Précisions sur les renseignements personnels

Cela vient toutefois avec une grande volatilité : même une petite fuite peut créer une réaction en chaîne explosive entraînant des dommages irréparables à tout ce qu’elle touche. Pourtant, de nombreuses organisations n’arrivent pas à gérer adéquatement les risques de plus en plus nombreux et importants qui menacent la sécurité et la confidentialité des données.

Les renseignements personnels comprennent toute donnée, enregistrée ou non, factuelle ou subjective à propos d’une personne, notamment :

• le nom;
• l’âge;
• les numéros d’identification;
• l’origine ethnique;
• le groupe sanguin;
• le revenu;
• le dossier de crédit;
• le dossier médical;
• les dossiers d’employé;
• les mesures disciplinaires;
• le casier judiciaire;
• les plaintes ou les litiges;
• les opinions;
• les évaluations;
• les commentaires;
• le statut social;
• l’état matrimonial;
• les intentions d’achat;
• les recherches d’emploi.

Hausse de la complexité des réglementations

Les gouvernements répriment la façon dont les organisations recueillent, partagent et utilisent les renseignements personnels. La plupart des pays du G20 ont adopté de nouvelles lois strictes sur la confidentialité des données ou sont en train de le faire. Les organisations qui mènent des activités sur ces territoires ou réalisent des transactions avec des clients qui y résident doivent s’y conformer sous peine de sanctions substantielles.

Elles doivent non seulement être à l’affût des éventuelles conséquences liées à la non-conformité, mais elles doivent aussi savoir comment uniformiser les politiques, procédures et mesures de contrôle pour répondre aux nombreuses lois partout dans le monde. 

Croissance de la complexité organisationnelle et technologique

Les cas d’utilisations des renseignements personnels augmentent chaque jour. La collecte, l’analyse et la transmission de renseignements personnels plus fréquentes entraînent aussi plus de risques. Plus un point de données interagit avec des applications (par exemple, l’infonuagique, l’analytique, l’Internet des objets, l’intelligence artificielle, etc.), plus le processus se complexifie. Alors que les organisations adoptent de plus en plus d’applications de tiers et de plateformes infonuagiques, elles doivent aussi tenir compte des politiques, procédures et mesures de contrôle de chaque fournisseur. L’endroit d’où provient la brèche informatique ou la violation de réglementation n’a pas d’importance; aux yeux de la loi, c’est l’organisation qui a recueilli les données qui est fautive.

Des inquiétudes semblables entourent l’augmentation des usages secondaires et tertiaires des données transactionnelles dans le but de créer de la valeur pour les clients et les parties prenantes. Bien que les pratiques exemplaires consistent à dépersonnaliser ces renseignements (c’est-à-dire éliminer la possibilité qu’ils soient retracés à une personne), cela ajoute tout de même une autre couche de complexité. Voilà d’autres étapes, réglementations, applications et risques qui pourraient mal tourner.

Augmentation de la fréquence (et des coûts) des cyberattaques

Les pirates informatiques profitent également de la ruée vers les données : le nombre d’attaques et de brèches augmente chaque année. De plus, les renseignements personnels piratés n’ont même pas besoin d’avoir de valeur pour quiconque à part l’organisation ciblée. Ces criminels savent que les organisations paieront le gros prix pour reprendre les activités commerciales et éviter des amendes ou des atteintes irréparables à leur réputation. Cela met tout le monde à risque.

Tout comme le nombre d’attaques, le coût d’une brèche informatique continue d’augmenter, et les organisations n’ont pas à se soucier uniquement des rançons. Il faut tenir compte des coûts potentiels de ce qui suit :

• Détermination de la source et de la cause de la brèche;
• Correctifs apportés à la brèche et reprise des activités;
• Identification des parties touchées et communication avec elles;
• Surveillance continue pour trouver d’autres dommages (par exemple, l’usurpation d’identité);
• Amendes et sanctions réglementaires;
• Poursuites;
• Atteintes à la réputation et perte de clients.

Un rapport du Ponemon Institute a révélé que le coût moyen d’une brèche pour les entreprises canadiennes était de 4,4 M$ en 2019, soit une moyenne de 187 $ par dossier perdu. Les coûts pour les entreprises américaines s’élevaient à près du double, soit à 8,2 M$ et 242 $ respectivement. Ces chiffres ne cesseront pas d’augmenter tant que les organisations continueront de recueillir d’autres renseignements, de composer avec des contrôles réglementaires accrus et d’être visées par d’autres attaques.

Difficulté à trouver l’équilibre entre l’adaptabilité et la responsabilité

De nombreux responsables de la protection de la vie privée font face à un combat incessant pour convaincre les décideurs d’accorder la même priorité à la sécurité des données qu’à la vitesse et à l’agilité. Personne ne veut ralentir lorsque tous les autres se concentrent à décrocher l’avantage de l’initiative.

L’interruption reste l’un des mots à la mode les plus terrifiants dans l’environnement actuel. Certains minimisent trop facilement les conséquences d’une brèche informatique comparativement au risque de se faire dépasser par la concurrence. 

Changement des priorités organisationnelles

La crise économique a forcé de nombreuses organisations à faire face à leur propre mortalité, particulièrement les services non essentiels qui ne pouvaient pas passer facilement au télétravail. Cela s’est traduit par une concentration considérable des ressources vers des efforts de continuité comme les mises à pied, les demandes de subventions gouvernementales, la négociation de reports de loyers et la conservation des flux de trésorerie, bien souvent au détriment de la confidentialité et de la sécurité des données.

