Il n’y a pas que les élèves et les employés qui sont restés dans le noir après la fuite massive de renseignements personnels au Collège Montmorency. La Commission d’accès à l’information (CAI) « n’a pas été informée » non plus. Le chien de garde des données personnelles a appris l’ampleur des dommages jeudi dans La Presse, et il se dit « très préoccupé ».
« La Commission déplore cette fuite de renseignements personnels qui touche la communauté d’étudiants, les membres du personnel et les enseignants au Collège Montmorency », dit la porte-parole de la Commission, Dominique D’Anjou.
Pour l’instant, rien ne force les organismes publics à aviser la Commission quand ils sont victimes d’une fuite de renseignements qui présente un « risque de préjudice sérieux ». Ils devront cependant le faire avec la nouvelle mouture de la loi dès le 22 septembre.
Malgré l’absence d’obligations, la Commission a reçu 91 déclarations de ce type en 2020-2021. La CAI invite d’ailleurs les organismes publics « à faire preuve de transparence » en l’avisant de tels incidents rapidement.
La Presse rapportait jeudi que des dizaines de milliers de fichiers du Collège avaient atterri dans le web caché (dark web), sur le site des pirates qui ont attaqué l’établissement le 11 mai. Les documents contiennent de nombreux renseignements médicaux et psychiatriques sur le personnel, des dossiers d’enquête internes et des renseignements identifiants d’employés et d’élèves, notamment.
En entrevue, le directeur général du Collège, Olivier Simard, explique que l’établissement a constaté le 26 août qu’une « grosse fuite » avait eu lieu. Le Collège a alors accordé un contrat à une entreprise de sécurité pour étudier les documents exfiltrés et contacter les personnes concernées.
« Il y a différentes problématiques quant à l’accès aux données, explique-t-il. Il faut ouvrir les fichiers qu’il faut prendre un à un… C’est une tâche colossale, je vous l’assure, il y a quand même beaucoup de données ! »
Silence du côté du ministre de la Cybersécurité
Si la Commission s’inquiète fortement de la situation au Collège, le ministre de la Cybersécurité et du Numérique, Éric Caire, s’est abstenu de tout commentaire, malgré nos demandes d’entrevue.
PHOTO GRAHAM HUGHES, ARCHIVES LA PRESSE CANADIENNE
Le ministre de la Cybersécurité et du Numérique Éric Caire n’a pas réagi à la fuite massive de données personnelles au Collège Montmorency.
Ses fonctionnaires sont pourtant directement impliqués dans les évènements. Ils ont même « surveillé la présence des données sur le web invisible », mentionne un porte-parole du Ministère, Laurent Bérubé.
Ont-ils eux-mêmes repéré la fuite massive que la direction a gardée secrète jusqu’à l’enquête de La Presse ? Ont-ils conseillé au Collège de taire ces informations ? Impossible de le dire.
Gestion de crise
Après la parution du reportage de La Presse jeudi, le Collège Montmorency a fait parvenir aux élèves un courriel reconnaissant pour la première fois que « la situation actuelle est très préoccupante ».
En entrevue, Olivier Simard assure que la direction a bien l’intention de « prendre soin et s’occuper » des élèves et des employés victimes de la fuite.
PHOTO TIRÉE DE FACEBOOK
Olivier Simard, directeur général du Collège Montmorency
Le directeur énumère plusieurs mesures prises pour corriger des lacunes soulevées en 2019 dans une lettre de la vérificatrice générale lors d’un audit confidentiel sur le Collège, exfiltrée parmi les données volées.
« Au moment de l’attaque, on était à la manœuvre pour livrer les recommandations », dit Olivier Simard.
Selon le directeur, le cégep a notamment mis en œuvre l’authentification multifacteurs et a revu son infrastructure de sauvegarde des informations, en plus de resserrer les normes pour les mots de passe.