Protégez ces données que je ne saurais voir! par Pierre-Marc Gendron


« Par de pareils objets les âmes sont blessées; et cela fait venir de coupables pensées. » — Tartuffe, III, 2 (v. 860-862)

Les technologies mobiles ont complètement bouleversé nos habitudes de vie. Jadis un outil permettant d’accéder à Internet de manière sporadique, les appareils mobiles permettent désormais de faire pratiquement tout ce qui se faisait sur un ordinateur. Dans une série de deux articles, nous vous proposons une analyse des enjeux liés à la cybersécurité ainsi qu’un survol des meilleures pratiques en matière de gouvernance d’entreprise liée à la cybersécurité.

D’un point de vue commercial, les technologies mobiles et l’informatisation des entreprises permettent dorénavant de recueillir et d’analyser une multitude de renseignements sur les consommateurs.

Ces données, lorsque combinées entre elles, permettent d’établir des profils très précis sur les consommateurs afin de prédire leurs comportements. Certaines entreprises n’hésitent pas à modifier les produits affichés sur la page d’accueil de leur site Internet ou les mots affichés sur les interfaces de leur site Internet en fonction des profils qu’elles détiennent sur leurs usagers. Ces données sont d’une grande valeur pour les entreprises, de sorte qu’elles développent et utilisent de plus en plus de méthodes afin de les recueillir. Or, d’un point de vue juridique, ces données peuvent représenter des renseignements personnels, et par conséquent, pourraient devoir être protégées par les entreprises qui en font la collecte. D’ailleurs, ces profils constituent des cibles de choix pour des pirates informatiques qui désirent mettre la main sur des renseignements personnels.

La question à se poser à l’heure actuelle relativement à une cyberattaque n’est pas : est-ce que mon entreprise sera victime d’une attaque? La question est plutôt : est-ce que mon entreprise est prête lorsqu’elle sera victime d’une attaque? Qu’elle soit en processus de démarrage ou que ce soit une multinationale, aucune entreprise n’est à l’abri d’une cyberattaque. De plus, aucune quantité de systèmes informatiques ne peut suffire à prévenir toutes les attaques.

De prime abord, il pourrait être tentant de croire que la cybersécurité relève uniquement du département informatique. Or, du point de vue juridique, les enjeux liés à la cybersécurité concernent le droit à la protection des renseignements personnels. Dans ce premier article, nous vous proposons un survol des principales lois applicables en matière de protection des renseignements personnels dans le secteur privé.

Tout d’abord, un renseignement sera considéré comme étant un renseignement personnel s’il concerne un individu en particulier et s’il permet de l’identifier. Selon la jurisprudence, les renseignements seront des renseignements concernant un individu identifiable lorsqu’il y a de fortes possibilités que l’individu puisse être identifié par l’utilisation de ces renseignements, seuls ou en combinaison avec des renseignements d’autres sources.

Tant le Parlement du Canada que l’Assemblée nationale du Québec ont adopté des lois en matière de protection des renseignements personnels. Pour les entreprises québécoises, la loi applicable n’est pas nécessairement celle du Québec. La loi provinciale ne s’applique qu’aux renseignements dont la collecte, la communication ou l’utilisation sont limités au territoire de la province. Dès que la collecte, la communication ou l’utilisation de ces renseignements ont lieu à l’extérieur de la province, la loi fédérale s’applique.

La loi fédérale (la Loi sur la protection des renseignements personnels et les documents électroniques) et la loi provinciale (la Loi sur la protection des renseignements personnels dans le secteur privé) visent essentiellement les mêmes principes, bien que leur implantation soit quelque peu différente.

Ces lois imposent qu’une entreprise obtienne le consentement des individus afin de procéder à la collecte, au stockage, à la communication ou à l’utilisation des renseignements personnels. Le consentement doit être donné de manière libre et éclairée, de sorte que l’individu puisse raisonnablement comprendre comment ses renseignements personnels seront communiqués ou utilisés. La collecte de renseignements personnels doit aussi être limitée à ce qui est nécessaire pour les fins identifiées au moment de la collecte. La communication, l’utilisation et la rétention de renseignements personnels doivent être limitées aux fins pour lesquelles le consentement a été obtenu et pour aussi longtemps que nécessaire pour l’accomplissement de ces fins.

Les entreprises ont aussi l’obligation de mettre en place des mesures de sécurité appropriées, eu égard à la nature sensible des renseignements personnels détenus. Ces mesures doivent protéger les renseignements personnels contre la perte ou le vol ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisée. Les organisations doivent protéger les renseignements personnels, quelle que soit la forme sous laquelle ils sont conservés.

Des modifications apportées à la loi fédérale le 18 juin 2015 prévoient notamment que les entreprises auront bientôt une obligation de communiquer toute faille dans leurs mesures de sécurité auprès du Commissaire à la vie privée du Canada, ainsi qu’aux individus dont les renseignements personnels ont été compromis et qu’il est raisonnable de croire que cette atteinte causera un risque réel de préjudice grave. Aussi, les entreprises auront l’obligation de tenir un registre de toutes les atteintes aux mesures de sécurité. Pour le moment, ces dispositions ne sont pas encore en vigueur.

Une cyberattaque aura assurément un impact sur votre profitabilité. En effet, suite à une attaque, vous encourrez des frais afin, notamment, de rétablir vos opérations, restaurer vos données et indemniser vos clients. Les conséquences peuvent cependant être beaucoup plus dramatiques. Nous n’avons qu’à penser aux tenants et aboutissants de l’affaire Ashley Madison, où des millions d’individus ont vu publiés leurs renseignements personnels reliés à un site Internet faisant la promotion de l’adultère. Suite à ce scandale, le président de l’entreprise a été contraint de démissionner. Aussi, on rapporte au moins un suicide lié à cette attaque.

Dans la prochaine édition du bulletin, nous verrons comment appliquer et mettre ces concepts en application dans votre entreprise.

 
Envoyer à un(e) collègue | Imprimer  | Nouvelle précédente  | Nouvelle suivante

 
 
  S'abonner | Se désabonner |  Communiquer avec nous  | Avis juridique |  Webmestre
   © CIPS, 2017. Tous droits réservés.
 
   
Activités de nos membres
Portail Client ROBIC
Archives
S'abonner
 
Pour visualiser notre brochure électronique, cliquez ici