Recherche

ARCHIVÉ - Télécom Lettre du Conseil

Cette page Web a été archivée dans le Web

Information archivée dans le Web à des fins de consultation, de recherche ou de tenue de documents. Les décisions, avis et ordonnances (DAO) archivés demeurent en vigueur pourvu qu'ils n'aient pas été modifiés ou annulés par le Conseil, une cour ou le gouvernement. Le texte de l'information archivée n'a pas été modifié ni mis à jour depuis sa date de mise en archive. Les modifications aux DAO sont indiquées au moyen de « tirets » ajoutés au numéro DAO original. Les pages archivées dans le Web ne sont pas assujetties aux normes qui s'appliquent aux sites Web du gouvernement du Canada. Conformément à la Politique de communication du gouvernement du Canada, vous pouvez obtenir cette information dans un autre format en communiquant avec nous.

Archivée

Cette page Web a été archivée dans le Web.

Lettre

Ottawa, le 24 avril 2006

Envoyé par télécopieur et par courrier électronique

David Elder
Vice-président du droit réglementaire
Bell Canada
110, rue O'Connor
7e étage
Ottawa ( Ontario )
K1P 1H1 

Monsieur,

La présente fait suite à la lettre de Bell Canada datée du 28 novembre 2005 en réponse à la demande du personnel du Conseil réclamant que Bell Canada fournisse des détails précis sur les présumés incidents de divulgation de renseignements sur les clients. Le personnel du Conseil avait également demandé à Bell Canada de décrire les mesures de protection en place au moment des présumés incidents ainsi que les mesures supplémentaires qui ont été ou qui seront mises en ouvre.

Toujours sur ce sujet, Bell Canada doit déposer auprès du Conseil, dans les 20 jours suivant la réception de la présente lettre, des réponses aux questions ci-jointes.

Je vous informe qu'une copie de la présente et de l'annexe 2 seront rendues publiques. Une version abrégée de l'annexe 1 sera également rendue publique.

Veuillez agréer, Monsieur, l'expression de mes sentiments distingués.  

Le directeur, Consommation,
Direction générale des télécommunications,

Gerry Lylyk

c.c. Renée Gauthier, CRTC (819) 994-5174

p.j. :   Annexe 1 : Questions à Bell Canada
          Annexe 2 : Questions à Bell Canada

Annexe 1

Questions à Bell Canada

1.   Veuillez vous reporter à la page 2, quatrième paragraphe de votre lettre du 28 novembre 2005, dans lequel vous dites qu'« il semble que des renseignements partiels sur le détail des appels ont été obtenus de façon frauduleuse au téléphone en soutirant des renseignements confidentiels sous de faux prétextes, une forme d'usurpation d'identité permettant d'obtenir frauduleusement des détails sur la facturation et les appels. »

a)  Veuillez expliquer en détail comment Bell Canada a conclu que le présumé incident allégué faisait intervenir une obtention frauduleuse des renseignements.

b)  Veuillez fournir un rapport complet de l'enquête menée par Bell Canada à ce sujet, notamment sur les renseignements qui ont été communiqués, par quels moyens, comment l'identité du client a été validée, etc.

2.   Veuillez vous reporter à la page 2, deuxième paragraphe de votre lettre du 28 novembre 2005, dans lequel vous dites qu'une équipe d'intervention multidisciplinaire en cas d'incident grave a confirmé qu'il n'y avait pas eu violation des systèmes de technologie de l'information de la compagnie. Veuillez fournir tous les détails sur ce qui a été fait et quand, y compris sur le mandat, ainsi que les résultats obtenus, les analyses et les recommandations, le cas échéant. Veuillez fournir des copies de tous les rapports documentaires connexes.

3.   Veuillez vous reporter à la page 3, premier paragraphe de votre lettre du 28 novembre 2005, dans lequel vous indiquez que vous « surveillez l'efficacité de ces nouvelles procédures et les réactions qu'elles suscitent afin d'évaluer l'incidence sur le service à la clientèle et leur efficacité pour protéger la divulgation non autorisée des renseignements sur les clients ». Veuillez fournir tous les détails sur les activités de surveillance dont il est question ci-dessus, notamment ce qui a été fait et quand, ainsi que les résultats obtenus, les analyses et les recommandations, le cas échéant. Veuillez fournir des copies de tous les rapports documentaires connexes.  

4.   Quels changements, le cas échéant, ont été apportés aux pratiques et procédures de Bell Canada, à la suite des activités de surveillance mentionnées ci-dessus?

