Committee
Consult the user guide
For assistance, please contact us
Consult the user guide
For assistance, please contact us
Add search criteria
Results: 1 - 15 of 15
View David de Burgh Graham Profile
Lib. (QC)
Earlier, we were talking about passwords. Nowadays, we see two-factor authentication being used a lot more for bank accounts. Could the same thing be done for social insurance numbers?
Tout à l'heure, on a parlé de mots de passe. Maintenant, on voit beaucoup plus l'authentification de deux facteurs en ce qui concerne les comptes de banque. Pourrait-on faire la même chose pour le numéro d'assurance sociale?
View Michel Picard Profile
Lib. (QC)
I'd like to revisit the issue of a unique identifier.
Other models exist. On other committees, we've talked about the popular Estonian model, I believe. It's a system that's in line with our discussions on open banking. All the information is centralized and people can access it using a unique identification number.
At the end of the day, no matter what you call it, a social insurance number is a unique identification number, so it's important to understand the system's limitations. It's all well and good to have the ultimate ultra-modern system, but if a single unique identifier is assigned to an individual, the information will always be vulnerable if someone gets a hold of it.
J'aimerais revenir sur la question de l'identifiant unique.
Il y a d'autres modèles. Dans d'autres comités, on a parlé du fameux modèle de l'Estonie, je crois. Ce système va dans le sens des discussions que nous avons eues sur le système bancaire ouvert, où toute l'information est centralisée et où les gens peuvent y avoir accès en fournissant un numéro d'identification unique.
Au bout du compte, peu importe le nom qu'on lui donne, le numéro d'assurance sociale est un numéro d'identification unique. Il faut comprendre les limites de notre système. On a beau avoir un système ultra moderne et par excellence, si on revient à une seule et unique façon d'identifier quelqu'un, la donnée sera toujours vulnérable si quelqu'un met la main dessus.
View Pierre Paul-Hus Profile
CPC (QC)
The investigation has nothing to do with it because we know how the data breach happened. We also have an idea of where the data was sent, but, at the moment, that is not what we are interested in. We know that someone, somewhere on the planet, has our information and is in a position to harm us by stealing our identity. So we want to know whether our agencies can become proactively involved or, if not, what can be done.
You have a solution in my case, so that is already something that the public could be told about. It is important to do that quickly because people are not in a very good mood during their holidays. Then we will have to see if something else can be done.
The issue of the social insurance number has come up everywhere. A number of suggestions have been made. You are responsible for that file and you are saying that nothing can be done, at least not in that way. These are the answers that people need to hear. But the fact remains that we have to leave here telling people what the government can do to help, first Desjardins and second, the 2.9 million people who have been affected. We are hearing a lot about internal protocols, but, for the Canadians listening to us, that does not mean a lot. This is why I want to hear clear answers. I know that you are giving them when you can, but basically, when we leave here, we will need to know what can be done.
L'enquête n'a rien à y voir, car on sait comment la fuite de données a eu lieu. On a aussi une idée de l'endroit où elles ont été envoyées, mais, pour l'instant, ce n'est pas cela qui nous intéresse. On sait qu'il y a quelqu'un, quelque part sur la planète, qui a nos coordonnées et qui peut nous faire du mal en volant notre identité. Nous voulons donc savoir si nos agences peuvent intervenir de façon proactive ou non, et ce qu'on peut faire si ce n'est pas le cas.
Vous avez une solution concernant mon dossier, alors c'est déjà un élément qui pourrait être communiqué aux citoyens. Ce serait important de le faire rapidement, parce que les gens ne sont pas de très bonne humeur pendant leurs vacances. Ensuite, il faudra voir si on peut faire autre chose.
La question du numéro d'assurance sociale a été soulevée partout. Plusieurs ont fait des suggestions. Vous êtes responsable de ce dossier et vous dites qu'il n'y a rien à faire, du moins pas de cette façon. Ce sont des réponses qu'on doit entendre, mais il reste qu'il faut sortir d'ici en disant aux gens ce que le gouvernement peut faire pour aider Desjardins, premièrement, et deuxièmement, les 2,9 millions de personnes touchées. On entend beaucoup parler de protocoles internes, mais, pour les citoyens qui nous écoutent, cela ne veut pas dire grand-chose. Voilà pourquoi j'aime entendre des réponses claires. Je sais que vous en donnez quand vous le pouvez, mais en fin de compte, lorsqu'on va sortir d'ici, il faudra savoir ce qu'on peut faire.
