Pouvez-vous rassurer vos employés et vos clients sur la sécurité et la protection de leurs données?

Personne-ressource : Antoine Hamel Rancourt

Le 28 janvier prochain, le Québec, comme plusieurs juridictions à travers le monde, soulignera La journée de la protection des données. Alors que les gouvernements lancent des campagnes de sensibilisation afin de promouvoir une utilisation sécuritaire de la technologie, les citoyens canadiens sont de plus en plus préoccupés par la sécurité de leurs renseignements personnels qui sont détenus par des organisations. Une analyse de 2013 révélait que 66 % des Canadiens se sont dits très préoccupés par la protection de leur vie privée1

En parallèle, un sondage effectué auprès de 1 006 entreprises canadiennes a révélé que 55 % n’ont pas de politique sur la protection des renseignements personnels et que 67 % n’ont pas de procédure permettant d’évaluer les risques d’atteinte à la vie privée relatifs à leurs produits, services ou technologies.2

À la lumière des atteintes, pertes, brèches et attaques informatiques mises au jour au cours des derniers mois, les préoccupations des Canadiens ne sont pas sans fondement. En effet, les manchettes des derniers mois illustrent le nombre grandissant d’incidents tels que : 

  • La mise en ligne au mois d’octobre 2014 d’un site qui diffusait le contenu capté par des caméras de vidéosurveillance et de webcams;
  • À l’automne 2014, la filiale américaine d’une banque canadienne a accepté de verser un montant de plus de 1,4 M$ US en règlement d’une poursuite alléguant le défaut de la banque d’aviser les personnes concernées en temps opportun de l’atteinte à la confidentialité de leurs données. La poursuite alléguait que des bandes de sauvegarde comportant des renseignements personnels relatifs à 260 000 personnes avaient été perdues.
  • À la suite de la très publicisée cyber-attaque contre Sony, celle-ci fait l’objet de recours collectifs déposés par des employés alléguant que les mesures de sécurité et la politique de conservation de données en place comportaient des lacunes qui ont permis à des pirates informatiques d’accéder à leurs renseignements personnels. Au-delà des valses-hésitations de Sony sur le lancement du film « The Interview », il faut savoir que ces pirates ont publié des données salariales de plus 6 000 employés de Sony. Le réseau PlayStation de Sony a, au surplus, été attaqué, entraînant une interruption de service entre les 24 et 26 décembre 2014.
  • Au début du mois de janvier 2015, Morgan Stanley a indiqué qu’un de ses employés avait volé de l’information sur 350 000 clients; 

Et nous pouvons ajouter à cette liste :

  • Les vols d’information de cartes de crédit survenus dans les chaînes de commerce de détail comme Target, K-Mart, Home Depot et Staples;
  • Les brèches de sécurité et les accès non autorisés ayant affecté Apple;
  • Les centaines d’atteintes à la confidentialité aux renseignements détenus par le gouvernement du Canada au cours des deux dernières années; 

La diversité de ces attaques et incidents démontre que personne n’est à l’abri et que l’évaluation du risque de devenir la cible d’une attaque se révèle difficile. 

Au Québec, la Loi sur le cadre juridique des technologies de l’information et la Loi sur la protection des renseignements personnels dans le secteur privé imposent des obligations aux organisations en matière de sécurité informationnelle. Au-delà des processus et des technologies de sécurité qui doivent être mises en place et régulièrement révisées, les brèches invoquées ci-dessus militent pour une approche qui intègre la sécurité de l’information et la protection des renseignements personnels dans la culture des organisations. Les organisations, leurs clients et leurs employés doivent être conscients des risques inhérents qui découlent de l’utilisation d’un réseau public et de l’impossibilité d’écarter toutes les vulnérabilités affectant les technologies de l’information. 

Néanmoins, tel que l’illustre l’épisode de Sony, ces mêmes clients et employés s’attendent légitimement à ce que les organisations auxquelles ils confient leurs renseignements personnels, ou dont ils acquièrent les produits ou services, se préoccupent de leur protection, qu’elles déploient des efforts raisonnables à cette fin, en adoptant et révisant régulièrement leurs politiques, leurs processus et mesures de sécurité et qu’elles agissent avec célérité en cas d’atteintes de façon à minimiser les dommages susceptibles d’en découler. 

C’est sur ces aspects que nous vous recommandons de procéder à un examen de vos politiques et processus d’affaires afin de vous assurer que vous encadrez adéquatement la collecte, la conservation, l’accès et la destruction des renseignements personnels et que vous saurez agir en temps opportun en cas d’atteinte, de bris ou d’attaque. 

Nos professionnels en droit des technologies de l’information et de la protection de la vie privée peuvent vous assister dans cet exercice de révision ou d’élaboration de vos politiques et processus. 

Bonne journée de la protection des données!

__________

1 Commissariat à la protection de la vie privée au Canada, Sondage auprès des Canadiens sur les enjeux liés à la protection de la vie privée, Phoenix Strategic Perspectives, Janvier 2013 https://www.priv.gc.ca/media/3360/por_2013_01_f.pdf.
2 Commissariat à la protection de la vie privée au Canada, Les entreprises canadiennes et les renseignements personnels, Phoenix Strategic Perspectives, Janvier 2013 https://www.priv.gc.ca/information/por-rop/2014/por_2013_12_f.asp.

Flèche vers le haut Montez