Nova Scotia Power conservait des numéros de sécurité sociale qu'elle n'avait aucune raison de garder.
Les numéros d'assurance sociale (NAS) étaient stockés dans un référentiel de données relié à un programme d'analyse de la consommation d'énergie. Pas dans le système de facturation. Pas non plus dans le fichier réglementaire des clients. Il s'agissait d'un projet parallèle qui collectait des numéros d'assurance sociale à des fins que, lorsque la fuite de données a forcé la question, personne n'a pu justifier pleinement (lettre de conformité de Nova Scotia Power au Commissaire à la protection de la vie privée du Canada, mars 2026).
En mars 2025, un pirate s'est introduit via un site web compromis et un logiciel malveillant appelé SocGholish. Il est resté à l'intérieur pendant 37 jours avant que quelqu'un ne s'en aperçoive. Au moment où Nova Scotia Power a découvert la faille, les données personnelles de 900 000 clients (actuels et anciens) avaient déjà été dérobées. Des noms, des dates de naissance, des historiques de compte, des numéros de permis de conduire et ces numéros de sécurité sociale qui n’auraient jamais dû se trouver là (CBC News, mars 2026).
Cette fuite, c'était un problème de sécurité. Mais si elle a eu des conséquences catastrophiques, c'est à cause d'un problème de protection de la vie privée. Des données ont été collectées au-delà de ce qui était nécessaire, conservées plus longtemps que ce qui était justifié, et stockées avec des contrôles d'accès qui n'étaient pas adaptés à la sensibilité des informations qu'elles contenaient. Nova Scotia Power s'est depuis engagée à supprimer les numéros d'assurance sociale. C'est la bonne décision. Une décision qui n'aurait d'ailleurs rien coûté si elle avait été prise trois ans plus tôt.
C'est dans l'écart entre la politique et l'environnement que réside le véritable risque
En théorie, toutes les organisations ont des politiques de confidentialité. En réalité, les données restent là où on les a laissées la dernière fois.
Plusieurs services dont les responsabilités se chevauchent et où la chaîne de responsabilité est floue. Une documentation obsolète qui décrit un environnement de données datant de trois versions. Une classification qui existe dans un document de politique, mais pas dans les systèmes que cette politique régit. Et des environnements de test remplis de données réelles que personne ne savait qu’il fallait masquer, parce que celui qui les a mis en place est parti il y a deux ans et que la passation de relais s’est résumée à un message sur Slack et à une carte cadeau Tim Hortons en guise de remerciement.
Au Canada, cette lacune a désormais des conséquences réglementaires. La loi 25 du Québec est pleinement en vigueur, avec des sanctions administratives pouvant atteindre 10 millions de dollars ou 2 % du chiffre d’affaires mondial, et des amendes pouvant aller jusqu’à 25 millions de dollars ou 4 %. La Commission d’accès à l’information a reçu 444 signalements d’incidents liés à la confidentialité rien qu’en 2023–2024 (Rapport annuel de la CAI, octobre 2024). Une application active de la loi, et non un simple système de lettres d’avertissement. La loi 25 s’applique à toute organisation traitant des données de résidents québécois, quel que soit son lieu d’implantation.
La LPRPDE n'a pas encore tout à fait le même poids. Mais le commissaire à la protection de la vie privée se montre de plus en plus direct. Suite à la fuite de données chez Nova Scotia Power, le commissaire Philippe Dufresne a déclaré publiquement que toutes les organisations devaient donner la priorité à une protection proactive des données. Le niveau minimum d'exigence réglementaire est en train de monter.
Suis le parcours d'un dossier, découvre où la vie privée est bafouée
Suis le parcours d'une donnée sensible dans un environnement type.
Tout commence au niveau de la production. Une fiche client, collectée avec le consentement de la personne concernée, stockée avec des contrôles d'accès, classée correctement. Jusque-là, tout est conforme.
Du coup, quelqu’un de l’équipe de développement a besoin de données de test réalistes. Il copie la table de production vers l’environnement de développement. Les contrôles d’accès ne sont pas transférés. Le masquage n’est pas appliqué. Un intégrateur tiers a accès à cet environnement dans le cadre d’un projet d’intégration de systèmes. Il est authentifié. Il fait un travail tout à fait légitime. Et voilà qu’il se retrouve face à des données clients non masquées que personne ne lui a autorisé à consulter.
C'est pas de la malveillance. C'est juste un manque de contrôle. Gary avait besoin de données pour une version. Il a copié ce qui était disponible. La politique de confidentialité ne dit rien sur les environnements de développement, parce qu'elle a été rédigée pour la production.
En parallèle, l'équipe d'analyse a extrait ces mêmes données clients pour les intégrer dans une couche de reporting. Cet extrait alimente un tableau de bord et une exportation trimestrielle qui se retrouve sous forme de feuille de calcul sur un disque partagé, dont l'accès est plus large que celui du système source.
Quatre copies. Trois environnements. Deux services qui ignorent l'existence des copies de l'autre. Une politique de confidentialité qui ne couvre rien de tout ça.
Ajoute à ça les équipes à l'étranger, les prestataires, la rotation du personnel, l'accès à distance et les architectures intégrées où tes données transitent par des systèmes que tu ne gères pas. Si tes mesures de protection de la vie privée ne s'appliquent qu'en environnement de production, elles ne couvrent qu'environ un tiers des endroits où tes données transitent réellement.
Les autorités de contrôle ont arrêté de te demander si tu avais une assurance
La question est maintenant la suivante : peux-tu prouver que tes systèmes fonctionnent bien comme le prévoit la politique ?
Ça veut dire une validation continue et automatisée. Pas juste un contrôle manuel une fois par an.
Pense à la confidentialité dès le départ. Si les données sensibles sont gérées correctement dès leur création, chaque copie ultérieure bénéficie automatiquement de ces protections. Si tu t'en occupes trop tard, tu te retrouves à courir après un problème qui s'est multiplié pendant que personne ne regardait.
Automatise la mise en application. Le masquage manuel n'est pas évolutif. Microsoft Purview gère la classification des données et l'étiquetage de sensibilité. Protegrity assure une protection fine des données sur toutes les plateformes. Les outils, c'est la partie la plus simple. C'est leur intégration dans tous les environnements, pas seulement en production, qui fait la différence entre les entreprises qui survivent aux incidents et celles qui finiront par servir d'exemple à ne pas suivre lors de la conférence de l'année prochaine.
Intègre la confidentialité dès la conception du processus. Quand elle est intégrée dès le début, les validations se font au fur et à mesure que le travail avance. Le service juridique ne se retrouve pas avec une pile de PDF deux jours avant la mise en ligne.
Gère tous les environnements. Production, développement, test, archives, et ce serveur de fichiers oublié qui a survécu à deux migrations. Les numéros d'identification sociale (SIN) de Nova Scotia Power ne se trouvaient pas dans un système de production. Ils étaient stockés dans un référentiel destiné à un programme d'analyse de données. La fuite s'en fichait bien de cette distinction. Le Commissaire à la protection de la vie privée aussi.
Où ça va nous mener ?
La confidentialité te dit ce qu'il faut protéger. La sécurité te dit comment. Les données, elles, s'en fichent que ton pare-feu couvre l'architecture qui applique les contrôles de confidentialité dans tous les environnements.
Le niveau de gouvernance qui fait de la protection de la vie privée une réalité et non plus un simple objectif : personne n'est promu pour son travail en matière de gouvernance.
Et si tes données doivent rester soumises à la législation canadienne et à la compétence des tribunaux canadiens, c'est le service « Souveraineté des données » qu'il te faut.