View Matthew Dubé Profile
NDP (QC)
Thank you, Mr. Chair.
Thank you all for taking the time to come here today.
Ms. Boisjoly, I was struck by one point in your reply to Mr. Drouin. You said that a personal data breach does not lead to identity theft. That is basically what brings us here today. Canadians want to avoid identity theft, of course; it’s their main concern. I have some questions about it.
You said that people should report suspicious activities associated with a social insurance number. I am a federal lawmaker and I don’t know what a suspicious activity associated with a social insurance number is. I have never been a victim of fraud, thank heavens, and the same goes for the people around me, touch wood. However, I do know people who have been victims. They find out when they receive a bill for a cellphone they do not have, or for a Canadian Tire credit card that they never applied for. They end up with debts and obligations that are not theirs.
Can you tell me exactly what a suspicious activity associated with a social insurance number is?
Merci, monsieur le président.
Merci à vous tous d'avoir pris le temps de venir ici aujourd’hui.
Madame Boisjoly, j’ai retenu un point dans votre réponse à M. Drouin. Vous avez dit qu’une fuite de données personnelles ne mène pas au vol d’identité. C’est un peu ce qui nous amène ici aujourd’hui. Les citoyens veulent justement éviter un vol d’identité; c’est la préoccupation principale. Dans ce contexte, j’ai quelques questions à poser.
Vous avez dit que les gens devraient rapporter les activités suspectes liées au numéro d’assurance sociale. Je suis un législateur fédéral et je ne sais pas ce qu'est une activité suspecte liée au numéro d’assurance sociale. Dieu merci, je n’ai jamais été victime de fraude, et c'est la même chose pour les gens de mon entourage. Je touche du bois. Cependant, je connais des gens qui en ont été victimes. Ils l'apprennent quand ils reçoivent une facture de téléphone cellulaire qu'ils n'ont pas ou une carte de crédit de Canadian Tire qu'ils n'ont jamais demandée. Ils se retrouvent avec des dettes et ont des obligations qui ne sont pas les leurs.
Pouvez-vous me dire ce qu'est exactement une activité suspecte liée au numéro d’assurance sociale?
View Matthew Dubé Profile
NDP (QC)
As for getting a new social insurance number, I have a little difficulty understanding. Basically, the argument is that it becomes complicated for people. In principle, a social insurance number is issued for reasons of efficiency. A unique identifier makes transactions with government agencies easier.
Forgive me if this analogy may not be an exact one. If I see a problem with my credit card today, the bank or the company that issued it is still able to transfer a balance or to link the legitimate transactions on my credit card that has been used fraudulently and the new one it sent to me.
Why would a financial institution be able to do that, while you are not able to say that someone’s social insurance number has been compromised and to give them a new number? A former employer, for example, might have to take care of questions about that person’s pension. Knowing that is the same person, why are you not able to link the previous social insurance number to a new one? You may perhaps have to do some additional checking, given that the number has been compromised. But I am still having a little difficulty understanding why you can’t do it.
Concernant l'obtention d'un nouveau numéro d'assurance sociale, j’ai un peu de difficulté à comprendre. Dans le fond, l’argument, c’est que cela devient compliqué pour le citoyen. En principe, on attribue un numéro d’assurance sociale pour des raisons d'efficacité. Un identifiant unique vise à faciliter les transactions avec les instances gouvernementales.
Vous me pardonnerez cette comparaison qui n’est peut-être pas exacte. Si, aujourd’hui, je constate un problème lié à ma carte de crédit, la banque ou la compagnie émettrice est quand même en mesure de transférer un solde ou de faire le lien entre les transactions légitimes sur ma carte de crédit fraudée et le nouveau numéro de carte qu'elle m'a envoyée.
Pourquoi une institution financière pourrait-elle faire cela alors que, de votre côté, vous n’êtes pas capable de dire que le numéro d'assurance sociale d'une personne est compromis et qu’elle a un nouveau numéro? Un ancien employeur pourrait devoir s'occuper, par exemple, de questions qui concernent la pension de cette personne. Sachant que c'est la même personne, pourquoi n’êtes-vous pas capable de faire le lien entre l’ancien et le nouveau numéro d'assurance sociale? Il faudrait peut-être faire une vérification additionnelle, étant donné que le numéro a été compromis, mais il reste que j'ai un peu de difficulté à comprendre pourquoi vous ne pouvez pas faire cela.
