Sondage du CEFRIO - Portrait mitigé de la protection des renseignements dans les entreprises

Une entreprise sur trois dit avoir une politique écrite en matière de renseignements personnels, de pratique équitable du traitement de l'information ou de collecte de données, indique une enquête faite auprès de 147 des 520 plus grandes entreprises du Québec.

Ce récent sondage du Centre francophone d'informatisation des organisations (CEFRIO) indique également que 14,4 % d'entre elles disent avoir effectué un inventaire afin d'identifier les informations délicates qu'elles détiennent ainsi que l'endroit précis où elles sont stockées.

Les auteurs de l'enquête tiennent toutefois à préciser qu'à ces deux questions, quatre entreprises sur dix ont refusé de répondre.

Des statistiques préoccupantes? Peut-être, mais le cabinet-conseil Samson Bélair/Deloitte & Touche, qui a commandé l'enquête, apporte certaines nuances. «Les exigences que la loi [sur les renseignements personnels] préconise font en sorte que les compagnies doivent de toute façon faire des politiques qui viennent appuyer les dispositions de cette loi», dit Pierre Belhumeur, associé au service de sécurité de l'information chez Samson Bélair/Deloitte & Touche. «Mais ce n'est pas quelque chose de spécifique que la loi demande à avoir.»

Selon le CEFRIO, le renseignement personnel entre dans deux catégories: il peut concerner un individu ou aider à l'identifier, en donnant par exemple le revenu, le nom, le numéro d'assurance sociale et l'historique médical.

Pour mener son enquête, le CEFRIO a d'abord visé les 520 plus grandes entreprises du Québec en se basant sur le classement annuel 2003 du journal Les Affaires.

L'organisme a vite constaté que les enjeux se définissent selon la nature de l'entreprise et son secteur d'activité.

«Une grande compagnie d'assurances, qui gère les renseignements de ses clients, a besoin d'une infrastructure de gestion du risque plus extensive que, par exemple, une compagnie de fabrication manufacturière qui ne détient que des renseignements au sujet de ses employés», dit Éric Lacroix, directeur de la veille stratégique et des enquêtes au CEFRIO.

Préoccupation rassurante

Le CEFRIO note également que, si la sécurité informatique est généralement déléguée aux responsables technologiques, la protection des renseignements personnels est souvent sous l'autorité directe du chef de la direction ou des ressources humaines.

M. Lacroix voit d'ailleurs une «préoccupation rassurante» dans le fait que cette protection des renseignements personnels soit «sortie de sa sphère technologique» pour être placée plus au coeur de la stratégie des entreprises. 34 % des compagnies disent d'ailleurs avoir un responsable attitré à la protection de ces informations.

Par ailleurs, six entreprises sur dix disent avoir un système pour déterminer si leur infrastructure fait l'objet d'une attaque, tandis que près de 70 % mènent une enquête lorsque survient un incident lié à leur sécurité.

Soixante-sept pour cent des compagnies ont dit avoir subi une attaque au cours des 12 derniers mois, sous forme de virus ou de tentative d'intrusion.

Selon le CEFRIO, le pourcentage d'entreprises se disant touchées par ces attaques n'a pas changé depuis cinq ans. La fréquence des attaques, cependant, a augmenté, ce qui s'expliquerait tout simplement par la multiplication des virus en circulation.

Le sondage a été réalisé du 22 mars au 30 avril et comporte une marge d'erreur de 6,8 %, 19 fois sur 20.