Éloïse Gratton, doctorante en protection des renseignements personnels, qui a été recrutée par Borden Ladner Gervais (BLG), est responsable de conseiller les entreprises du secteur privé afin de les aider à mieux gérer les risques qu’elles affrontent. « Mon rôle est de m’asseoir avec chaque service de l’entreprise pour déterminer qui fait et recueille quoi [comme renseignements], et de m’assurer que leurs procédures respectent bien les lois. Ces dernières évoluent très rapidement », explique-t-elle.
Elle remarque que les entreprises ne s’intéressent souvent à la question de la sécurité informatique qu’une fois qu’elles ont déjà connu un premier incident… « On a pourtant vu, dans l’histoire de Target, qu’un bris de sécurité pouvait avoir de graves conséquences sur la réputation d’une entreprise, une incidence sur sa valeur boursière en plus d’entraîner des pertes d’emplois. Il vaut donc mieux prévenir que guérir, d’autant qu’on voit aussi de plus en plus de recours collectifs relatifs à des bris de sécurité. »
Selon elle, l’une des premières choses à faire est d’étudier la gouvernance de l’entreprise, afin de vérifier qu’elle a bien mis en place les politiques nécessaires concernant la protection des renseignements personnels.
« Si un employé a rapporté à la maison une clé USB non cryptée qui comprenait des informations confidentielles, il faut se demander quelles sont les politiques mises en place par la gouvernance, si celles-ci sont bien connues et appliquées par les employés et si les solutions technologiques sont disponibles au sein de l’organisation », souligne Mme Gratton.
Sans compter que l’essor des appareils mobiles et de la numérisation de l’information a fait apparaître de nouvelles formes de risques : « Contrairement au papier et aux classeurs qu’on pouvait verrouiller dans un tiroir, les données numériques circulent aujourd’hui beaucoup plus et peuvent être copiées, hébergées sur des serveurs et accessibles plus longtemps, ce qui augmente les risques », met en garde Éloïse Gratton. La nature des informations collectées doit aussi être passée au crible : quand une entreprise fait face à un bris de sécurité sur une base de données, le commissaire à la vie privée pourra lui demander de justifier pourquoi elle a collecté des renseignements n’étant pas nécessaires à son activité. « Ce qui signifie qu’en cas d’impartition d’un service de paie à l’extérieur, mieux vaut se demander s’il faut que le dossier, qui contient des informations comme le numéro d’assurance sociale, soit communiqué au complet, ou que l’on fournisse uniquement les données bancaires en vue de limiter les risques », met en garde Mme Gratton.
Réaliser de tels audits nécessite à la fois des expertises dans les secteurs technologique et légal, mais aussi dans le domaine de la gouvernance pour bien comprendre les enjeux de l’entreprise. « L’un des défis est aussi de relier les services d’une même entreprise, car pour s’assurer de la légalité de la collecte de l’information, il faut que les services du marketing, du développement des affaires, des TI et juridique se parlent », rappelle Mme Gratton.