View Matthew Dubé Profile
NDP (QC)
I am sorry to interrupt you, but, if I lose my credit card, it does not necessarily mean that it has been stolen. It may have fallen down a sewer somewhere, meaning that it will never be seen or used again. I would still call my bank, Visa or whomever, to ask them to cancel the card. I would still keep checking and I would have some peace of mind, knowing that I am protected.
Why not use the same logic for victims of breaches of personal data, especially ones that are all over the news? To make sure they are protected, people want to dot all the i's and cross all the t's that they can. They change their credit cards and everything, as they do when they lose their wallets. Why not proceed in the same way?
Je suis désolé de vous interrompre, mais, si je perds ma carte de crédit, cela ne veut pas nécessairement dire qu'elle a été volée. Elle est peut-être tombée quelque part dans un égout, de sorte qu'on ne la reverra plus jamais et qu'elle ne sera pas utilisée. J'appellerais tout de même ma banque, Visa ou peu importe, pour lui demander d'annuler cette carte. Je ferais quand même des vérifications et j'aurais la paix d'esprit en sachant que je suis protégé.
Pourquoi ne pas suivre la même logique pour un citoyen victime d'une fuite de données personnelles, qui, en plus, est hautement médiatisée? Le citoyen veut mettre tous les points-virgules qu'il peut pour se protéger. Il change ses cartes de crédit et tout le reste, comme on le fait quand on perd son portefeuille. Pourquoi ne pas procéder de la même façon?
View Alupa Clarke Profile
CPC (QC)
Fine.
In your introduction, you mentioned very humbly and respectfully that you had some questions. Personally, I would have liked to know your answers as an expert in your field. I don't remember your first question very well, but it was still interesting. You were wondering if Canada had an adequate system for social insurance numbers, for example. I would like to know your perspective on this.
D'accord.
Dans votre introduction, vous avez mentionné très humblement et respectueusement que vous aviez quelques questions. Personnellement, j'aurais aimé connaître vos réponses en tant qu'expert dans votre domaine. Je ne me souviens pas très bien de votre première question, mais c'était quand même intéressant. Vous vous demandiez si le Canada avait un système adéquat en ce qui a trait aux numéros d'assurance sociale, par exemple. J'aimerais connaître votre perspective là-dessus.
View Alupa Clarke Profile
CPC (QC)
I have a supplementary question, which will probably be the last one. I am addressing Mr. Cormier, the citizen.
You made a very important announcement this morning. You said that the protection applies to all members, whether or not they are affected by this unfortunate event. You said all they have to do is call you and you can take care of them. You will establish contacts, take action and take the necessary steps.
Do you think that's exactly the kind of attitude that the government, the federal state, should have right now towards the 2.9 million Canadian citizens?
Citizens are being asked to contact us, and I think it is the federal government that should contact citizens. Let's say that citizens are communicating with the federal government, shouldn't the federal government have the same approach as you and say that it takes care of everything?
The representative of Employment and Social Development Canada said that, if citizens' social insurance numbers were changed, they would have to call all their former employers. That's not what you're doing. You, incredibly, say you're going to take care of everyone at the last minute.
As a citizen, would you like the federal government to act in the same way towards the affected members?
J'ai une question supplémentaire, qui sera probablement la dernière. Je m'adresse ici à M. Cormier, le citoyen.
Vous avez fait une annonce fort importante ce matin. Vous dites que la protection s'applique à l'ensemble des membres, qu'ils soient touchés ou non par ce malheureux événement. Vous avez dit qu'ils n'ont qu' à vous appeler pour que vous vous occupiez d'eux. Vous allez établir les contacts, prendre les mesures et entreprendre les démarches qui s'imposent.
Pensez-vous que ce soit exactement ce genre d'attitude que le gouvernement, l'État fédéral, devrait avoir en ce moment envers les 2,9 millions citoyens canadiens?
On demande aux citoyens de prendre contact avec nous, or je pense que c'est le gouvernement fédéral qui devrait prendre contact avec les citoyens. Disons que les citoyens entrent en communication avec le gouvernement fédéral, ce dernier ne devrait-il pas avoir la même approche que vous et dire qu'il s'occupe de tout?
La représentante d'Emploi et Développement social Canada disait que, si l'on changeait les numéros d'assurance sociale des citoyens, ceux-ci devraient appeler tous leurs anciens employeurs. Ce n'est pas ce que vous faites. Vous, incroyablement, vous dites que vous allez vous occuper de tout le monde à la dernière minute.
En tant que citoyen, aimeriez-vous que le gouvernement fédéral agisse de la même façon envers les membres touchés?
View David de Burgh Graham Profile
Lib. (QC)
Thank you.
