La cybersécurité et l’utilisation des données dans la mire des investisseurs

Etienne Plamondon Emond Collaboration spéciale
«Nos recherches nous ont montré que des entreprises dans le domaine de la santé étaient vraiment vulnérables, parce que leurs données ont beaucoup de valeur sur le marché noir», souligne Rosa van den Beemt.
Photo: iStock «Nos recherches nous ont montré que des entreprises dans le domaine de la santé étaient vraiment vulnérables, parce que leurs données ont beaucoup de valeur sur le marché noir», souligne Rosa van den Beemt.

Ce texte fait partie d'un cahier spécial.

Yahoo !, Equifax, Facebook : les entreprises dont les données confidentielles subissent une cyberattaque ou une fuite sont de plus en plus nombreuses. Les risques, tant à l’égard de leur valeur à la Bourse que de la population, sont suffisamment importants pour que l’investissement responsable s’en mêle.

Au printemps dernier, Facebook était dans une situation embarrassante : l’utilisation des données de millions de ses utilisateurs par Cambridge Analytica à des fins de propagandes électorales secouait l’opinion publique, mais aussi celle des investisseurs. Placements NEI, détenue à 50 % par le Mouvement Desjardins, possédait des titres de Facebook dans trois de ses fonds. Son service des enjeux environnementaux, sociaux et de gouvernance (ESG) a aussitôt amorcé un examen. Son but : évaluer les normes éthiques du géant du Web quant à la protection des informations confidentielles et les répercussions sociales de son modèle d’affaires. Puis, lors de l’assemblée générale des actionnaires, Placements NEI a voté contre tous les membres du conseil d’administration, jugeant que ses derniers avaient manqué à leur devoir.

Placements NEI n’en est pas à ses premiers pas sur les questions d’investissements responsables liées aux outils numériques. Rosa van den Beemt, analyste en matière d’enjeux ESG chez Placements NEI, trace même un parallèle avec les dialogues réalisés par le passé avec des entreprises minières : la société de fonds de placement a souvent pressé ces dernières à adopter des politiques reconnaissant les principes du consentement libre, préalable et éclairé des collectivités touchées par leurs activités. « Nous avons réalisé, il y a quelques années, que les enjeux liés aux problèmes de cybersécurité touchaient des aspects similaires, dit-elle en entrevue téléphonique. Les usagers ne sont pas nécessairement bien informés, lorsqu’ils s’inscrivent à certains services, sur la façon dont leurs données seront utilisées par l’entreprise, qu’elles soient vendues ou non. »

Le déclic s’est produit à l’été 2015, lorsque le site de rencontres extraconjugales Ashley Madison a été la cible d’une cyberattaque médiatisée. La nouvelle ne concernait pas une société cotée en Bourse, mais elle a éveillé Placements NEI. Cette dernière a interrogé les entreprises dont elle détenait des titres sur leurs efforts en matière de cybersécurité. « Certaines étaient très préoccupées par cet enjeu et surprises qu’aucun investisseur ne leur ait posé la question avant », raconte Rosa van den Beemt. Placements NEI a commencé à demander aux entreprises d’intégrer des principes de protection de la vie privée dès la conception de leurs outils technologiques. Un peu comme en matière d’environnement elle exige des compagnies qu’elles intègrent dès le départ des préoccupations sur le cycle de vie de leurs produits.

Depuis, Placements NEI a amorcé des dialogues d’engagement actionnarial sur ce sujet auprès des entreprises Verizon et Amazon. Mais elle ne s’attarde pas seulement aux géants des télécommunications. « Nos recherches nous ont montré que des entreprises dans le domaine de la santé étaient vraiment vulnérables, parce que leurs données ont beaucoup de valeur sur le marché noir, souligne-t-elle. Plusieurs d’entre elles ne sont pas vraiment préparées pour une cyberattaque de la même façon que les entreprises du secteur financier. »

Plus largement, Placements NEI siège au comité exécutif de l’Alliance des investisseurs pour les droits humains, dont l’une des campagnes prioritaires s’articule autour des « droits numériques », soit les enjeux de droits de la personne liés aux technologies de l’information et de la communication (TIC), pour prévenir notamment les risques d’intrusion dans la vie privée, de censure et de surveillance. Placements NEI a signé une lettre exhortant les entreprises de l’industrie numérique et des télécommunications à respecter les droits de la personne en se référant au Ranking Digital Rights Corporate Accountability Index, qui évalue les compagnies dans ce secteur sur la base de leurs engagements et de leurs politiques en matière de liberté d’expression et de confidentialité.