Il est temps de réfléchir aux procédures de confidentialité de votre organisation

L’avocat d’Ottawa Kris Klein conseille les organisations canadiennes sur la façon de mettre en place des politiques et des procédures pour se conformer aux obligations légales fédérales et provinciales en matière de confidentialité des données.

Plus tôt ce mois-ci, il a été confronté à la collecte de données en tant que consommateur. « Je garais ma voiture dans une épicerie », se souvient-il dans une interview, « et pour obtenir les 30 minutes de stationnement gratuit, j’ai dû enregistrer ma voiture sur une application. J’ai donc dû télécharger l’application, entrer mes informations personnelles – mon nom, mon adresse de courriel, mon numéro de plaque d’immatriculation et un mot de passe ».

« Est-ce que j’ai vraiment confiance que cette petite, petite application de stationnement pas très sophistiquée protégera mes informations personnelles ? Non », a déclaré Klein, associé du cabinet d’avocats nNovation et directeur général de l’International Association of Privacy Professionals Canada. « Mais je n’avais pas le choix. »

Il aurait été préférable que l’application mobile ait au moins une petite explication de la politique de confidentialité du fournisseur de services, a-t-il déclaré.

Des incidents comme celui-ci avec de petites entreprises, a-t-il ajouté, « sont les domaines qui, selon moi, présentent le plus grand risque pour nous maintenant ».

Quelle est l’ampleur du problème de confidentialité des données d’une application de stationnement ? Cela dépend de l’étendue de son utilisation. L’année dernière, la ville de Calgary a découvert que des informations personnelles sur près de 146 000 personnes utilisant l’application ParkPlus de la ville de Calgary étaient accessibles au public sur un serveur exposé pendant plus de deux mois.

C’est une chose à laquelle les chefs d’entreprise et les chefs de file de la technologie devraient penser pendant la semaine de la confidentialité des données, qui commence aujourd’hui. Cela a commencé par la Journée de la protection des données chaque 28 janvier, une commémoration de la signature en 1981 de la Convention 108 du Conseil de l’Europe, le premier traité international juridiquement contraignant traitant de la vie privée et de la protection des données. Plus récemment, il s’est étendu à une semaine de réflexion pour les particuliers et les entreprises

La confidentialité des données et la cybersécurité sont les deux faces d’une même médaille : une organisation ne peut pas avoir de confidentialité des données sans cybersécurité.

Notez que la loi fédérale sur la protection des renseignements personnels du Canada stipule que les entreprises ne peuvent recueillir, utiliser ou divulguer des renseignements personnels qu’à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances.

La loi stipule également que les informations personnelles doivent être protégées par des mesures de sécurité adaptées à la sensibilité de l’information.

De nombreux responsables informatiques et d’entreprise pensent que la confidentialité des informations personnelles qu’ils détiennent est un problème pour les grandes entreprises et les gouvernements. Mais des incidents comme celui auquel Klein a été confronté – une pression exercée par une petite ou moyenne entreprise – rappellent que la confidentialité des données concerne toutes les organisations.

Klein a déclaré que si elles ne l’ont pas déjà fait, les organisations devraient demander cette semaine si ce qu’elles font implique des informations personnelles sensibles – et cela peut concerner des consommateurs, des partenaires et des employés – et s’il existe des risques pour les individus. Si la réponse est oui, « vous devriez en faire plus pour vous assurer que vous respectez les obligations en matière de confidentialité. Il n’y a pas une seule solution qui convient à tous », a-t-il averti. « Vous devez déterminer où vous vous situez sur le spectre [des risques] et développer un programme qui convient à votre organisation. »

D’après l’expérience de Klein, les grandes entreprises canadiennes sont celles qui dépensent le plus de temps, de ressources et d’argent pour s’assurer qu’elles se conforment aux réglementations fédérales et provinciales. « Les petites et moyennes entreprises ont plus de mal à prioriser cela. »

Il existe trois grands problèmes de confidentialité pour les professionnels des données et de la sécurité :

  • Obtenir le consentement valable des individus pour collecter et utiliser leurs données personnelles. La Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE) exige que les particuliers sachent ce qui est recueilli, à quoi il servira et avec qui il sera partagé..
  • La conservation des données. Les lois obligent les entreprises à ne conserver les données que le temps nécessaire. Combien de temps est-ce ? Prenons l’exemple du vol de données sur 9,7 millions de clients par un employé de la Caisse populaire Desjardins. Sur ce total, environ la moitié étaient d’anciens clients de l’institution.
  • Informer les victimes et les autorités de réglementation fédérales ou provinciales des violations de données. La loi fédérale sur la protection de la vie privée, qui peut être similaire aux lois provinciales, exige la notification des victimes si la violation peut impliquer un risque réel de préjudice important pour une personne. Cela dépendra de la sensibilité des informations personnelles impliquées dans la violation et de la probabilité que les informations personnelles aient été, soient ou seraient utilisées à mauvais escient par l’attaquant.

L’article original (en anglais) est disponible sur IT World Canada, une publication sœur de Direction informatique.

Adaptation et traduction française par Renaud Larue-Langlois.

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected]

Articles connexes

Les consommateurs et les entreprises n’ont pas les mêmes priorités en matière de confidentialité

Selon des recherches récentes de Cisco Systems, les consommateurs et les chefs d'entreprise ont des priorités différentes en matière de confidentialité des données.

Un comité parlementaire exhorte Ottawa à suspendre l’utilisation de la reconnaissance faciale

L'utilisation de la technologie de reconnaissance faciale par les entreprises et les agences gouvernementales devrait être strictement contrôlée, selon une commission parlementaire.

Twitter incapable de protéger les données des utilisateurs, selon un ancien RSI

L'ancien responsable de la sécurité de l'information (RSI) de Twitter a porté une série d'accusations graves contre son ancien employeur lors d'un témoignage devant le Congrès américain, y compris des allégations selon lesquelles des agents étrangers d'Inde et de Chine travaillaient pour l'entreprise et que des dirigeants de Twitter induisaient en erreur le public et les régulateurs sur la sécurité des données.

Meta aurait accepté un règlement de 37,5 M$ US dans le cadre d’une poursuite pour violation de la vie privée

Meta, la société mère de Facebook, a accepté de payer 37,5 millions de dollars pour régler un procès alléguant que la plate-forme de médias sociaux a violé la vie privée des utilisateurs en suivant leurs mouvements sans autorisation.

Plus de poursuites judiciaires probables dans l’affaire de divulgation de documents de Waterloo, affirme un expert

Une récente affaire de divulgation de documents qui a forcé TextNow Inc. de Waterloo en Ontario à nommer deux de ses abonnés accusés d'avoir terrorisé les employés de la société de jeux Bungie Inc. pourrait entraîner de nouvelles poursuites civiles ou pénales contre ceux-ci, affirme l'avocat spécialisé en cybersécurité Imran Ahmad.