|
Lettre
Ottawa, le 24 avril 2006
Envoyé par télécopieur et par courrier
électronique
Drew McArthur
Vice-président des Affaires générales
et agent de la conformité
TELUS Communications Inc.
3777, avenue Kingsway
5e étage
Burnaby (Colombie-Britannique)
V5H 3Z7
Monsieur,
La présente fait suite à la lettre de TELUS Communications
Inc. (TELUS) du 28 novembre 2005 en réponse à la demande
du personnel du Conseil réclamant que TELUS fournisse des détails
précis sur les présumés incidents de divulgation
de renseignements confidentiels sur les clients. Le personnel du Conseil
avait également demandé à TELUS de décrire
les mesures de protection en place au moment des présumés
incidents ainsi que les mesures supplémentaires qui ont été
ou qui seront mises en œuvre.
Toujours sur ce sujet, TELUS doit déposer auprès du Conseil,
dans les 20 jours suivant la réception de la présente lettre,
des réponses aux questions ci-jointes.
Je vous informe qu'une copie de la présente et de l'annexe 2
seront rendues publiques. Une version abrégée de l'annexe
1 sera également rendue publique.
Veuillez agréer, Monsieur, l'expression de mes sentiments distingués.
Le directeur, Consommation,
Direction générale des télécommunications,
Gerry Lylyk
c.c. Willie Grieve, TELUS
Renée Gauthier, CRTC
(819) 994-5174
p.j. : Annexe 1 : Questions à TELUS
Annexe 2 : Questions
à TELUS
Annexe 1
Questions à TELUS Communications Inc. (TELUS)
[1]
A. Détails de l'incident
1. Veuillez vous reporter à la page 2, troisième
paragraphe de votre lettre du 28 novembre 2005, dans lequel vous
dites que « l'imposteur » ##
.........................
##
2. Veuillez vous reporter à la page 2, dernier paragraphe,
et à la page 3, premier et deuxième paragraphes de votre
lettre du 28 novembre 2005, dans lesquels vous dites que ##
...................................
.”##
a) ##
.......................................................?
##
b) ##
...............................................................................................
##
B. Mesures de protection en place au moment de l'incident
3. Veuillez vous reporter à la page 3, sixième
paragraphe de votre lettre du 28 novembre 2005.
Expliquez comment TELUS Mobilité en est arrivée à
la conclusion qu'il n'y avait pas d'accès électronique extérieur
aux dossiers sur le téléphone cellulaire en question.
4. Veuillez fournir des copies des trois programmes d'apprentissage
électronique mentionnés à la page 3, dernier paragraphe
de votre lettre du 28 novembre 2005.
C. Comment TELUS Mobilité valide-t-elle l'identité
d'une personne qui demande des renseignements sur un abonné.
5. Confirmez que les mesures énumérées
sous cette rubrique correspondent bel et bien aux mesures en place actuellement.
Le cas échéant, veuillez indiquer si ces mesures existaient
au moment de l'incident allégué. Si les mesures sont différentes,
indiquez en quoi.
D. Les moyens par lesquels les renseignements confidentiels sur
les clients sont fournis.
6. Confirmez que les mesures énumérées
sous cette rubrique correspondent bel et bien aux mesures en place actuellement.
Le cas échéant, veuillez indiquer si ces mesures existaient
au moment de l'incident allégué. Si les mesures sont différentes,
indiquez en quoi.
E. Description des autres mesures de protection que TELUS Mobilité
a déjà prises et qu'elle entend prendre.
7. ##
........................ ##
8. Veuillez vous reporter à la page 5, du deuxième
au dernier paragraphe de votre lettre du 28 novembre 2005, dans
lesquels vous dites que TELUS ##
..............................................
##
9. ##
.................................................................................
##
Autre –
10. Si votre compagnie n'interdit pas aux RSC de donner des
renseignements confidentiels sur les clients, veuillez donner votre
opinion sur le bien-fondé de prendre ce genre de mesure. Si votre
compagnie interdit aux RSC de donner des renseignements confidentiels
sur les clients, veuillez fournir une copie des lignes directrices décrivant
cette procédure.
