Données personnelles: un rattrapage, et au plus vite!

Le contraste est frappant. Aux États-Unis, Facebook et Equifax viennent d’être condamnés coup sur coup à des pénalités respectives de 5 milliards $US et 700 millions $US pour avoir manipulé les données personnelles de millions de citoyens avec un mélange de cupidité et d’insouciance.

Au Québec et au Canada ? Nous achetons la paix, tantôt pour une tape sur les doigts, tantôt pour une poignée de dollars. Nos deux gouvernements accusent des retards flagrants dans la protection des renseignements personnels. Ottawa s’est doté récemment d’une Charte canadienne du numérique. Québec possède sa stratégie de transformation numérique gouvernementale. Dans un cas comme dans l’autre, l’importance de la protection des données personnelles fait partie des énoncés de principe. Il faudra s’armer de patience avant de connaître l’étendue des protections qui seront accordées aux citoyens, piégés dans une relation de pouvoir asymétrique quant aux entreprises du commerce électronique et aux institutions bancaires qui récoltent leurs données personnelles.

L’idée de doter les citoyens d’une identité numérique en est encore à ses balbutiements. Les sanctions imposées aux fautifs sont dérisoires. Des observateurs déplorent que l’amende imposée à Facebook par la Commission fédérale du commerce américain (la FTC) équivaille à moins de 10 % de son chiffre d’affaires annuel de 55 milliards $US.

Que dire de notre régime d’encadrement de l’usage des données personnelles ? Dans le dossier d’Equifax, la fuite de renseignements personnels a touché 19 000 personnes au Canada. Le Commissariat à la protection de la vie privée n’a pu obtenir plus qu’une promesse de l’entreprise de se livrer, tous les deux ans, à un examen de ses mesures de sécurité. Le scandale Cambridge Analytica, pour lequel Facebook a été condamné à son amende de cinq milliards, a fait 622 000 victimes au Canada. Facebook a ignoré complètement les autorités canadiennes et leurs demandes de changements pour assurer la protection de la vie privée des citoyens canadiens.

Au Québec, les amendes maximales pour fuite de données vont de 10 000 $ à 50 000 $ selon la nature du problème, et elles sont doublées en cas de récidive. Au Canada, le maximum est de 100 000 $. C’est trop peu pour avoir un effet dissuasif sur les entreprises et les inciter à se doter de systèmes de sécurité étanches.

À titre de comparaison, l’Europe prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre annuel mondial d’une grande entreprise en cas de violation de la confidentialité des données. Les règles européennes comprennent par ailleurs un pouvoir d’enquête proactif. Nul besoin d’attendre la manifestation de milliers de victimes pour se saisir d’un dossier litigieux.

Le gouvernement Trudeau a promis des sanctions sévères dans sa nouvelle Charte canadienne du numérique. Pour ce faire, il devrait s’inspirer de l’exemple européen. Des sanctions dissuasives sont les meilleures garantes de la vigilance des entreprises et de l’efficacité de leurs contrôles de sécurité.

Lors de son témoignage devant le Comité permanent de la sécurité publique à Ottawa, le p.-d.g. de Desjardins, Guy Cormier, a soulevé des questions utiles sur les données utilisées par les banques et autres institutions pour identifier leurs clients. Le numéro d’assurance sociale, le numéro de permis de conduire et autres identifiants sont-ils encore pertinents aujourd’hui ? Bien sûr que non. Ces renseignements sont demandés et stockés avec trop de facilité par une multitude d’entreprises, provoquant un risque accru de violation de confidentialité.

Les institutions financières ont des comptes à rendre. Chez Desjardins, par exemple, comment se fait-il que les systèmes de détection internes n’aient pas permis de découvrir qu’un employé s’est emparé des données de 2,7 millions de clients ? Les banques ont également cette manie de faire porter le fardeau de la preuve sur leurs clients lorsque ceux-ci sont victimes d’un vol d’identité ou d’une fraude. Ce fardeau devrait être renversé. Les citoyens ne devraient pas subir les inconvénients des décisions malavisées des banques qui se font berner par les arnaqueurs de toutes sortes.

Les banques auront besoin d’outils pour mieux s’acquitter de leurs responsabilités. Depuis un an, l’Association des banquiers canadiens (ABC) recommande l’adoption d’une carte d’identité numérique sécurisée. L’ABC, comme tant d’experts, déplore le retard du Canada à ce chapitre. Nous recourons aux services bancaires en ligne pour payer des factures et transférer des fonds, tandis que nous sommes encore forcés de remplir des formulaires en papier, avec des preuves d’identité analogiques, pour des opérations aussi banales que l’ouverture d’un compte.

Une carte d’identité numérique améliorerait l’efficacité du système bancaire tout en réduisant le risque de fraude. Ce chantier nécessitera un leadership des différents ordres de gouvernement et une collaboration avec le secteur privé. Nos méthodes d’identification sont archaïques. Il est temps de le reconnaître et d’arriver au XXIe siècle.

À voir en vidéo