Les incidents d’égarement et de vol de données informatiques qui font la manchette depuis quelques jours suscitent beaucoup de controverse. Le moment est-il venu d’établir une loi à la Sarbanes-Oxley à propos de l’utilisation des renseignements confidentiels et économiques en format électronique?
Bien souvent, un événement majeur doit survenir pour qu’un enjeu, qui est important en théorie, mais qui suscite peu d’inquiétude en pratique, fasse l’objet de changements de comportement majeurs ou bien de l’application de règles strictes. Les technologies de l’information, qui prennent une importance accrue au quotidien dans la vie des individus et des organisations, jouent les rôles de cause, de conséquence ou de témoin dans ces événements navrants et malheureux.
Au cours des six ou sept dernières années, des scandales financiers et comptables qui ont eu lieu au sein d’entreprises, notamment du secteur des technologies de l’information et des communications, ont causé beaucoup d’émoi. Des investisseurs ont perdu leurs économies et des employés ont perdu leurs emplois parce que des sociétés ont appliqué des pratiques irrégulières. Au cours d’enquêtes ou de procès, des documents importants ont été déclarés effacés, disparus ou éliminés, tandis que d’autres documents et des courriels ont été récupérés et déposés en preuve.
En raison des impacts de pratiques non appropriées sur l’économie de la société et sur la vie des citoyens, les politiciens et les législateurs ont mis en place des règles qui ont trait à la déclaration et à la conservation d’informations importantes, afin que ces situations ne se reproduisent plus. Ces règles contiennent des provisions qui ont spécifiquement trait aux TIC. Notamment, les États-Unis ont la loi Sarbanes-Oxley, et le Canada, la loi C-198, qui obligent l’exécution de contrôles et d’audits des systèmes informatiques de gestion et de rapport des données financières. Informations bien conservées, et les vaches seront bien gardées, pourrait-on paraphraser…
Surviennent alors les incidents de la société Talvest et de The TJX Companies, où respectivement l’égarement d’une copie de sauvegarde et une intrusion dans un système informatique ont amené à l’avant-plan l’enjeu de l’utilisation et de la conservation des données confidentielles.
L’informatisation des données au moyen des TIC, pour la saisie, le stockage et la transmission, a grandement facilité la vie des particuliers et des entreprises. Fini, les chèques remplis à la main. Fini, les documents manuscrits contenus dans des filières et transmis par camion, contenus dans des caisses. Des cartes de plastique, des terminaux, des serveurs, des réseaux informatisés et des supports de stockage amovibles rendent les choses tellement plus pratiques… On n’arrête pas le progrès!
Dans le contexte du commerce, de l’épargne et des investissements, bien des données confidentielles sont informatisées et transmises d’un détenteur à des entités qui en ont besoin pour réaliser des transactions. Ces données qui contiennent des renseignements cruciaux et précieux, mais bien peu de personnes s’interrogent à savoir ce qu’en font ceux et celles à qui elles sont confiées.
Et les questions sont nombreuses : qui doit recevoir quoi, et pourquoi? Où met-on ces données? Est-ce sécurisé? Qui y a accès? En fait-on des copies? S’en sert-on pour faire des dossiers, des analyses, des recoupements? Sont-elles remises à d’autres entités, à qui et pourquoi? Sont-elles déplacées d’un lieu physique à un autre? Combien de temps sont-elles conservées, et pourquoi? Comment s’en débarrasse-t-on? Etc.
Données du souci
Les deux incidents qui ont fait la manchette causent bien des soucis aux individus qui voient leurs données confidentielles utilisées à mauvais escient. Plusieurs perdront des sous. Les victimes sont médusées, alors que les représentants des consommateurs, défenseurs de la vie privée, enquêteurs et les spécialistes en sécurité sont outrés de telles situations.
Les entreprises mises en cause sont également dans l’embarras : comment est-ce possible que des données précieuses aient fait l’objet d’une négligence en matière de sécurité? La confiance des consommateurs envers ces entreprises, mais également envers les technologies de l’information et le commerce électronique, pourrait être sérieusement ébranlée.
Dire qu’il n’y a pas si longtemps, les coffres-forts et les salles blindées étaient la norme pour protéger les biens et les documents physiques des commerces et des institutions des attaques de malfaiteurs armés de pistolets ou de torches à souder. Maintenant, il suffit d’un ordinateur et d’un réseau pour trouver une faille dans un autre ordinateur mal protégé, et causer autant de dommages qu’un vol à main armée « classique »!
Dans les deux cas précédemment mentionnés, on parle de 20 millions de consommateurs américains ainsi que de 2 millions de consommateurs et d’un demi-million d’investisseurs canadiens qui ont été victimes de fraude ou qui ont été mis à risque de l’être. Et nous ne parlons pas des histoires d’ordinateurs de table, de bloc-notes, d’assistants numériques et de clés USB qui ont été égarés ou volés au cours des derniers mois, où l’on retrouvait des centaines de milliers de dossiers contenant des données personnelles et confidentielles. En fin de compte, ce sont des millions de personnes qui peuvent être victimes de vol d’argent ou d’identité. Cette situation n’est pas de tout repos…
Et si ces situations se reproduisaient? Combien d’entreprises n’ont pas examiné leurs processus au cours des derniers jours pour s’assurer qu’il n’y a pas de brèche béante au niveau des systèmes informatiques et des processus d’affaires? Plusieurs se pensent à l’abri, sans même prendre la peine de faire des vérifications. Souhaitons qu’ils n’aient pas tort. L’attitude proactive, décidément, n’est pas un comportement inné chez l’être humain…
Le bon côté de cette situation, s’il y en a un, est que l’ampleur des événements incitera sûrement les exécutants politiques et les autorités judiciaires à appliquer un encadrement serré de l’utilisation des données confidentielles. Oh non! Pas encore une loi, pas encore un processus à appliquer à la lettre!, diront certains. Nous vivons dans un état policier!, clameront d’autres. Il n’en reste pas moins que plusieurs situations où l’autorégulation n’a pas donné les résultats escomptés, ou que l’absence d’importance accordée à des situations potentiellement problématiques, a résulté en des événements malheureux qui ont fait d’énormes dommages.
Alors que les enquêteurs amassent des informations, des politiciens retourneront au travail au cours des prochains jours. Quelle place prendra la protection des renseignements personnels sur l’échiquier politique et dans les préoccupations sociales? Le temps nous le dira.
Entre-temps, il vaut mieux surveiller sur son portefeuille ou sa bourse, pour ne pas perdre la carte (ou les cartes) sur ses renseignements confidentiels…