L’or nouveau des données personnelles

Ayant vu sa valeur gagner environ 1800 % en 20 ans, la donnée personnelle retient aujourd’hui particulièrement l’attention.

CHRONIQUE / Aux premières heures du 1er septembre 1798, à Philadelphie, 162 821 dollars sont subtilisés des coffres de la Banque de Pennsylvanie — soit l’équivalent d’environ 4 millions en devises actuelles — dans ce qui sera le tout premier d’une longue suite de vols et de braquages.


Cependant, si l’histoire en retient, encore aujourd’hui, les noms de Butch Cassidy, Jesse James, John Dillinger ou encore Bonnie & Clyde, les braquages à l’ancienne — qui ont jadis saisi l’imagination et qui continuent d’inspirer le cinéma — sont depuis maintenant deux décennies en nette diminution.

Notamment en raison d’une digitalisation des transferts bancaires impliquant moins de liquidité dans les coffres, mais aussi parce que les criminels ne voient plus l’intérêt de prendre un tel risque lorsqu’il suffit de «braquer» à distance une entreprise pour en rançonner les données, ou pour les exploiter par usurpation frauduleuse d’identité.

À l’ère de l’hyper-information et de l’hyper-connectivité, une nouvelle ressource a ainsi fait son apparition et, fortement convoitée, a non seulement changé nos habitudes de vies, mais aussi considérablement modifié les paramètres de la criminalité et certains dispositifs de régulation.

Plus précieuse que l’or ou le pétrole?

Ayant vu sa valeur gagner environ 1800 % en 20 ans, la donnée personnelle retient aujourd’hui particulièrement l’attention; à savoir toute donnée vous concernant et susceptible, seule ou combinée à d’autres informations, de vous identifier en tant que personne.

Ce dont par principe vous devriez conserver la maîtrise, mais que détiennent aussi (légitimement ou non) plusieurs organisations, comme des agences gouvernementales et services publics, employeurs, compagnies d’assurances, commerces de détail, etc.

Des organisations qui sont ainsi désormais, à l’instar des banques, dépositaires de biens de valeur au potentiel immense, lorsqu’analysés ou monnayés dans des secteurs aussi variés que la recherche scientifique, la santé, la finance, la défense, le marketing, etc.

Il n’y a à ce propos qu’à évoquer les revenus publicitaires des médias sociaux (qui s’appuient précisément sur ces données), et qui devraient rapporter la somme étourdissante de 269 milliards US$ en 2023, avec un taux de croissance annuel moyen de 9,4% pour atteindre 385 milliards US$ en 2027.

Or avec une telle rentabilité, d’aucuns considèrent que la donnée pourrait éventuellement en venir à surpasser la valeur de l’or. The Economist et Forbes l’ont même comparée, à tort ou à raison, à cette autre matière première qu’est le pétrole brut, dans la mesure où l’un comme l’autre se concentre en «gisements» et gagne en valeur en fonction d’un certain raffinage.

Si ce n’est que la donnée, bien sûr, présente l’immense avantage d’être une ressource renouvelable!

Dura lex sed lex

Comme les institutions bancaires qui se sont dotées d’un cadre législatif visant, entre autres, à protéger l’épargne de leur clientèle (ainsi au Canada la Loi sur les banques, révisée périodiquement depuis 1871), des outils de régulation sur la sécurité des données personnelles s’imposent désormais aux organisations de tout acabit.

Toute dernière en date, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ou Loi 25, issue du projet de loi 64) rénove en profondeur deux lois provinciales antérieures de 1982 et 1994, dans un effort d’adaptation aux enjeux et réalités d’aujourd’hui.

En partie inspirée du très européen Règlement général sur la protection des données (RGPD) de 2018, elle confère, depuis le 22 septembre dernier, davantage de pouvoir aux individus sur le traitement de leurs informations par les secteurs public et privé, et prévoit des amendes pénales considérables à l’endroit des entreprises (y compris les OBNL et travailleurs autonomes) en cas de non-conformité.

En outre, bien que son entrée en vigueur s’échelonne sur trois ans, jusqu’au 22 septembre 2024, elle instaure l’obligation immédiate de nommer une ou un responsable de la protection des renseignements personnels (PRP) en la personne qui détient la plus haute autorité dans l’entreprise, à moins que cette responsabilité ne soit déléguée.

Elle exige de surcroît d’élaborer dès à présent un plan de gestion et de maintenir un registre des incidents de confidentialité, mis à la disposition de la Commission d’accès à l’information du Québec (CAIQ) sur demande; et de divulguer tout incident menaçant la confidentialité des données ou une cyberattaque — incluant d’aviser toutes les personnes potentiellement touchées par la faille de sécurité de même que la CAIQ, si un risque de préjudice sérieux est pressenti.

Pour éviter que défis ne deviennent défaut

La Loi 25 est certes une excellente nouvelle pour les consommateurs, employés et utilisateurs; elle garantit un droit automatique à la confidentialité des données personnelles; à la transparence quant à la façon dont ces données sont recueillies et exploitées; ainsi qu’à la rectification des informations ou au retrait du consentement à en disposer.

Pour les organisations dépositaires de données personnelles en revanche, et bien que plusieurs des dispositions existaient déjà en principe — notamment au fédéral, depuis le 13 avril 2000, par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRDE) — se conformer à l’ensemble des obligations ci-haut présentera vraisemblablement quelques défis.

À commencer par une recension exhaustive des données existantes, dont certaines échappent à tout effort de traçabilité; KPMG reconnaît que c’est là entre autres le problème des données dites «non structurées» — documents PDF, images, courriels, qui jonchent épars les partages de fichiers, s’amoncèlent, et pour lesquels il est en général ardu de déterminer s’ils contiennent, ou non, des données personnelles. À moins d’avoir recours à des outils spécialisés, comme la solution Recon de Qohash.

Il importe également pour les organisations et entreprises d’avoir mené, a priori, une bonne réflexion sur ce que constitue un incident de confidentialité, selon le type et la sensibilité des données, et de s’être dotées des moyens techniques et humains pour détecter efficacement de tels incidents.

La transformation organisationnelle que cela implique n’est pas à négliger, mais s’avère nécessaire pour la protection d’un or nouveau.