11. Prenons le cas d'une personne qui se présente comme
un employé de la compagnie ou un agent de la compagnie avant
de demander des renseignements confidentiels à un RSC.
a) Décrivez les procédures en place au moment
où le présumé incident s'est produit, qui permettaient
aux RSC de se protéger contre quelqu'un qui avait prétendu
être un employé de la compagnie ou un agent de la compagnie.
b) Décrivez les procédures en place qui permettent
aux RSC de se protéger contre quelqu'un qui prétend
être un employé de la compagnie ou un agent de la compagnie.
c) Décrire les circonstances, avant et depuis le présumé
incident, dans lesquelles les RSC sont tenus de revalider l'identité
d'un client et ce que celà implique.
d) Si les RSC se fient sur les renseignements fournis par le
service Afficheur, indiquez si cette méthode d'identification
peut être inexacte et donc non fiable.
12. Dans le numéro du 28 novembre 2005 de la revue Maclean's,
on dit qu'il existe un logiciel qui permet à un appelant d'assumer
l'identité d'une autre personne en faisant s'afficher le numéro
de téléphone de cette personne, quelle que soit l'origine
réelle de l'appel. Veuillez indiquer si votre compagnie estime
cela possible. Si c'est possible, donnez votre opinion sur le bien-fondé
de se fier aux renseignements affichés pour valider l'identité
d'un client.
13. Décrivez les mesures en place pour protéger les
utilisateurs contre un accès électronique non autorisé
aux systèmes de technologie de l'information de votre compagnie
(bases de données internes, réseaux de communication, interfaces
clients sur le Web, etc.) au moment du présumé incident.
Indiquez les changements apportés aux mesures de protection à
la suite du présumé incident. 14. Veuillez
expliquer pourquoi les mesures de protection en place contre les accès
électroniques non autorisés sont jugées appropriées.
Incluez dans votre réponse une description de ce que votre compagnie :
a) a fait, et b) fait de façon continue afin de vérifier
si les mesures sont suffisantes pour assurer une protection adéquate
contre les nouvelles méthodes d'accès électronique
non autorisé. 15. Pour chaque renseignement identificateur
acceptable requis pour valider l'identité d'un client, et qui figure
au tableau de l'annexe 2, indiquez dans quelle mesure les renseignements
sont publics. Par exemple, le nom, l'adresse et les codes postaux peuvent
être facilement obtenus sur Internet. En outre, l'article de la
revue Maclean's du 21 novembre 2005 indiquait que la date de naissance
du Commissaire à la protection de la vie privée du Canada
avait été trouvée à Montréal dans un
acte de propriété et des documents hypothécaires
publics. Dans la mesure où les renseignements identificateurs sont
publics, expliquez et justifiez le bien-fondé d'utiliser ces renseignements
pour valider l'identité d'un appelant. 16. Veuillez indiquer
si vous estimez que les clients devraient pouvoir demander que les renseignements
confidentiels les concernant ne soient pas divulgués par exemple
au téléphone, par télécopieur ou par des méthodes
particulières. 17. En dehors de ce qui est mentionné
dans les autres questions, depuis le présumé incident, votre
compagnie ou toute autre tierce partie engagée par votre compagnie
a-t-elle mené des enquêtes, procédé à
des appels de client mystère, fait des vérifications, des
rapports, etc. liés à l'accessibilité aux renseignements
confidentiels sur les clients? Dans l'affirmative, veuillez fournir tous
les détails sur ce qui a été fait et quand, y compris
sur le mandat, ainsi que les résultats obtenus, les analyses et
les recommandations, le cas échéant. Veuillez fournir des
copies de tous les rapports documentaires connexes. 18. Si votre
compagnie a entrepris certaines des activités mentionnées
à la question 17, quels changements, le cas échéant,
ont été apportés aux processus et aux pratiques de
la compagnie? 19. Veuillez fournir les politiques et les procédures
écrites concernant la confidentialité des renseignements
sur les clients qui : a) étaient en vigueur au moment du présumé
incident, et b) qui sont actuellement en vigueur.
