Français À l’issue de son enquête sur l’incident de violation de données du Registre des sociétés ( le Registre ), le Bureau du Commissaire à la protection de la vie privée des données personnelles (PCPD) a publié aujourd’hui les conclusions de l’enquête.

L’enquête fait suite à une notification de violation de données soumise par le Registre au PCPD le 19 avril 2024, signalant le risque de fuite de données personnelles identifié dans les services de recherche électronique du portail de services électroniques (l’Incident).

Contexte

Le 27 décembre 2023, le Registre a lancé son « Système intégré d’information du registre des sociétés » entièrement remanié (le système concerné) ainsi que le « Portail de services électroniques » pour fournir aux utilisateurs des services de recherche électronique et de soumission de documents. Par la suite, lors de travaux de routine le 18 avril 2024, le Registre a découvert que les services de recherche électronique du « Portail de services électroniques » transmettaient des données personnelles supplémentaires aux ordinateurs des chercheurs, autres que les informations de recherche pertinentes. Français Cependant, les données personnelles concernées n’étaient pas directement affichées sur les pages de résultats de recherche, les chercheurs devaient ouvrir l’outil de développement Web [1] , qui était rarement utilisé par les utilisateurs généraux, sur les pages de résultats de recherche, utiliser la fonction de recherche dans différents panneaux de l’outil de développement Web et saisir une partie des données personnelles concernées (telles que des numéros partiels de carte d’identité de Hong Kong (HKID)) pour localiser les données personnelles « supplémentaires ». En outre, les chercheurs pouvaient également accéder à certaines des données personnelles « supplémentaires » en utilisant la recherche robotisée [2] . De plus, le même problème a également été identifié dans la soumission électronique des avis relatifs aux tiers désignés par les prêteurs d’argent agréés.

Constatations de l’enquête

Le PCPD a mené quatre séries d’enquêtes auprès du Registre et a contacté l’entrepreneur engagé par le Registre pour la refonte du système concerné (l’entrepreneur) à deux reprises pour obtenir des informations concernant l’incident. Le PCPD a également examiné plus de 1 500 pages de documents fournis par le Registre, notamment le contrat de service entre le Registre et le contractant, ainsi que les rapports de conception et de test du système concerné. Le PCPD a remercié le Registre et le contractant pour leur coopération et la fourniture des informations demandées dans le cadre de l’enquête.

Selon les informations fournies par le Registre et le contractant, l’incident résultait de l’utilisation de modules communs (常用模組) lors de la conception des fonctions affectées du système concerné, sans suppression des champs de données excessifs, ce qui a entraîné la transmission de données personnelles « supplémentaires » à l’ordinateur des chercheurs.L’enquête a révélé que ce problème était présent depuis le lancement du système concerné (soit le 27 décembre 2023). Cependant, les informations « supplémentaires » concernées n’étaient pas directement affichées sur les pages de résultats de recherche, et rien ne permettait de penser que ces données personnelles « supplémentaires » aient fait l’objet d’un accès non autorisé ou accidentel.

Au total, 109 002 personnes pourraient avoir été concernées par l’incident. Les données personnelles concernées comprenaient les numéros de carte d’identité de Hong Kong, les numéros de passeport et/ou les adresses résidentielles habituelles (URA) de 108 575 dirigeants d’entreprises ; les numéros de carte d’identité de Hong Kong et/ou les numéros de passeport de 217 personnes disqualifiées, demandeurs de prêteurs d’argent et tiers désignés par des prêteurs d’argent agréés ; ainsi que les noms, numéros de téléphone et/ou adresses électroniques de 210 personnes de contact de prêteurs d’argent. L’enquête a révélé que près de 90 % des données personnelles concernées, y compris celles des dirigeants d’entreprises, étaient consultables sur les images des documents enregistrés au registre.À la suite de l’incident, le greffe a informé toutes les personnes susceptibles d’en avoir été affectées, a immédiatement corrigé la conception du système concerné, a mandaté un tiers indépendant pour procéder à un examen complet du système concerné et a pris des mesures correctives afin d’éviter qu’un incident similaire ne se reproduise.

Après examen des circonstances de l’incident et des informations obtenues lors de l’enquête, les observations du PCPD concernant l’incident sont les suivantes :

1. Le Registre a mis en œuvre une série de mesures de sécurité lors de la refonte du système concerné : en engageant le contractant pour la refonte du système concerné, le Registre avait adopté des moyens contractuels pour exiger du contractant qu’il conçoive le système dans le respect de la vie privée et qu’il adhère aux normes et directives pertinentes émises par le gouvernement lors de la conception du système. De plus, le contrat de service spécifiait les exigences minimales de qualification des membres de l’équipe de projet. Avant le déploiement du système concerné, le Registre et le contractant ont effectué une série de tests et d’évaluations, notamment des tests d’acceptation des utilisateurs et des évaluations d’impact sur la vie privée. Le contractant a également effectué un total de quatre revues de code supplémentaires, dont les résultats ont été vérifiés par le Registre. Dans l’ensemble, le PCPD a estimé que le Registre avait pris une série de mesures de sécurité lors de la refonte du système concerné. 

