Le maintien de la sécurité des informations confidentielles a toujours été l’affaire de l’équipe de cybersécurité des grandes entreprises ou, pour les PME, de leur service informatique. Si cette tâche comporte ses propres défis, nous sommes aujourd’hui confrontés à un défi supplémentaire lié au phénomène de la transformation numérique : l’exposition des données personnelles, mieux connues sous le nom de données personnelles d’identification (DPI).
De nombreuses violations de données ont fait les gros titres ces dernières années. Pour beaucoup, il ne s’agissait que d’une nouvelle parmi d’autres, jusqu’à ce que les choses commencent à nous toucher de près. Certaines de ces violations contenaient des informations cruciales permettant d’identifier des personnes. Cela va de la fameuse combinaison courriel et mot de passe à des informations plus critiques telles que la date de naissance, le nom complet, le numéro de sécurité sociale et l’adresse.
« Une fois la violation de données survenue, toutes ces informations sont disponibles à la vente sur le Dark Web ou parfois sur des plateformes facilement accessibles à toute personne mal intentionnée. »
À ce stade, les pirates disposent de tous les ingrédients nécessaires à la fraude et au vol d’identité.
Le respect de la vie privée implique l’obligation d’obtenir l’approbation formelle de l’utilisateur ainsi que la finalité de la collecte des données. C’est dans ce domaine que l’équipe informatique devra suivre les conseils du contentieux pour s’assurer que l’entreprise respecte la législation en vigueur. L’entreprise devra faire preuve de diligence raisonnable en évaluant comment communiquer avec les individus si un incident se produit avec leurs données.
Une fois encore, le contentieux sera à la tête de cette initiative pour garantir une résolution et une communication légales.
Découvrez l’envers du bouclier
Votre laissez-passer mensuel dans le monde de la cybersécurité
Certaines entreprises pensent que la protection de la vie privée ne devrait pas faire partie de leurs objectifs de sécurité parce qu’elles ne collectent pas d’informations personnelles. Mais c’est oublier les DPI des employés recueillies par les RH dans le cadre du processus d’embauche!
L’augmentation récente des réglementations relatives à la protection de la vie privée est une tendance assez rafraîchissante si l’on considère la quantité de données personnelles demandées et traitées par les entreprises. Récapitulons rapidement certaines d’entre elles, qui sont soit toutes nouvelles, soit mises à jour :
- Le Règlement général sur la protection des données (RGPD) pour l’Union européenne et ses citoyens
- Le California Consumer Privacy Act (CCPA) pour la Californie
- La loi sur la protection de la vie privée de New York (en cours d’élaboration)
- Le projet de loi C-11, la loi fédérale canadienne sur la protection de la vie privée (en cours d’élaboration)
- Le projet de loi 64, la loi provinciale du Québec (en cours d’élaboration)
Pendant longtemps, la vie privée a été considérée comme une question uniquement juridique. Cependant, la transformation numérique a rapidement amené la technologie au premier plan de cette bataille. ESI, aux côtés de votre équipe juridique, peut vous assister sur plusieurs fronts : conseils dans la gestion de vos données confidentielles, dans la conformité aux réglementations sur la vie privée ou encore dans l’évaluation de vos contrôles de confidentialité.