20. Le 10 février 2006, la Federal Communications
Commission (FCC) a amorcé une instance, assortie d'un préavis
de projet de réglementation (Notice of Proposed Rulemaking) [2]
, pour examiner si des mesures de sécurité supplémentaires
pourraient empêcher la divulgation non autorisée par les
compagnies de télécommunication de renseignements sensibles
sur leurs clients. La FCC demande entre autre des observations sur la
faisabilité et le bien-fondé : 1) d'obliger les entreprises
à adopter un système de mot de passe établi par
les clients pour protéger l'accès à leurs renseignements
confidentiels, 2) d'obliger les entreprises à établir
des pistes de vérification qui indiquent chaque fois que quelqu'un
a accès aux dossiers d'un client, si des renseignements ont été
communiqués et à qui, 3) de coder les données stockées
par l'entreprise, 4) de supprimer les renseignements confidentiels sur
les clients lorsqu'ils ne sont plus nécessaires et dans ce cas,
déterminer combien de temps ils devraient être conservés,
5) d'envoyer un préavis avant d'acquiescer à certains
types de demandes de divulgation de renseignements confidentiels sur
les clients, 6) d'avertir les clients de la divulgation de renseignements
confidentiels les concernant, et 7) d'obliger les entreprises à
autoriser les clients à placer un ordre d'interdiction absolue
de divulgation de leurs renseignements confidentiels.
Si votre compagnie n'a pas pour politique a) d'exiger de tous les clients
de protéger leur compte par un mot de passe, b) d'établir
une piste de vérification indiquant chaque fois que quelqu'un
a accès aux dossiers d'un client, si des renseignements ont été
communiqués et à qui, c) de coder les données stockées,
d) de supprimer les renseignements confidentiels sur les clients lorsqu'ils
ne sont plus nécessaires, e) d'informer les clients si une demande
de divulgation des renseignements confidentiels les concernant a été
reçue, f) d'informer les clients après la divulgation
de renseignements confidentiels et g) de permettre aux clients de placer
un ordre d'interdiction absolue de divulgation de leurs renseignements
confidentiels, veuillez donner votre opinion sur la faisabilité
et le bien-fondé d'établir une telle politique pour chaque
article de a) à g).
21. En ce qui concerne d) à la question 20 ci-dessus,
énumérez par article les périodes pendant lesquelles
les renseignements confidentiels sur les clients sont conservés
par la compagnie.
22. Si votre compagnie n'a pas pour politique d'informer les
clients de la modification des renseignements sur leur compte, veuillez
donner votre opinion sur la faisabilité et le bien fondé
d'établir une telle politique.
23. Si votre compagnie n'a pas pour politique d'encourager les
clients à protéger leur compte par un mot de passe, veuillez
donner votre opinion sur la faisabilité et le bien fondé
d'établir une telle politique.
24. Si votre compagnie n'a pas pour politique d'informer les
clients d'une modification de leur mot de passe, veuillez donner votre
opinion sur la faisabilité et le bien fondé d'établir
une telle politique.
25. Si votre compagnie n'a pas pour politique d'imposer une
limite à la quantité des renseignements confidentiels
sur les clients, comme le nombre d'appels pour lesquels le détail
de l'appel est fourni, pouvant être distribués a) pendant
une session b) au total, donnez votre opinion sur le bien fondé
d'établir une telle politique.
26. Pour chaque type de renseignements confidentiels sur les
clients autorisé à être divulgué, indiquez
pourquoi chaque méthode (p. ex. courrier, télécopie,
etc.) choisie pour distribuer ces renseignements garantit qu'ils parviendront
en toute probabilité au bon client.
27. Si votre compagnie envoie par télécopieur
sur demande des copies de factures de clients, veuillez donner votre
opinion sur le bien fondé de prendre des mesures garantissant
qui ces renseignements sont envoyés uniquement à l'adresse
postale enregistrée.
