Le grand éveil de 2019
Un an après la fuite de données vécue par Desjardins, le cadre de protection de la vie privée est sur le point d’être resserré
Envoyé à 1 heure 45 d’avis, le message aux médias du 20 juin 2019, qui annonçait une conférence de presse surprise, tenait sur deux phrases. Pour faire le point sur « une situation qui concerne ses membres », le Mouvement Desjardins y dépêcherait son p.-d.g., Guy Cormier, et un vice-président. Il y aurait aussi la police de Laval, histoire de répondre aux questions après l’événement. Ce jour-là, le Québec apprendrait que les fuites de renseignements personnels ont lieu ici aussi, et la protection de la vie privée, souvent tenue pour acquise, se retrouverait d’un seul coup sur le radar de tout le monde.
Un an plus tard, il y a encore du boulot à faire en matière de gestion des données personnelles, mais les efforts vont dans le bon sens, disent les experts. À Québec, par exemple, le gouvernement Legault a entrepris de travailler sur l’identité numérique, un chantier sans précédent, et déposé deux projets de loi, l’un pour encadrer les agences de crédit (projet de loi 53), l’autre pour donner du mordant à la protection des renseignements dans les organisations publiques et les entreprises (projet de loi 64). Les amendes prévues par ce dernier pourront atteindre 25 millions.
« On est à l’étape de la prise de conscience », dit Benoît Dupont, professeur de criminologie à l’Université de Montréal et titulaire de la Chaire de recherche du Canada en cybersécurité. Le cas Desjardins a fait comprendre que le cadre réglementaire, et l’application des lois, n’est pas adapté aux nouvelles réalités. « Le politique a saisi l’ampleur du problème et essaie de corriger le tir. »
Peu d’incitatifs
Pour l’instant, donc, le citoyen n’est pas suffisamment protégé. « Les entreprises ont très peu peur des conséquences si jamais il y a des fuites de données. Elles n’ont pas vraiment d’incitatif », dit Sébastien Gambs, professeur au Département d’informatique à l’UQAM et titulaire de la Chaire de recherche du Canada en analyse respectueuse de la vie privée et éthique des données massives. « Peut-être que l’incitatif le plus fort, c’est l’atteinte à la réputation. […] Si vous me posez la question dans six mois, c’est clair que ma réponse pourra être différente. Il y a des choses qui ont l’air d’aller dans la bonne direction. »
Les renseignements ne sont pas mieux protégés aujourd’hui que l’an dernier « parce qu’il y a plus que jamais des fuites d’information aux quatre vents », laisse tomber Steve Waterhouse, ancien officier de sécurité informatique au ministère de la Défense nationale et chargé de cours au microprogramme en maîtrise de l’Université de Sherbrooke en sécurité de l’information. « Le seul aspect positif que je trouve par rapport à l’an dernier, c’est qu’il y a eu un éveil collectif. Les gens sont un peu plus au courant, un peu plus éduqués sur les données personnelles et les conséquences. »
Selon un sondage effectué à la fin de 2019 par le Commissariat à la protection de la vie privée du Canada auprès de 1003 entreprises, 95 % d’entre elles n’ont pas encore vécu d’atteinte à la vie privée. Cela dit, 30 % d’entre elles sont « extrêmement préoccupées » par une atteinte aux données personnelles, alors que 33 % ne sont « pas du tout préoccupées ». Enfin, 65 % des sociétés se sont dotées d’une politique de protection, mais 51 % n’ont aucune politique d’évaluation des risques.
Culture d’entreprise
« Il y a des cultures d’entreprise qui n’ont toujours pas changé dans certaines organisations. Il y a toujours la vie privée des gens qui est bafouée systématiquement parce que de multiples questions sont posées. Les gens ne savent pas dans quoi ils s’embarquent et donnent l’information à tort et à travers », poursuit M. Waterhouse. Le projet de loi 64 prévoit des « conséquences » pour les organismes publics et les entreprises qui seront négligents dans la gestion des renseignements, mentionne-t-il. « Parfait [les conséquences], mais il faudrait que les gens sachent envers quoi. Parce qu’il y a toujours cette absence d’éducation sur ce qu’est la vie privée et sur ce qu’est l’information personnelle. » Les gens devraient peut-être même commencer à « documenter où ils mettent de l’information » et devraient savoir « qu’ils ont toujours, comme citoyens, le pouvoir de dire “non, je ne veux pas donner cette information-là” ». Plus les gens donnent leurs informations, « plus la surface d’attaque augmente ».
Cela dit, Québec va dans le bon sens, croit aussi M. Waterhouse. Les efforts de transformation numérique pilotés par le ministre Éric Caire et les deux projets de loi sont « un trio qui va générer des changements positifs ». « D’un point de vue gouvernemental, c’est quand même une bonne ligne directrice, mais il reste qu’il faut influencer les entreprises pour qu’elles puissent l’appliquer correctement. Et c’est là qu’on est loin de notre profit. »
« Certaines personnes pourraient dire qu’on est en 2020 et que [les fuites] sont des choses inévitables qui arrivent. Moi, personnellement, je n’accepte pas ce point de vue là », dit David Stolow, avocat chez Kugler Kandestin et l’un des responsables de l’action collective à laquelle participe également le cabinet Siskinds Desmeules. « Si on regarde ce qui est arrivé, il y a des questions sérieuses à se poser. Et je pense que les compagnies qui ont accès à ce genre d’information confidentielle de leurs clients ou de leurs membres, si on regarde ce genre de situation, il me semble qu’on devra poser des questions pour savoir s’il y a autre chose qu’on aurait pu faire, qu’on peut faire dans l’avenir pour protéger ce genre d’informations qui sont hautement confidentielles et sensibles. »