L’AMT publie par erreur des données confidentielles
L’Agence métropolitaine de transport (AMT) a publié sur son site web les noms et adresses de citoyens lui ayant réclamé des documents publics.
Pendant près de trois jours, ces informations privées ont été à la vue de tous et ont même été indexées par les moteurs de recherche. Quelques mots-clés dans Google permettaient alors de les retracer.
Ces documents, qui sont des réponses à des demandes d’accès à l’information, doivent être rendus publics, mais sans les coordonnées des demandeurs.
En quelques minutes lundi, Métro a été capable d’extraire les coordonnées de plusieurs personnes. Des journalistes faisaient partie du nombre, dont un journaliste de Métro. D’autres noms et adresses semblaient appartenir à des citoyens et renvoyaient vers des maisons ou des appartements.
Dans certains cas, les informations apparaissaient clairement, alors que dans d’autres, la couleur du texte avait été modifiée en blanc. Les informations étaient alors invisibles à l’œil nu, mais un simple copier-coller permettait de les récupérer.
«De nombreuses compagnies demandent une adresse pour vérifier votre identité», selon le professeur spécialisé en protection de la vie privée sur l’internet à Polytechnique Montréal José M. Fernandez. Un nom et une adresse rendus publics peuvent donc augmenter le risque de vol d’identité.
Selon l’AMT, les documents ont été mis en ligne vendredi. «Ces données ne devaient pas apparaître, indique la porte-parole Brigitte Léonard. On s’excuse pour les problèmes occasionnés. Sachez que nous travaillons à régler la situation.»
Après avoir été avertie par Métro, l’AMT a retiré les documents problématiques.
Entrave à la loi
«Un membre de notre personnel va contacter l’Agence métropolitaine pour s’assurer que ça ne se reproduise plus, soutient Véronique Lessard, porte-parole de la Commission d’accès à l’information du Québec. Il est de la responsabilité de l’organisme de préserver la confidentialité du nom et de l’adresse du demandeur.»
En vertu du Règlement sur la diffusion de l’information et sur la protection des renseignements personnels, les institutions publiques doivent s’assurer que les documents rendus publics soient anonymisés.
Comment avons-nous fait?
C’est en faisant une recherche Google avec le nom d’un de ses journalistes que Métro a découvert un premier document PDF sur le site de l’AMT. Le nom du document était composé de l’année, suivie d’un numéro d’identification à deux chiffres. À l’aide d’un programme informatique codé sur mesure, Métro a pu vérifier près d’une centaine d’URL basées sur le même format. En quelques minutes, nous avons trouvé plus d’une vingtaine de documents, datés du 1er mai au 3 août 2015.