Valeur des données : gouvernance et protection des renseignements personnels à l’ère numérique

Les données : un actif à la fois précieux et vulnérable

À une époque de transformations numériques sans précédent, les règles régissant la protection des renseignements personnels se resserrent, les cybermenaces s’intensifient et le public exige plus de transparence. La question n’est pas seulement de collecter et de stocker l’énorme quantité de données générée par l’intelligence artificielle, l’Internet des objets et les chaînes de blocs, mais également d’assurer la bonne gouvernance de cette information de même que sa protection et son utilisation conforme à des principes éthiques.

Le nouveau dilemme de la gouvernance des données

Normaliser la gouvernance des données devient de plus en plus complexe. Des initiatives comme le Collectif canadien de normalisation en matière de gouvernance des données tentent d’établir des cadres pour gérer les risques à leur sécurité et à leur confidentialité, mais la technologie continue de devancer les efforts déployés en ce sens. Résultat? Les normes diffèrent d’un secteur à l’autre, la gestion des données est loin d’être uniforme et les risques s’accroissent.

On observe un resserrement de la réglementation. La Stratégie relative aux données de 2023-2026 pour la fonction publique fédérale met en lumière le besoin d’une gestion responsable des données et exige des entreprises qu’elles se montrent capables de respecter des règles plus strictes, sans quoi elles s’exposent à des conséquences de nature juridique ou à des atteintes à leur réputation.

Or, reconnaître que les renseignements personnels sont importants n’est pas la même chose qu’être prêt à les protéger. Bien qu’une proportion de 88 % des entreprises canadiennes connaisse leurs obligations de protection des renseignements personnels, seulement 47 % d’entre elles ont une politique officielle à cet effet, selon le Commissariat à la protection de la vie privée du Canada. Ces entreprises s’exposent à des intrusions et peuvent éveiller la méfiance du public, surtout à une époque où les consommateurs exigent que leurs informations soient mieux protégées.

Toutefois, les menaces auxquelles les organisations doivent faire face prennent de nouvelles formes. Les cybercriminels s’intéressent de plus en plus à la manipulation des données plutôt qu’au piratage des systèmes. Les fraudes utilisant les hypertrucages, les hameçonnages générés à l’aide de l’intelligence artificielle et les menaces internes rendent obsolètes les mesures de défense traditionnelles. Le Commissariat milite pour une intégration de la protection des renseignements personnels dès la conception, une approche fondée sur le risque qui détermine les contrôles nécessaires pour mettre à l’abri les informations sensibles. Une entreprise qui ne réalise pas d’investissements conséquents dans la sécurité des données et les efforts de conformité à la réglementation en vigueur risque de se retrouver à la traîne et de voir la confiance des consommateurs à son égard s’éroder.

Risques à surveiller

Intelligence artificielle et fournisseurs externes : le nombre d’atteintes à la vie privée pourrait augmenter à cause de l’intelligence artificielle et des fournisseurs externes ayant des cadres de gouvernance déficients.

Non-conformité réglementaire : les organisations qui peinent à suivre l’évolution des lois sur la protection des renseignements personnels peuvent se retrouver en situation de non-conformité et s’exposer à des sanctions juridiques.

Transfert de données transfrontalier : les lois régissant la souveraineté des données deviennent de plus en plus strictes, ce qui fait obstacle au stockage et au partage de données à l’international.

Menaces occasionnées par le travail à distance ou le travail hybride : hors de l’environnement sécurisé des locaux d’une entreprise, des employés pourraient mal utiliser des données sensibles.

Violations de données en raison de mauvais contrôles sécuritaires : des mesures de cybersécurité insuffisantes peuvent mettre en danger les renseignements personnels et organisationnels.

Gestion des préférences d’utilisateurs sur divers canaux : la gestion uniforme du consentement et des préférences d’un utilisateur sur une multitude de plateformes pose d’importantes difficultés et peut miner la confiance de celui-ci et la conformité de l’entreprise.

Incidences de la loi sur les jeux de données tierces : de nouvelles lois qui touchent les données tierces peuvent augmenter le risque de non-conformité pour les entreprises qui n’ont pas un cadre de gouvernance approprié.

Protection accrue des renseignements personnels des enfants : de nouvelles lois imposent des restrictions sur la collecte de données auprès de mineurs.

Encadrement de l’intelligence artificielle et questions d’ordre éthique : l’intelligence artificielle soulève des questions au sujet de la protection des renseignements personnels et de l’éthique. Les organisations doivent se doter de politiques détaillées pour les traiter.

Application plus stricte des règles de protection des renseignements personnels : les organismes de réglementation ont intensifié leurs efforts en ce sens, ce qui entraîne l’imposition de pénalités plus coûteuses et met en lumière le besoin pour des programmes de conformité.