L’avocat d’Ottawa Kris Klein conseille les organisations canadiennes sur la façon de mettre en place des politiques et des procédures pour se conformer aux obligations légales fédérales et provinciales en matière de confidentialité des données.
Plus tôt ce mois-ci, il a été confronté à la collecte de données en tant que consommateur. « Je garais ma voiture dans une épicerie », se souvient-il dans une interview, « et pour obtenir les 30 minutes de stationnement gratuit, j’ai dû enregistrer ma voiture sur une application. J’ai donc dû télécharger l’application, entrer mes informations personnelles – mon nom, mon adresse de courriel, mon numéro de plaque d’immatriculation et un mot de passe ».
« Est-ce que j’ai vraiment confiance que cette petite, petite application de stationnement pas très sophistiquée protégera mes informations personnelles ? Non », a déclaré Klein, associé du cabinet d’avocats nNovation et directeur général de l’International Association of Privacy Professionals Canada. « Mais je n’avais pas le choix. »
Il aurait été préférable que l’application mobile ait au moins une petite explication de la politique de confidentialité du fournisseur de services, a-t-il déclaré.
Des incidents comme celui-ci avec de petites entreprises, a-t-il ajouté, « sont les domaines qui, selon moi, présentent le plus grand risque pour nous maintenant ».
Quelle est l’ampleur du problème de confidentialité des données d’une application de stationnement ? Cela dépend de l’étendue de son utilisation. L’année dernière, la ville de Calgary a découvert que des informations personnelles sur près de 146 000 personnes utilisant l’application ParkPlus de la ville de Calgary étaient accessibles au public sur un serveur exposé pendant plus de deux mois.
C’est une chose à laquelle les chefs d’entreprise et les chefs de file de la technologie devraient penser pendant la semaine de la confidentialité des données, qui commence aujourd’hui. Cela a commencé par la Journée de la protection des données chaque 28 janvier, une commémoration de la signature en 1981 de la Convention 108 du Conseil de l’Europe, le premier traité international juridiquement contraignant traitant de la vie privée et de la protection des données. Plus récemment, il s’est étendu à une semaine de réflexion pour les particuliers et les entreprises
La confidentialité des données et la cybersécurité sont les deux faces d’une même médaille : une organisation ne peut pas avoir de confidentialité des données sans cybersécurité.
Notez que la loi fédérale sur la protection des renseignements personnels du Canada stipule que les entreprises ne peuvent recueillir, utiliser ou divulguer des renseignements personnels qu’à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances.
La loi stipule également que les informations personnelles doivent être protégées par des mesures de sécurité adaptées à la sensibilité de l’information.
De nombreux responsables informatiques et d’entreprise pensent que la confidentialité des informations personnelles qu’ils détiennent est un problème pour les grandes entreprises et les gouvernements. Mais des incidents comme celui auquel Klein a été confronté – une pression exercée par une petite ou moyenne entreprise – rappellent que la confidentialité des données concerne toutes les organisations.
Klein a déclaré que si elles ne l’ont pas déjà fait, les organisations devraient demander cette semaine si ce qu’elles font implique des informations personnelles sensibles – et cela peut concerner des consommateurs, des partenaires et des employés – et s’il existe des risques pour les individus. Si la réponse est oui, « vous devriez en faire plus pour vous assurer que vous respectez les obligations en matière de confidentialité. Il n’y a pas une seule solution qui convient à tous », a-t-il averti. « Vous devez déterminer où vous vous situez sur le spectre [des risques] et développer un programme qui convient à votre organisation. »
D’après l’expérience de Klein, les grandes entreprises canadiennes sont celles qui dépensent le plus de temps, de ressources et d’argent pour s’assurer qu’elles se conforment aux réglementations fédérales et provinciales. « Les petites et moyennes entreprises ont plus de mal à prioriser cela. »
Il existe trois grands problèmes de confidentialité pour les professionnels des données et de la sécurité :
- Obtenir le consentement valable des individus pour collecter et utiliser leurs données personnelles. La Loi fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE) exige que les particuliers sachent ce qui est recueilli, à quoi il servira et avec qui il sera partagé..
- La conservation des données. Les lois obligent les entreprises à ne conserver les données que le temps nécessaire. Combien de temps est-ce ? Prenons l’exemple du vol de données sur 9,7 millions de clients par un employé de la Caisse populaire Desjardins. Sur ce total, environ la moitié étaient d’anciens clients de l’institution.
- Informer les victimes et les autorités de réglementation fédérales ou provinciales des violations de données. La loi fédérale sur la protection de la vie privée, qui peut être similaire aux lois provinciales, exige la notification des victimes si la violation peut impliquer un risque réel de préjudice important pour une personne. Cela dépendra de la sensibilité des informations personnelles impliquées dans la violation et de la probabilité que les informations personnelles aient été, soient ou seraient utilisées à mauvais escient par l’attaquant.
Adaptation et traduction française par Renaud Larue-Langlois.
