Le 17 avril, un courriel a été envoyé par la Direction des finances de l’UdeM à près de 200 étudiants. Dans ce courriel, il était demandé à ces étudiants de vérifier le contenu des informations les concernant dans la pièce jointe au courriel, c’est-à-dire leur nom, prénom, adresse postale et montant d’une bourse reçue le 15 avril.
Or, le document transmis ne contenait pas uniquement la fiche individuelle de chaque étudiant, mais plutôt une compilation de 345 fiches individuelles.
Après avoir soulevé le problème à la Direction des finances, ces mêmes étudiants ont reçu un message leur demandant de bien vouloir détruire le fichier en question, comptant sur la diligence et la bonne foi des personnes ayant reçu le message. La Direction des finances s’est également excusée pour cette erreur et pour les inconvénients que celle-ci pouvait entraîner.
Le 20 avril, le secrétaire général de l’UdeM, Alexandre Chabot, a indiqué dans une lettre d’excuses obtenue par Quartier Libre que l’envoi avait été interrompu dès que l’erreur avait été découverte, mais que 175 étudiants avaient tout de même reçu le courriel. M. Chabot a évoqué la possibilité, pour ces étudiants touchés, de recourir à la Commission d’accès à l’information du Québec pour prendre les mesures de protection nécessaires.
Comme le mentionne la lettre du secrétaire général, « une faille dans la confidentialité des renseignements personnels ne conduit pas nécessairement à une utilisation frauduleuse de ceux-ci ». Toutefois, elle crée un risque, car elle n’assure pas la protection raisonnablement attendue demandée par la politique de protection des renseignements personnels de l’UdeM.
La politique de protection des renseignements personnels de l’UdeM mentionne :
« Dans le cadre de leurs fonctions, les employés de l’Université de Montréal peuvent avoir accès à des renseignements personnels vous concernant. À leur égard, les employés de l’Université sont tenus à la confidentialité et doivent :
(…)
3. ne révéler aucun renseignement personnel dont ils auraient pris connaissance dans l’exercice de leurs fonctions à moins d’y être dûment autorisés ;
4. n’intégrer ces renseignements que dans les seuls dossiers prévus pour l’accomplissement des mandats qui leur sont confiés ;
5. conserver ces dossiers de sorte que seules les personnes autorisées puissent y avoir accès. »
Aussi, dans le cas qui nous concerne, l’Université n’a pas respecté sa propre politique, car elle a révélé à des tiers des informations personnelles concernant des individus de façon non nécessaire.
Deux hypothèses peuvent selon moi expliquer la violation de confidentialité. La première, et la plus fréquente, est celle de l’erreur humaine lors de l’envoi du fichier. La seconde, plus critiquable, est celle des directives expéditives qui privilégient le temps gagné plutôt que le respect de la politique de protection des renseignements personnels. Il est effectivement plus rapide d’envoyer un message groupé que d’en envoyer 175 personnalisés en s’assurant pour chacun d’eux que la fiche transmise est la bonne.
Pour aller plus loin
Le risque de vol d’identité relié à cette erreur est faible, mais existant. Les personnes qui ont reçu cette communication peuvent suivre les directives de la Commission d’accès à l’information du Québec en consultant le document suivant : lien.