Au même moment, la menace de brèches informatiques et de mauvaise conduite a commencé à exploser. Il est trop tôt pour connaître le nombre exact de cyberattaques et de brèches entre mars et juin, et encore moins le nombre attribuable à un relâchement de la vigilance des employés et des cadres. Par contre, au moins 200 000 cas d’hameçonnage liés à la COVID-19 ont été signalés en février seulement.

Il se peut également que de nombreuses organisations aient oublié de révoquer les privilèges d’accès de membres de l’équipe ayant été mis à pied. Cela a exposé un grand nombre de réseaux et d’applications à des personnes négligentes, stressées ou même malintentionnées cherchant à faire de l’argent ou à régler des comptes. Il pourrait encore exister de telles vulnérabilités dans certaines organisations.

Transition rapide vers le télétravail

Nous sommes au cœur de la plus vaste expérience de télétravail à ce jour. Des millions de travailleurs se sont soudainement retrouvés à assister à des téléconférences, à accéder aux serveurs de leur entreprise et à partager des documents et de l’information à partir de chez eux. Des milliers d’organisations ont également dû se procurer de nouvelles applications de télétravail, les mettre en œuvre et former leurs employés tout en essayant de trouver un équilibre entre la bonne utilisation et la réduction des interruptions de travail.

Cela a donné ouverts la voie à trois nouvelles préoccupations importantes par rapport aux données et à la confidentialité :

1. Augmentation des points d’attaque – Le risque de compromission aux terminaux augmente de façon exponentielle avec le nombre de personnes qui se connectent aux ressources de l’entreprise à l’extérieur des périmètres de contrôle. Il ne s’agit pas que des réseaux domestiques, mais également des ordinateurs et des téléphones personnels.
2. Manque de connaissances à propos des politiques, procédures et pratiques exemplaires de télétravail – La responsabilité des employés envers la protection des données critiques a considérablement augmenté dans les mois qui ont suivi le début de la pandémie. Les organisations doivent prendre en considération non seulement la transition vers le télétravail, mais aussi la façon dont celle-ci a modifié les flux de travail, les processus et les responsabilités. La formation continue sur la confidentialité et la sécurité doit être une priorité, en plus de l’engagement constant des employés dans les programmes de sécurité et de confidentialité.
3. Plateformes nouvelles ou non éprouvées – La pandémie de COVID-19 a attiré l’attention sur les applications de télétravail, et la conversation n’a pas toujours été flatteuse. Les experts en sécurité ont vite remarqué des vulnérabilités flagrantes dans plusieurs plateformes, que les concepteurs ont parfois mis beaucoup de temps à régler.

Pour aggraver le problème, les organisations n’avaient pas fait suffisamment d’analyses comparatives, de vérifications diligentes et de formations au moment de mettre en œuvre rapidement de nouvelles plateformes. Les équipes de sécurité et de gestion des risques ont manqué de temps pour évaluer les vulnérabilités et les conséquences, sans oublier les mesures de contrôle et les ressources additionnelles potentiellement requises.

Nouvelles technologies et façons d’interagir avec les clients

Les modèles commerciaux et d’interaction avec les clients souples ont été la bouée de sauvetage de nombreuses organisations devant la crise liée à la COVID-19. Les magasins ayant pignon sur rue ont dû passer au commerce en ligne. Les restaurants ont dû offrir le service de livraison. D’autres entreprises ont dû adapter rapidement des chaînes d’approvisionnement entières pour répondre à la demande de nouveaux clients et secteurs.

Le dénominateur commun ici est soit l’adoption généralisée de nouvelles technologies (comme les applications, les sites Web, etc.) ou les changements importants dans l’utilisation des technologies existantes (comme l’ajout d’utilisations secondaires et tertiaires pour les données existantes). Cela demande généralement une grande période de planification pour calculer les risques inhérents. Ce qui prendrait normalement des mois a été condensé en quelques semaines ou même quelques jours.

Les risques sont toujours présents pour les clients de ces organisations qui ont donné leurs renseignements en vue d’une utilisation dans des plateformes non éprouvées de gestion de la relation client, des systèmes de gestion d’entreprise, des applications, des sites Web et des outils d’analyse. Ils continueront d’augmenter à moins que les organisations prennent du recul pour vérifier leurs mesures de confidentialité et de sécurité et mettent les mesures de contrôle nécessaires en place.

Collecte de données critiques pour répondre aux exigences de sécurité

La pandémie de COVID-19 a entraîné une collecte de données à propos de la santé, des emplacements, et des relations des employés et des clients qui semblait inimaginable au début de 2020. Toutefois, il aurait été pratiquement impossible que les services demeurent ouverts sans ces applications de contact et de dépistage, encore moins que les employés retournent au bureau en toute sécurité.

Les organisations ne peuvent pas minimiser les risques découlant du développement de ces nouvelles applications ou de la collecte d’autres renseignements personnels critiques. Bien que certaines exceptions aient pu être faites lors de la pandémie pour répondre aux besoins de sécurité des employés, les régulateurs et les intervenants s’attendent à ce que les renseignements personnels soient traités avec précaution et conformément aux exigences réglementaires.

Nous avons discuté des défis, mais quelles sont les solutions?

Dans notre document Au-delà de la réglementation, Adriana Gliga-Belavic examine quelques solutions aux défis entraînés par la pandémie, notamment le rôle des audits sur la confidentialité et les mesures de contrôles efficaces en interne.