Ms. Boisjoly, earlier you heard the people from Desjardins talk about the need to rethink the social insurance number system. Is research being done on the future of the social insurance number?
Merci.
Madame Boisjoly, vous avez entendu les gens de Desjardins tout à l’heure parler du besoin de repenser le système du numéro d’assurance sociale. Est-ce qu’on fait des recherches pour savoir quel est le futur du numéro d’assurance sociale?
View David de Burgh Graham Profile
Lib. (QC)
Among the data that was taken, we know that there was a lot of information, not just social insurance numbers. There were also addresses, phone numbers, and so on. You have spoken several times about additional information to authenticate the social insurance number. Is all this information included in the data that was taken?
Parmi les données qui sont sorties, on sait qu'il y avait beaucoup d'informations, et pas seulement des numéros d'assurance sociale. Il y avait aussi des adresses, des numéros de téléphone, notamment. Vous avez parlé à plusieurs reprises d'informations supplémentaires pour authentifier le numéro d'assurance sociale. Toutes ces informations figurent-elles parmi les données qui sont sorties?
View David de Burgh Graham Profile
Lib. (QC)
Is there a way to indicate somewhere that the social insurance number is no longer valid and then remove the liability associated with it?
If I change my social insurance number and I am still responsible for the old one, in my opinion, it doesn't make sense. Can you tell us more about this?
Existe-t-il une manière d'indiquer quelque part que le numéro d'assurance sociale n'est plus valide et alors retirer la responsabilité qui y est liée?
Si je fais changer le numéro d'assurance sociale et que je suis toujours responsable de l'ancien, à mon avis, cela n'a pas entièrement d'allure. Pouvez-vous nous en dire plus à ce sujet?
View Rhéal Fortin Profile
BQ (QC)
Thank you, Mr. Chair.
I'll start with Ms. Boisjoly.
If we consider that the social insurance number was created in 1964 to govern employer-employee and government-to-government relations, we see that it is used in every way now, but in any case, much more widely than before.
Wouldn't it be necessary to review the security regulations concerning its use? For example, there could be a PIN that matches the health card, fingerprints or other data, for example.
In your opinion, can anything be done with this?
Merci, monsieur le président.
Je vais commencer avec Mme Boisjoly.
Si l'on considère que le numéro d'assurance sociale a été créé en 1964 pour régir les relations employeurs-employés et avec l'État, on voit qu'il est utilisé à toutes les sauces maintenant, mais en tout cas, beaucoup plus largement qu'auparavant.
N'y aurait-il pas lieu de revoir les règles de sécurité concernant son utilisation? Par exemple, avoir un NIP assorti à la carte d'assurance-maladie, à des empreintes ou autres données, par exemple.
À votre avis, y a-t-il quelque chose à faire avec cela?
View Rhéal Fortin Profile
BQ (QC)
Correct me if I'm wrong, but the social insurance number is valid, regardless of whether or not we have matching questions.
I am asked for my social insurance number for a transaction, whatever it is, with a bank, or whatever. I don't have a PIN. I just have the number.
Corrigez-moi si je me trompe, mais le numéro d'assurance sociale est valide, peu importe qu'on ait ou non des questions assorties.
On me demande mon numéro d'assurance sociale pour une transaction, quelle qu'elle soit, avec une banque, ou peu importe. Je n'ai pas de NIP. J'ai juste le numéro.
View Rhéal Fortin Profile
BQ (QC)
It depends on the companies we request services from, but, I agree, you're right.
Wouldn't a penalty be appropriate? We see that retailers or banks frequently ask for social insurance numbers, and this is not always necessary. Shouldn't there be a system of penalties for those who ask for a social insurance number when they don't need it?
Cela dépend des entreprises à qui l'on demande des services, mais, j'en conviens, vous avez raison.
N'y aurait-il pas lieu d'imposer une pénalité? On voit que des commerçants ou des banques demandent fréquemment les numéros d'assurance sociale, et cela n'est pas toujours nécessaire. N'y aurait-il pas lieu d'instaurer un système de pénalités pour ceux qui font une demande de numéro d'assurance sociale alors qu'ils n'en ont pas besoin?
View Rhéal Fortin Profile
BQ (QC)
Couldn't we include criminal provisions in the act for this, whether it be a fine or some other sanction?
Ne pourrait-on pas inclure à la Loi des dispositions pénales pour cela, que ce soit une amende ou autre?
Results: 1 - 15 of 15

Export As: XML CSV RSS

For more data options, please see Open Data