Filtrer le contenu par :

Votre entreprise collecte-t-elle trop de données et les protège-t-elle bien?

6 avril 2018

Par Danielle Miller Olofsson, chef, gestion du savoir et stratégies de marché.

La récente débâcle impliquant l’utilisation par Cambridge Analytica de renseignements personnels provenant d’utilisateurs de Facebook afin de faire du profilage psychographique pour permettre, entre autres, de mieux cibler les électeurs potentiels d’une campagne présidentielle américaine ne devrait surprendre personne. L’exploration, ou exploitation de données dans ce cas-ci, a cours depuis plusieurs années. Chaque personne fournit par bribes de nombreux renseignements personnels aux organisations par le biais de transactions qu’elle conclut ou de recherches qu’elle effectue, ces bribes pouvant être regroupées pour donner un portrait exact couvrant des sujets aussi variés que notre santé, nos habitudes d’achat et nos préférences électorales. L’exploitation de données peut être faite par les organisations qui recueillent des données ou, dans le cas de Facebook, par des tiers qui accèdent, légalement ou illégalement, à ces renseignements.

Bien que l’affaire Facebook nous rappelle que la protection des données doit être une question prioritaire pour les entreprises, deux questions demeurent en suspens :

  1. les organisations recueillent-elles trop de données?

  2. conservent-elles ces données trop longtemps?

Étant donné le nombre et la diversité des menaces à la sécurité auxquelles les organisations doivent faire face, le seul moyen fiable de garantir que les données ne sont pas mal gérées, que ce soit de façon délibérée ou par inadvertance, est de ne pas en posséder!

La Loi sur la protection des renseignements personnels et les documents électroniques fédérale (la LPRPDÉ) et la Loi sur la protection des renseignements personnels dans le secteur privé provinciale (la LPRPSP) limitent l’étendue des renseignements que les organisations sont autorisées à recueillir. Tandis que la loi québécoise exige qu’une organisation ne recueille que les renseignements nécessaires à l’égard de l’objet du dossier, la loi fédérale restreint la collecte de renseignements personnels à ceux qui sont nécessaires aux fins déterminées par l’organisation. La collecte de trop de renseignements correspond tout simplement à une augmentation du risque pour les organisations.

Dans un deuxième temps, il faut garder à l’esprit que la LPRPSP et la LPRPDÉ interdisent respectivement aux organisations d’utiliser ou de conserver des renseignements personnels plus longtemps que nécessaire à la réalisation des fins pour lesquelles les données ont initialement été recueillies. La LPRPDÉ prévoit que les renseignements personnels doivent être conservés seulement aussi longtemps que nécessaire pour la réalisation des fins déterminées par l’organisation. La LPRPDÉ ne précise toutefois pas ce qui est nécessaire pour remplir cet objectif et exige une analyse au cas par cas. La loi québécoise, se distinguant légèrement de son équivalent fédéral, prévoit que l’utilisation des renseignements contenus dans un dossier n’est permise, une fois l’objet du dossier accompli, qu’avec le consentement de la personne concernée. Bien que la loi québécoise n’impose pas de fardeau à l’égard de l’élimination des renseignements, la Commission d’accès à l’information du Québec indique clairement cette obligation de suppression des renseignements dans ses bulletins d’interprétation. Comment donc les entreprises peuvent-elles supprimer efficacement les données ou à tout le moins les neutraliser afin qu’elles ne soient pas dommageables en cas d’accès illégal?

Le défi de la Blockchain

Les débats récents entourant le droit à l’oubli et le Projet de position du Commissariat à la protection de la vie privée du Canada sur la réputation en ligne proposant le déférencement comme moyen de sanctionner ce droit illustrent la difficulté de complètement supprimer les renseignements. La destruction de renseignements se complique d’autant plus s’ils sont préservés au sein d’une Blockchain, conçue pour les conserver indéfiniment. L’utilisation de la Blockchain dans les transactions de toutes sortes risque par ailleurs d’augmenter considérablement au cours des prochaines années.

Rendre anonymes les renseignements personnels afin que les données recueillies ne puissent pas identifier un individu en particulier constitue une autre solution. Il existe des techniques pour ce faire dont la suppression de certaines données (p. ex. le nom à côté d’une adresse), le remplacement de données par des pseudonymes, l’ajout de bruit de fond statistique et le regroupement de données. Aucune de ces techniques ne s’avère infaillible, puisque la réidentification est très facile.

Étant donné la difficulté de véritablement rendre anonyme ou supprimer les données, les exigences juridiques strictes à l’égard des organisations afin qu’elles protègent les renseignements personnels qu’elles recueillent en plus des nombreuses menaces à la sécurité qui existent, les organisations seraient bien avisées d’adopter des politiques claires de gouvernance des données, notamment des dispositions sur le type et la quantité de renseignements qu’elles recueillent, ainsi que le moment et la façon dont elles les suppriment.

Il y aura invariablement des accidents. Cependant, dans le cas où une organisation démontre qu’elle possède une politique claire de gouvernance des données et qu’elle a par conséquent pris toutes les mesures possibles afin de protéger des renseignements, elle aura plus de chances de surmonter une crise éventuelle.

Pour plus d’informations sur les mesures de protection des données à adopter au sein de votre organisation, n’hésitez pas à communiquer avec un membre de l’équipe Protection des données, sécurité et protection du droit à la vie privée.