Sommaires exécutifs 6 avr. 2018

Votre entreprise collecte-t-elle trop de données et les protège-t-elle bien ?

L'affaire Cambridge Analytica rappelle que les organisations doivent plus que jamais assurer la protection des renseignements qu'elles recueillent. Existe-t-il un moyen fiable de garantir la bonne gestion des données ou une fuite est-elle inévitable? Tour d'horizon des mesures à prendre pour mieux protéger les données cumulées par votre entreprise.

Danielle Miller Olofsson est l’auteure du présent article.

La récente débâcle impliquant l’utilisation par Cambridge Analytica de renseignements personnels provenant d’utilisateurs de Facebook afin de faire du profilage psychographique pour permettre, entre autres, de mieux cibler les électeurs potentiels d’une campagne présidentielle américaine ne devrait surprendre personne. L’exploration, ou exploitation de données dans ce cas-ci, a cours depuis plusieurs années. Chaque personne fournit par bribes de nombreux renseignements personnels aux organisations par le biais de transactions qu’elle conclut ou de recherches qu’elle effectue, ces bribes pouvant être regroupées pour donner un portrait exact couvrant des sujets aussi variés que notre santé, nos habitudes d’achat et nos préférences électorales. L’exploitation de données peut être faite par les organisations qui recueillent des données ou, dans le cas de Facebook, par des tiers qui accèdent, légalement ou illégalement, à ces renseignements.

Bien que l’affaire Facebook nous rappelle que la protection des données doit être une question prioritaire pour les entreprises, deux questions demeurent en suspens :

  • les organisations recueillent-elles trop de données?
  • conservent-elles ces données trop longtemps?

Étant donné le nombre et la diversité des menaces à la sécurité auxquelles les organisations doivent faire face, le seul moyen fiable de garantir que les données ne sont pas mal gérées, que ce soit de façon délibérée ou par inadvertance, est de ne pas en posséder!

La Loi sur la protection des renseignements personnels et les documents électroniques fédérale (la LPRPDÉ) et la Loi sur la protection des renseignements personnels dans le secteur privé provinciale (la LPRPSP) limitent l’étendue des renseignements que les organisations sont autorisées à recueillir. Tandis que la loi québécoise exige qu’une organisation ne recueille que les renseignements nécessaires à l’égard de l’objet du dossier, la loi fédérale restreint la collecte de renseignements personnels à ceux qui sont nécessaires aux fins déterminées par l’organisation. La collecte de trop de renseignements correspond tout simplement à une augmentation du risque pour les organisations.

Dans un deuxième temps, il faut garder à l’esprit que la LPRPSP et la LPRPDÉ interdisent respectivement aux organisations d’utiliser ou de conserver des renseignements personnels plus longtemps que nécessaire à la réalisation des fins pour lesquelles les données ont initialement été recueillies. La LPRPDÉ prévoit que les renseignements personnels doivent être conservés seulement aussi longtemps que nécessaire pour la réalisation des fins déterminées par l’organisation. La LPRPDÉ ne précise toutefois pas ce qui est nécessaire pour remplir cet objectif et exige une analyse au cas par cas. La loi québécoise, se distinguant légèrement de son équivalent fédéral, prévoit que l’utilisation des renseignements contenus dans un dossier n’est permise, une fois l’objet du dossier accompli, qu’avec le consentement de la personne concernée. Bien que la loi québécoise n’impose pas de fardeau à l’égard de l’élimination des renseignements, la Commission d’accès à l’information du Québec indique clairement cette obligation de suppression des renseignements dans ses bulletins d’interprétation. Comment donc les entreprises peuvent-elles supprimer efficacement les données ou à tout le moins les neutraliser afin qu’elles ne soient pas dommageables en cas d’accès illégal?