Protection des données au Québec, des experts locaux donnent leur avis (2ème partie)

Dans cette série de mon blogue, je transmettrai l’information que j’ai recueillie en interviewant certains des plus éminents chefs de file en matière de sécurité des données et de protection de la vie privée au Québec. Ces experts ont une expérience, une expertise et des titres de poste différents. Cependant, ils m’ont tous fait part de leurs réflexions sur la protection des données. Les lois sur la protection des données et de la vie privée devenant de plus en plus nombreuses et strictes, les praticiens et les dirigeants peuvent avoir du mal à se concentrer sur ce qui est vraiment important. J’ai voulu écrire cette série pour apporter de la valeur à mes collègues du domaine. En bout de ligne, il est toujours bon d’entendre ce que font les autres et, plus particulièrement, les leaders du domaine. J’espère que cette série fournira des idées qui pourront conduire à l’élaboration de meilleures politiques et pratiques dans vos organisations respectives.

Dans la suite de cette série, j’ai eu l’honneur de m’entretenir avec Jean-François De Rico, Associé, Services-conseils — Cybersécurité, Responsable de la Protection de la vie privée au Québec chez KPMG, et Eugen Miscoi, sociétaire chez McCarthy Tétrault.

Eugen Miscoi, sociétaire chez McCarthy Tétrault.

Jean-François De Rico, Associé, Services-conseils — Cybersécurité, Responsable de la Protection de la vie privée au Québec chez KPMG

Eugen Miscoi et Jean-François De Rico présentent tous deux des points de vue nuancés sur le sérieux avec lequel les entreprises prennent les lois sur la protection des données, telles que la loi 25 du Québec et le RGPD. Eugen fait remarquer que “la réponse dépend de la tolérance au risque de chaque organisation”, soulignant que si certains pionniers ont pris des mesures précoces pour se mettre en conformité, d’autres préfèrent attendre de voir si — et comment — les régulateurs prévoient d’appliquer les nouvelles exigences avant de prendre des mesures concrètes pour se mettre en conformité. Jean-François suggère que la conformité est plus courante dans les secteurs déjà réglementés comme les services financiers, mais “une majorité d’entreprises n’ont pas encore entrepris d’efforts pour renforcer leurs pratiques en matière de protection des informations personnelles”.

En ce qui concerne les contrôles sous-utilisés, Eugen souligne l’importance des inventaires de données et d’une cartographie claire des flux de données comme éléments fondamentaux des programmes de sécurité et de protection de la vie privée, en déclarant : “Il faut voir la forêt dans son ensemble avant de pouvoir se concentrer sur des arbres spécifiques — sans un bon inventaire de données, les organisations seront relativement aveugles dans l’élaboration de leur programme de protection de la vie privée”. Jean-François insiste sur la nécessité de définir clairement les responsabilités, de minimiser l’accès et de réduire la conservation des données, des pratiques cruciales, mais souvent négligées.

En ce qui concerne la publication des entreprises ayant connu un incident de confidentialité (la CAI est un organisme public et relève de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels), les deux experts estiment qu’il est possible d’utiliser ces informations pour la gestion des risques par des tiers. Eugen fait remarquer qu’en théorie, oui, mais qu’il n’a pas encore vu l’application de cette méthode dans la pratique, car l’absence d’incidents n’indique pas nécessairement une sécurité solide et, inversement, le fait qu’une organisation ait subi une violation dans le passé n’implique pas automatiquement qu’elle ne respecte pas par ailleurs les lois applicables en matière de protection de la vie privée. Jean-François soutient que les organisations devraient “systématiquement vérifier si un fournisseur potentiel a subi un ou plusieurs incidents de confidentialité”, dans le cadre de leur diligence raisonnable.

Lorsqu’on leur demande quels sont les scénarios d’incidents les plus courants en matière de protection de la vie privée qu’ils observent régulièrement, tous deux mentionnent la mauvaise destination des courriels comme un problème courant. Eugen ajoute que les rançongiciels et les attaques d’ingénierie sociale sont fréquents, tandis que Jean-François mentionne spécifiquement l’accès non autorisé à des bases de données ou à des documents contenant des informations personnelles.

Lorsqu’on lui demande ce qui fait l’efficacité d’un responsable de la protection des données, Eugen estime qu’il faut communiquer efficacement, instaurer un climat de confiance et donner des conseils sur la manière de dire “oui, et voici comment”, plutôt que de simplement dire non à de nouvelles initiatives axées sur les données. Pour conclure, Jean-François rappelle l’importance de comprendre les activités de l’organisation et de disposer d’un bon réseau interne, soulignant que “la collaboration et l’attribution des responsabilités à plusieurs contributeurs” sont essentielles pour une couverture complète des responsabilités en matière de protection de la vie privée.