5.   Veuillez vous reporter aux pages 1 et 2, troisième et quatrième paragraphes de la pièce jointe à votre lettre du 28 novembre 2005, soit le communiqué du 14 novembre 2005 adressé aux employés des centres d'appel, qui indique que : ##  

...................................................... " ##

a)   ##
    .................................... ##


b)  ##

  .............................................................................? ##

6.   Si votre compagnie n'interdit pas aux RSC de donner des renseignements confidentiels sur les clients, veuillez donner votre opinion sur le bien-fondé d'établir une telle garantie. Si votre compagnie interdit aux RSC de donner des renseignements confidentiels sur les clients, veuillez fournir une copie des lignes directrices décrivant cette procédure.

7.   Prenons le cas d'une personne qui se présente comme un employé de la compagnie ou un agent de la compagnie avant de demander des renseignements confidentiels à un RSC.

a)   Décrivez les procédures en place au moment où le présumé incident s'est produit, qui permettaient aux RSC de se protéger contre quelqu'un qui avait prétendu être un employé de la compagnie ou un agent de la compagnie.

b)  Décrivez les procédures en place qui permettent aux RSC de se protéger contre quelqu'un qui prétend être un employé de la compagnie ou un agent de la compagnie.

c)   Décrire les circonstances, avant et depuis le présumé incident, dans lesquelles les RSC sont tenus de revalider l'identité d'un client et ce que cela implique.

d)   Si les RSC se fient sur les renseignements fournis par le service Afficheur, indiquez si cette méthode d'identification peut être inexacte et donc non fiable.

8.   Dans le numéro du 28 novembre 2005 de la revue Maclean's, on dit qu'il existe un logiciel qui permet à un appelant d'assumer l'identité d'une autre personne en faisant s'afficher le numéro de téléphone de cette personne, quelle que soit l'origine réelle de l'appel. Veuillez indiquer si votre compagnie estime cela possible. Si c'est possible, donnez votre opinion sur le bien-fondé de se fier aux renseignements affichés pour valider l'identité d'un client.

9.   Décrivez les mesures en place pour protéger les utilisateurs contre un accès électronique non autorisé aux systèmes de technologie de l'information de votre compagnie (bases de données internes, réseaux de communication, interfaces clients sur le Web, etc.) au moment du présumé incident. Indiquez les changements apportés aux mesures de protection à la suite du présumé incident.   

10.   Veuillez expliquer pourquoi les mesures de protection en place contre les accès électroniques non autorisés sont jugées appropriées. Incluez dans votre réponse une description de ce que votre compagnie : a) a fait, et b) fait de façon continue afin de vérifier si les mesures sont suffisantes pour assurer une protection adéquate contre les nouvelles méthodes d'accès électronique non autorisé.

11.   Pour chaque renseignement identificateur acceptable requis pour valider l'identité d'un client, et qui figure au tableau de l'annexe 2, indiquez dans quelle mesure les renseignements sont publics. Par exemple, le nom, l'adresse et les codes postaux peuvent être facilement obtenus sur Internet. En outre, l'article de la revue Maclean's du 21 novembre 2005 indiquait que la date de naissance du Commissaire à la protection de la vie privée du Canada avait été trouvée à Montréal dans un acte de propriété et des documents hypothécaires publics. Dans la mesure où les renseignements identificateurs sont publics, expliquez et justifiez le bien-fondé d'utiliser ces renseignements pour valider l'identité d'un appelant.

12.   Veuillez indiquer si vous estimez que les clients devraient pouvoir demander que les renseignements confidentiels les concernant ne soient pas divulgués par exemple au téléphone, par télécopieur ou par des méthodes particulières.

13.   En dehors de ce qui est mentionné dans les autres questions, depuis le présumé incident, votre compagnie ou toute autre tierce partie engagée par votre compagnie a-t-elle mené des enquêtes, procédé à des appels de client mystère, fait des vérifications, des rapports, etc. liés à l'accessibilité aux renseignements confidentiels sur les clients? Dans l'affirmative, veuillez fournir tous les détails sur ce qui a été fait et quand, y compris sur le mandat, ainsi que les résultats obtenus, les analyses et les recommandations, le cas échéant. Veuillez fournir des copies de tous les rapports documentaires connexes.

14.   Si votre compagnie a entrepris certaines des activités mentionnées à la question 13, quels changements, le cas échéant, ont été apportés aux processus et aux pratiques de la compagnie?

15.   Veuillez fournir les politiques et les procédures écrites concernant la confidentialité des renseignements sur les clients qui : a) étaient en vigueur au moment du présumé incident, et b) qui sont actuellement en vigueur.

