pour transmission des renseignements personnels; transmission des renseignements personnels; Source:Source:

http://www4.bmo.com/francais/http://www4.bmo.com/francais/




– Application de ces 10 principes chez BMOApplication de ces 10 principes chez BMO

• ConsentementConsentement

– Possibilité de mettre fin au consentement.Possibilité de mettre fin au consentement.

• Limitation de la collecteLimitation de la collecte

– Renseignements usuels +Renseignements usuels +

– NAS, état financier et état de santé.NAS, état financier et état de santé.

• Limitation de l’utilisation, de la communication et Limitation de l’utilisation, de la communication et de la conservationde la conservation

– Pas de vente de renseignements personnels;Pas de vente de renseignements personnels;

– Ne reçoit pas de renseignements personnels d’une Ne reçoit pas de renseignements personnels d’une autre entreprise sans preuve de consentement;autre entreprise sans preuve de consentement;

– Exception: vente d’entreprise de BMO.Exception: vente d’entreprise de BMO.Source:Source:http://www4.bmo.com/francais/http://www4.bmo.com/francais/





• ExactitudeExactitude

– S’engage à maintenir l’exactitude des S’engage à maintenir l’exactitude des renseignements personnels;renseignements personnels;

– Possibilité de correction auprès de BMO;Possibilité de correction auprès de BMO;

– Possibilité de porter plainte auprès de BMO.Possibilité de porter plainte auprès de BMO.

• Mesures de sécuritéMesures de sécurité

– Assure la sécurité matérielle, électronique et Assure la sécurité matérielle, électronique et organisationnelle des renseignements personnelle; organisationnelle des renseignements personnelle;

– Mot de passe et chiffrement;Mot de passe et chiffrement;

– Entente avec les institutions qui sont en relation Entente avec les institutions qui sont en relation avec BMO.avec BMO.

Source:Source:http://www4.bmo.com/francais/http://www4.bmo.com/francais/





• TransparenceTransparence

– Publication du code de confidentialité;Publication du code de confidentialité;

– Disponible au grand public.Disponible au grand public.

• Accès aux renseignements personnelsAccès aux renseignements personnels

– Droit aux clients de vérifier ses propres Droit aux clients de vérifier ses propres renseignements personnels;renseignements personnels;

• Possibilité de porter plainte à l’égard du non-Possibilité de porter plainte à l’égard du non-respect des principesrespect des principes

– Affichage du nom de la personne et de son adresse Affichage du nom de la personne et de son adresse d’affaire qui reçoit les plaintes.d’affaire qui reçoit les plaintes.

Source:Source:http://www4.bmo.com/francais/http://www4.bmo.com/francais/

Mise à jour le 1er janvier 2012 Sécurité et confidentialité.

Documents

Transcript of Mise à jour le 1er janvier 2012 Sécurité et confidentialité.