28. Veuillez remplir le tableau de l'annexe 2.
[1] Pour faciliter les renvois,
les titres des rubriques sont ceux utilisés par TELUS dans
le rapport joint à sa lettre du 28 novembre 2005 au CRTC,
sauf pour la rubrique Autre.
[2] Commission fédérale
des communications, Notice of Proposed Rulemaking, CC Docket n o 96-115;
RM-11277, FCC 06-10, adopté le 10 février 2006 (RM-11277).
Nom de l'entreprise
|
|
Représentant
des services à la clientèle/Représentant
du service d'assistance à la clientèle/Centre
d'appel (collectivement RSC) |
Système
interactif de réponse vocale (SIRV) |
Site
Web |
|
|
Avant
le présumé incident |
Actuellement
|
Avant
le présumé incident |
Actuellement
|
Avant
le présumé incident |
Actuellement
|
1. |
Création/modification du compte |
|
|
|
|
|
|
a. |
Quel est le processus utilisé pour créer
un compte client, quels renseignements identificateurs faut-il
obtenir du client ? |
|
|
|
|
|
|
b. |
Quel est le processus utilisé pour modifier
les renseignements sur le compte, par exemple l'adresse de facturation/postale,
le nom du titulaire du compte, etc., y compris les renseignements
identificateurs qu'il faut obtenir du client ? |
|
|
|
|
|
|
c. |
Votre compagnie informe-t-elle les clients quand
les données relatives à leur compte sont modifiées
? Si oui, donnez des détails : comment l'information est-elle
communiquée, dans quels délais, avant ou après
que la modification a été apportée, etc.
|
|
|
|
|
|
|
2. |
Mot de passe/NIP (collectivement
mot de passe) |
|
|
|
|
|
|
a. |
Est-il techniquement possible d'offrir des mots
de passe aux clients ? |
|
|
|
|
|
|
b. |
Les clients sont-ils informés qu'ils
peuvent protéger leur compte par un mot de passe ?
Si oui, comment et quand ? |
|
|
|
|
|
|
c. |
Avez-vous pour politique d'encourager les clients
à protéger leur compte par un mot de passe? Si oui,
comment et quand le faites-vous ? |
|
|
|
|
|
|
d. |
Fournissez le pourcentage de vos clients qui
ont un mot de passe pour protéger leur compte.
|
|
|
|
|
|
|
e. |
Si les clients ont protégé leur
compte par un mot de passe, peuvent-ils l'accéder sans
leur mot de passe ? |
|
|
|
|
|
|
f. |
Si un client a protégé son compte
par un mot de passe et qu'il l'oublie, quel processus permet de
créer un nouveau mot de passe, notamment quels renseignements
identificateurs sont requis, le client doit-il se rendre en personne
dans un point de vente, etc.? |
|
|
|
|
|
|
g. |
Si un client a protégé son compte
avec un mot de passe, le mot de passe est-il le seul renseignement
qu'il doit fournir pour accéder à son compte ? Si
non, quels autres renseignements identificateurs sont nécessaires
? |
|
|
|
|
|
|
h. |
Votre compagnie informe-t-elle les clients quand
leur mot de passe a été modifié? Si oui,
donnez des détails : comment l'information est-elle
communiquée, dans quels délais, avant ou après
que la modification a été apportée,
etc. |
|
|
|
|
|
|
3. |
Méthodes de validation
|
|
|
|
|
|
|
a. |
Combien de renseignements identificateurs sont
nécessaires pour valider l'identité d'un client
si : a) l'appel semble provenir du numéro de téléphone
auquel il sera facturé, b) l'appel a été
ffectué à partir d'un autre numéro de téléphone.
|
|
|
|
|
|
|
b. |
Donnez une liste complète des renseignements
identificateurs considérés acceptables pour valider
l'identité d'un client lorsque : a) l'appel semble
provenir du numéro de téléphone auquel il
sera facturé, b) l'appel a été effectué
à partir d'un autre numéro de téléphone.