16.   Le 10 février 2006, la Federal Communications Commission (FCC) a amorcé une instance, assortie d'un préavis de projet de réglementation (Notice of Proposed Rulemaking) [1] , pour examiner si des mesures de sécurité supplémentaires pourraient empêcher la divulgation non autorisée par les compagnies de télécommunication de renseignements sensibles sur leurs clients. La FCC demande entre autre des observations sur la faisabilité et le bien-fondé : 1) d'obliger les entreprises à adopter un système de mot de passe établi par les clients pour protéger l'accès à leurs renseignements confidentiels, 2) d'obliger les entreprises à établir des pistes de vérification qui indiquent chaque fois que quelqu'un a accès aux dossiers d'un client, si des renseignements ont été communiqués et à qui, 3) de coder les données stockées par l'entreprise, 4) de supprimer les renseignements confidentiels sur les clients lorsqu'ils ne sont plus nécessaires et dans ce cas, déterminer combien de temps ils devraient être conservés, 5) d'envoyer un préavis avant d'acquiescer à certains types de demandes de divulgation de renseignements confidentiels sur les clients, 6) d'avertir les clients de la divulgation de renseignements confidentiels les concernant, et 7) d'obliger les entreprises à autoriser les clients à placer un ordre d'interdiction absolue de divulgation de leurs renseignements confidentiels.

Si votre compagnie n'a pas pour politique a) d'exiger de tous les clients de protéger leur compte par un mot de passe, b) d'établir une piste de vérification indiquant chaque fois que quelqu'un a accès aux dossiers d'un client, si des renseignements ont été communiqués et à qui, c) de coder les données stockées, d) de supprimer les renseignements confidentiels sur les clients lorsqu'ils ne sont plus nécessaires, e) d'informer les clients si une demande de divulgation des renseignements confidentiels les concernant a été reçue, f) d'informer les clients après la divulgation de renseignements confidentiels et g) de permettre aux clients de placer un ordre d'interdiction absolue de divulgation de leurs renseignements confidentiels, veuillez donner votre opinion sur la faisabilité et le bien-fondé d'établir une telle politique pour chaque article de a) à g).

17.   En ce qui concerne d) à la question 16 ci-dessus, énumérez par article les périodes pendant lesquelles les renseignements confidentiels sur les clients sont conservés par la compagnie.

18.   Si votre compagnie n'a pas pour politique d'informer les clients de la modification des renseignements sur leur compte, veuillez donner votre opinion sur la faisabilité et le bien fondé d'établir une telle   politique.

19.   Si votre compagnie n'a pas pour politique d'encourager les clients à protéger leur compte par un mot de passe, veuillez donner votre opinion sur la faisabilité et le bien fondé d'établir une telle   politique.

20.   Si votre compagnie n'a pas pour politique d'informer les clients d'une modification de leur mot de passe, veuillez donner votre opinion sur la faisabilité et le bien fondé d'établir une telle   politique.

21.   Si votre compagnie n'a pas pour politique d'imposer une limite à la quantité des renseignements confidentiels sur les clients, comme le nombre d'appels pour lesquels le détail de l'appel est fourni, pouvant être distribués a) pendant une session b) au total, donnez votre opinion sur le bien fondé d'établir une telle   politique.

22.   Pour chaque type de renseignements confidentiels sur les clients autorisé à être divulgué, indiquez pourquoi chaque méthode (p. ex. courrier, télécopie, etc.) choisie pour distribuer ces renseignements garantit qu'ils parviendront en toute probabilité au bon client.

23.   Si votre compagnie envoie par télécopieur sur demande des copies de factures de clients, veuillez donner votre opinion sur le bien fondé de prendre des mesures garantissant qui ces renseignements sont envoyés uniquement à l'adresse postale enregistrée.

24. Veuillez remplir le tableau de l'annexe 2.

[1] Commission fédérale des communications, Notice of Proposed Rulemaking, CC Docket n o 96-115; RM-11277, FCC 06-10, adopté le 10 février 2006 (RM-11277).

Annexe 2

Nom de l'entreprise

   

Représentant des services à la clientèle/Représentant du service d'assistance à la clientèle/Centre d'appel (collectivement RSC)

Système interactif de réponse vocale (SIRV)

