« Comment se fait-il que personne, en six ans, ne s'est dit : "Ce n’est pas normal que je reçoive les informations de dizaines de milliers de personnes"? » Inquiet et en colère, un employé du CIUSSS du Centre-Sud-de-l'Île-de-Montréal peine à comprendre comment son employeur a pu commettre « une telle bêtise organisationnelle ».

Ses informations bancaires, son numéro de matricule et certaines autres de ses informations personnelles ont été envoyées à environ une centaine de collègues qui ne devaient pas y avoir accès.

Dans un courriel adressé à ses employés, le CIUSSS évoque une erreur humaine. Les données des plus de 20 000 employés actuels et passés depuis 2019 étaient compilées dans un fichier Excel, qui a été envoyé par erreur à des employés.

Quand le message est apparu dans la boîte de réception des employés en question, tout le monde était abasourdi et en colère, explique ce travailleur dont Radio-Canada taira le nom, car il craint que son témoignage ait des répercussions sur son emploi.

On ne peut pas comprendre que depuis si longtemps, une brèche de sécurité si importante ait pu passer inaperçue, ajoute-t-il.

Cet incident s’est produit entre le 29 avril 2019 et le 11 décembre 2025, soit sur une période de plus de six ans, indique le CIUSSS, qui précise que ce manquement à l'obligation de confidentialité lui a été déclaré récemment.

Le fichier Excel servait au service de la paie et a été envoyé à moins de 100 membres qui ne devaient pas y avoir accès, précise le CIUSSS dans une note envoyée à Radio-Canada.

Ce n'est pas normal que personne au service de la paie ne se soit dit : "J’ai envoyé les données de tout le monde, mon Dieu, quelle erreur!"

Cet employé déplore aussi que le service de la paie, qui a le plus d’informations confidentielles, ait pu commettre une telle bêtise organisationnelle alors que tous les employés doivent suivre des formations en matière de cybersécurité et respecter des protocoles stricts afin de protéger la confidentialité des patients.

Les employés de la santé doivent suivre des formations en cybersécurité et respcter des protocoles stricts afin de protéger la confidentialité de leurs patients. (Photo d'archives)

Photo : Radio-Canada / Ivanoh Demers

Selon la formatrice en prévention de la fraude et en cybersécurité, Emeline Manson, cette erreur laisse croire à un problème plus de gouvernance de données plutôt qu'à une simple erreur ponctuelle.

L'incident a probablement eu lieu au moment de déterminer qui a accès au fichier, qui n'était peut-être pas adéquatement protégé dans un disque infonuagique, avance-t-elle.

La gestion des rôles et des accès aux fichiers, c'est un gros enjeu pour les organisations, dit-elle en entrevue,  quand on a des personnes qui démissionnent ou qui changent de rôle, il faut s'assurer régulièrement que ces personnes ont toujours accès seulement aux documents qui leurs sont pertinents.

Le fichier a été détruit, dit le CIUSSS

Nous leur avons demandé de s’engager par écrit à détruire le document, assure le CIUSSS. Nous avons expliqué l’erreur et nous avons confiance que le document a été détruit.

L'employé indique que le nombre total de personnes qui ont eu accès à ce document n'a pas été communiqué et déplore que le colmatage de cette brèche repose sur la bonne volonté de gens.

La Commission d'accès à l'information a été avisée de l'incident, le personnel du service où l'erreur a été commise a été sensibilisé et les procédures de travail y ont été revues, précise également le CIUSSS.

Les numéros d'assurance sociale, les adresses postales et courriel ainsi que les dates de naissance n'étaient pas contenus dans le document qui a circulé. Dans son message aux employés, le CIUSSS leur rappelle que les numéros bancaires ne peuvent, à eux seuls, permettre d’accéder à un compte bancaire.

Même si ce n’est pas suffisant pour commettre une fraude bancaire, ça la facilite quand même beaucoup, croit cet employé. Son institution bancaire s'est faite rassurante, dit-il, mais elle lui a recommandé de vérifier régulièrement son compte de banque. Ça reste vraiment inquiétant et fâchant pour nous.

Les renseignements qui ont circulé entre les mauvaises mains sont malgré tout sensibles, prévient Emeline Manson, surtout à cause des données bancaires. Même s'il ne peut pas directement accéder à un compte de banque avec, un fraudeur peut s'en servir pour voler une identidé, pour cibler et manipuler des victimes potentielles, explique-t-elle.

Même si effectivement rien n'indique publiquement que les données ont été utilisées de façon malveillante, le simple fait qu'elles aient été accessibles, ça constitue quand même un risque réel.

Dans un courriel envoyé à ses membres, dont Radio-Canada a obtenu copie, le président du Syndicat des professionnelles en soins de santé dit suivre la situation de très près. Denis Joubert affirme qu'à ce stade, l'employeur a la responsabilité légale de gérer cet incident, d'en limiter les impacts et de soutenir les personnes touchées.