|
|
|
|
|
|
|
c. |
Indiquez l'ordre de préférence,
le cas échéant, des renseignements identificateurs
acceptables nécessaires pour valider l'identité
d'un client si : a) l'appel semble provenir du numéro
de téléphone auquel il sera facturé, b) l'appel
a été effectué à partir d'un autre
numéro de téléphone. |
|
|
|
|
|
|
d. |
Quand et comment chacun des renseignements identificateurs
énumérés ci-dessus sont-ils versés
au dossier du client ? |
|
|
|
|
|
|
e. |
Quand une personne appelle d'un numéro
de téléphone qui semble différent du numéro
de téléphone auquel l'appel sera facturé
et qu'elle demande des renseignements confidentiels sur le client,
votre compagnie exige-t-elle une autorisation explicite du client
pour divulguer des renseignements en communiquant avec lui, notamment
par téléphone ? Si oui, veuillez donner des détails
sur la façon de procéder. |
|
|
|
|
|
|
f. |
Votre compagnie informe-t-elle les clients des
demandes de divulgation de leurs renseignements confidentiels
? Si oui, donnez des détails, p. ex. comment celà
est-il communiqué, etc. |
|
|
|
|
|
|
4. |
Diffusion des renseignements confidentiels
sur les clients |
|
|
|
|
|
|
a. |
Dressez la liste des renseignements confidentiels
sur les clients qui peuvent être divulgués, p. ex.
solde du compte, dispositions contractuelles, détails des
appels, détails sur le crédit, etc. |
|
|
|
|
|
|
b. |
Dressez la liste des renseignements confidentiels
sur les clients qui peuvent être divulgués, p. ex.
solde du compte, dispositions contractuelles, détails des
appels, détails sur le crédit, etc. |
|
|
|
|
|
|
c. |
Pour chaque type de renseignements confidentiels
sur les clients pouvant être divulgués, indiquez
toutes les méthodes de diffusion, p. ex. au téléphone,
par télécopieur, par la poste, par Internet, etc.
|
|
|
|
|
|
|
d. |
Votre compagnie informe-t-elle les clients si
des renseignements confidentiels ont été communiqués
à leur sujet ? Si oui, donnez des détails :
comment procédez-vous, combien de temps après que
les renseignements ont été communiqués, etc.
|
|
|
|
|
|
|
e. |
La quantité de renseignements confidentiels
sur les clients pouvant être divulguée est-elle limitée
a) pendant une session; b) au total? Si oui, quelles sont
les limites? |
|
|
|
|
|
|
5. |
Questions liées aux RSC
|
|
|
|
|
|
|
a. |
Énumérez et décrivez tous
les renseignements confidentiels sur les clients auxquels les
RSC ont accès. |
|
|
|
|
|
|
b. |
Chaque renseignement confidentiel sur les clients
indiqué ci-dessus est-il : a) partiellement ou b)
complètement accessible au RSC? |
|
|
|
|
|
|
c. |
Si un renseignement confidentiel sur les clients
indiqué ci-dessus a) n'est pas accessible ou b) est partiellement
accessible au RSC, comment le RSC l'utilise-t-il pour valider
l'identité d'un client? |
|
|
|
|
|
|
d. |
Le RSC a-t-il accès au mot de passe des
clients? |
|
|
|
|
|
|
e. |
Énumérez et décrivez tous
les renseignements confidentiels sur les clients qu'il est interdit
au RSC de donner à un appelant pour valider l'identité
d'un client. |
|
|
|
|
|
|
f. |
Énumérez et décrivez tous
les renseignements confidentiels sur les clients qu'un RSC peut
donner à un appelant pour valider
l'identité d'un client. |
|
|
|
|
|
|
g. |
Énumérez et décrivez les
étapes qu'un RSC doit suivre s'il a des soupçons
au sujet de l'identité d'un appelant. |
|
|
|
|
|
|
h. |
Énumérez et décrivez les
étapes que la direction doit suivre lorsqu'elle est informée
qu'un RSC a des doutes quant à l'identité d'un appelant.
|
|
|
|
|
|
|
Mise à jour : 2006-04-24
|