Site Web
   
Avant le présumé incident
Actuellement
Avant le présumé incident
Actuellement
Avant le présumé incident
Actuellement
1. Création/modification du compte            
a. Quel est le processus utilisé pour créer un compte client, quels renseignements identificateurs faut-il obtenir du client ?            
b. Quel est le processus utilisé pour modifier les renseignements sur le compte, par exemple l'adresse de facturation/postale, le nom du titulaire du compte, etc., y compris les renseignements identificateurs qu'il faut obtenir du client ?            
c. Votre compagnie informe-t-elle les clients quand les données relatives à leur compte sont modifiées ? Si oui, donnez des détails : comment l'information est-elle communiquée, dans quels délais, avant ou après que la modification a été apportée, etc.            
2. Mot de passe/NIP (collectivement mot de passe)            
a. Est-il techniquement possible d'offrir des mots de passe aux clients ?            
b. Les clients sont-ils informés qu'ils peuvent protéger leur compte par un mot de passe ?   Si oui, comment et quand ?            
c. Avez-vous pour politique d'encourager les clients à protéger leur compte par un mot de passe? Si oui, comment et quand le faites-vous ?            
d. Fournissez le pourcentage de vos clients qui ont un mot de passe pour protéger leur compte.            
e. Si les clients ont protégé leur compte par un mot de passe, peuvent-ils l'accéder sans leur mot de passe ?            
f. Si un client a protégé son compte par un mot de passe et qu'il l'oublie, quel processus permet de créer un nouveau mot de passe, notamment quels renseignements identificateurs sont requis, le client doit-il se rendre en personne dans un   point de vente, etc.?            
g. Si un client a protégé son compte avec un mot de passe, le mot de passe est-il le seul renseignement qu'il doit fournir pour accéder à son compte ? Si non, quels autres renseignements identificateurs sont nécessaires ?            
h. Votre compagnie informe-t-elle les clients quand leur mot de passe a été modifié? Si oui, donnez des détails : comment l'information est-elle communiquée, dans quels délais, avant ou après que la modification a été apportée,    etc.            
3. Méthodes de validation            
a. Combien de renseignements identificateurs sont nécessaires pour valider l'identité d'un client si : a) l'appel semble provenir du numéro de téléphone auquel il sera facturé, b) l'appel a été ffectué à partir d'un autre numéro de téléphone.            
b. Donnez une liste complète des renseignements identificateurs considérés acceptables pour valider l'identité d'un client lorsque : a) l'appel semble provenir du numéro de téléphone auquel il sera facturé, b) l'appel a été effectué à partir d'un autre numéro de téléphone.            
c. Indiquez l'ordre de préférence, le cas échéant, des renseignements identificateurs acceptables nécessaires pour valider l'identité d'un client si : a) l'appel semble provenir du numéro de téléphone auquel il sera facturé, b) l'appel a été effectué à partir d'un autre numéro de téléphone.            
d. Quand et comment chacun des renseignements identificateurs énumérés ci-dessus sont-ils versés au dossier du client ?            
e. Quand une personne appelle d'un numéro de téléphone qui semble différent du numéro de téléphone auquel l'appel sera facturé et qu'elle demande des renseignements confidentiels sur le client, votre compagnie exige-t-elle une autorisation explicite du client pour divulguer des renseignements en communiquant avec lui, notamment par téléphone ? Si oui, veuillez donner des détails sur la façon de procéder.            
f. Votre compagnie informe-t-elle les clients des demandes de divulgation de leurs renseignements confidentiels ? Si oui, donnez des détails, p. ex. comment celà est-il communiqué, etc.            
4. Diffusion des renseignements confidentiels sur les clients            
a. Dressez la liste des renseignements confidentiels sur les clients qui peuvent être divulgués, p. ex. solde du compte, dispositions contractuelles, détails des appels, détails sur le crédit, etc.            
b. Dressez la liste des renseignements confidentiels sur les clients qui peuvent être divulgués, p. ex. solde du compte, dispositions contractuelles, détails des appels, détails sur le crédit, etc.            
c. Pour chaque type de renseignements confidentiels sur les clients pouvant être divulgués, indiquez toutes les méthodes de diffusion, p. ex. au téléphone, par télécopieur, par la poste, par Internet, etc.            
d. Votre compagnie informe-t-elle les clients si des renseignements confidentiels ont été communiqués à leur sujet ? Si oui, donnez des détails : comment procédez-vous, combien de temps après que les renseignements ont été communiqués, etc.            
e. La quantité de renseignements confidentiels sur les clients pouvant être divulguée est-elle limitée a) pendant une session; b) au total?   Si oui, quelles sont les limites?            
5. Questions liées aux RSC            
a. Énumérez et décrivez tous les renseignements confidentiels sur les clients auxquels les RSC ont accès.            
b. Chaque renseignement confidentiel sur les clients indiqué ci-dessus est-il : a) partiellement ou b) complètement accessible au RSC?            
c. Si un renseignement confidentiel sur les clients indiqué ci-dessus a) n'est pas accessible ou b) est partiellement accessible au RSC, comment le RSC l'utilise-t-il pour valider l'identité d'un client?            
d. Le RSC a-t-il accès au mot de passe des clients?            
e. Énumérez et décrivez tous les renseignements confidentiels sur les clients qu'il est interdit au RSC de donner à un appelant pour valider l'identité d'un client.            
f. Énumérez et décrivez tous les renseignements confidentiels sur les clients qu'un RSC peut donner à un appelant pour valider l'identité d'un client.            
g. Énumérez et décrivez les étapes qu'un RSC doit suivre s'il a des soupçons au sujet de   l'identité d'un appelant.            
h. Énumérez et décrivez les étapes que la direction doit suivre lorsqu'elle est informée qu'un RSC a des doutes quant à l'identité d'un appelant.            

Mise à jour : 2006-04-24yyyy-mm-dd

Date de modification :