1. Le risque d’accès non autorisé ou accidentel aux données personnelles concernées est relativement faible : la PCPD a constaté que les données personnelles « supplémentaires » concernées n’étaient pas directement affichées sur les pages de résultats de recherche. Les utilisateurs devaient suivre des étapes ou procédures supplémentaires via des outils tels qu’un outil de développement web ou une recherche automatisée pour accéder aux données concernées. De plus, rien ne permet de penser que des données personnelles « supplémentaires » aient fait l’objet d’un accès abusif. Compte tenu de ce qui précède, la probabilité et le risque d’accès non autorisé ou accidentel aux données personnelles concernées sont considérés comme relativement faibles.

Le principe de protection des données (DPP) 4(1) de l’annexe 1 de l’ordonnance sur la confidentialité des données personnelles (PDPO) exige qu’un utilisateur de données prenne toutes les mesures possibles pour garantir la protection de ses données personnelles contre tout accès, traitement, effacement, perte ou utilisation non autorisés ou accidentels.L’enquête du PCPD a révélé qu’aucun élément ne permettait de penser que les données personnelles « supplémentaires » aient fait l’objet d’un accès non autorisé ou accidentel. Sur la base des informations obtenues au cours de l’enquête et des faits pertinents, 

le PCPD a constaté que le registre avait mis en œuvre une série de mesures de sécurité lors de la refonte du système concerné, notamment l’intégration d’exigences contractuelles relatives aux mesures de sécurité à prendre par le contractant lors de la refonte du système concerné, les tests et évaluations réalisés par le registre et le contractant avant le lancement du système concerné, ainsi que les revues de code supplémentaires.

Sur la base des conclusions ci-dessus, la PCPD a estimé qu’il n’y avait pas suffisamment de preuves suggérant que le Registre n’avait pas pris toutes les mesures possibles pour protéger les données personnelles qu’il détenait lors de la refonte du système concerné, ce qui constitue une violation de l’article 4(1) du DPP. Nonobstant ce qui précède, compte tenu du risque de fuite de données personnelles associé au système concerné, la PCPD a conseillé au Registre de procéder à des examens réguliers et approfondis de tous les systèmes contenant des données personnelles afin de s’assurer qu’ils sont exempts de toute autre vulnérabilité en termes de conception et de sécurité.

Étant donné que la Commissaire à la protection de la vie privée pour les données personnelles, Mme Ada CHUNG Lai-ling, a été nommée au poste de registraire des sociétés avant septembre 2020, Mme CHUNG n’a pas été impliquée dans cette enquête afin d’éviter tout conflit d’intérêts. Cette enquête a été menée par la Commissaire adjointe à la protection de la vie privée pour les données personnelles (juridique) (par intérim), Mme Fiona LAI Ho-yan, et le responsable des données personnelles (conformité et demandes de renseignements), M. Brad KWOK Ching-hei.

Début de la vérification de conformité de Deliveroo.

Par ailleurs, la plateforme de livraison à emporter Deliveroo a récemment annoncé la cessation de ses activités à Hong Kong, ce qui pourrait affecter les droits à la confidentialité des données personnelles de ses clients et livreurs. Le PCPD a lancé un contrôle de conformité auprès de Deliveroo, conformément aux procédures établies, afin de recueillir davantage d’informations et d’aider les commerçants concernés, y compris l’opérateur reprenant l’activité, à gérer, supprimer ou transférer les données personnelles des clients et des livreurs conformément aux exigences de la PDPO. Ce contrôle de conformité vise à garantir que les données personnelles concernées ne seront pas utilisées à mauvais escient, divulguées ou transmises à des fraudeurs. Le PCPD invite les clients et livreurs concernés à se renseigner auprès des commerçants concernés ou auprès du PCPD (téléphone : 2827 2827 ou courriel : communications@pcpd.org.hk ) s’ils ont des inquiétudes quant à la manière dont les commerçants traitent leurs données personnelles.

[1] Un outil de développement web est un outil de test intégré au navigateur destiné aux développeurs web. Par exemple, pour les utilisateurs de Google Chrome, appuyer sur la touche F12 ouvre l’interface des outils de développement.

[2] Une recherche robotisée fait référence à une demande de recherche émise par un programme informatique.

https://www.pcpd.org.hk/english/news_events/media_statements/press_20250312.html