Données personnelles: un rattrapage, et au plus vite!

Le contraste est frappant. Aux États-Unis, Facebook et Equifax viennent d’être condamnés coup sur coup à des pénalités respectives de 5 milliards $US et 700 millions $US pour avoir manipulé les données personnelles de millions de citoyens avec un mélange de cupidité et d’insouciance.

Au Québec et au Canada ? Nous achetons la paix, tantôt pour une tape sur les doigts, tantôt pour une poignée de dollars. Nos deux gouvernements accusent des retards flagrants dans la protection des renseignements personnels. Ottawa s’est doté récemment d’une Charte canadienne du numérique. Québec possède sa stratégie de transformation numérique gouvernementale. Dans un cas comme dans l’autre, l’importance de la protection des données personnelles fait partie des énoncés de principe. Il faudra s’armer de patience avant de connaître l’étendue des protections qui seront accordées aux citoyens, piégés dans une relation de pouvoir asymétrique quant aux entreprises du commerce électronique et aux institutions bancaires qui récoltent leurs données personnelles.

L’idée de doter les citoyens d’une identité numérique en est encore à ses balbutiements. Les sanctions imposées aux fautifs sont dérisoires. Des observateurs déplorent que l’amende imposée à Facebook par la Commission fédérale du commerce américain (la FTC) équivaille à moins de 10 % de son chiffre d’affaires annuel de 55 milliards $US.

Que dire de notre régime d’encadrement de l’usage des données personnelles ? Dans le dossier d’Equifax, la fuite de renseignements personnels a touché 19 000 personnes au Canada. Le Commissariat à la protection de la vie privée n’a pu obtenir plus qu’une promesse de l’entreprise de se livrer, tous les deux ans, à un examen de ses mesures de sécurité. Le scandale Cambridge Analytica, pour lequel Facebook a été condamné à son amende de cinq milliards, a fait 622 000 victimes au Canada. Facebook a ignoré complètement les autorités canadiennes et leurs demandes de changements pour assurer la protection de la vie privée des citoyens canadiens.

Au Québec, les amendes maximales pour fuite de données vont de 10 000 $ à 50 000 $ selon la nature du problème, et elles sont doublées en cas de récidive. Au Canada, le maximum est de 100 000 $. C’est trop peu pour avoir un effet dissuasif sur les entreprises et les inciter à se doter de systèmes de sécurité étanches.

À titre de comparaison, l’Europe prévoit des sanctions pouvant aller jusqu’à 4 % du chiffre annuel mondial d’une grande entreprise en cas de violation de la confidentialité des données. Les règles européennes comprennent par ailleurs un pouvoir d’enquête proactif. Nul besoin d’attendre la manifestation de milliers de victimes pour se saisir d’un dossier litigieux.

Le gouvernement Trudeau a promis des sanctions sévères dans sa nouvelle Charte canadienne du numérique. Pour ce faire, il devrait s’inspirer de l’exemple européen. Des sanctions dissuasives sont les meilleures garantes de la vigilance des entreprises et de l’efficacité de leurs contrôles de sécurité.

Lors de son témoignage devant le Comité permanent de la sécurité publique à Ottawa, le p.-d.g. de Desjardins, Guy Cormier, a soulevé des questions utiles sur les données utilisées par les banques et autres institutions pour identifier leurs clients. Le numéro d’assurance sociale, le numéro de permis de conduire et autres identifiants sont-ils encore pertinents aujourd’hui ? Bien sûr que non. Ces renseignements sont demandés et stockés avec trop de facilité par une multitude d’entreprises, provoquant un risque accru de violation de confidentialité.

Les institutions financières ont des comptes à rendre. Chez Desjardins, par exemple, comment se fait-il que les systèmes de détection internes n’aient pas permis de découvrir qu’un employé s’est emparé des données de 2,7 millions de clients ? Les banques ont également cette manie de faire porter le fardeau de la preuve sur leurs clients lorsque ceux-ci sont victimes d’un vol d’identité ou d’une fraude. Ce fardeau devrait être renversé. Les citoyens ne devraient pas subir les inconvénients des décisions malavisées des banques qui se font berner par les arnaqueurs de toutes sortes.

Les banques auront besoin d’outils pour mieux s’acquitter de leurs responsabilités. Depuis un an, l’Association des banquiers canadiens (ABC) recommande l’adoption d’une carte d’identité numérique sécurisée. L’ABC, comme tant d’experts, déplore le retard du Canada à ce chapitre. Nous recourons aux services bancaires en ligne pour payer des factures et transférer des fonds, tandis que nous sommes encore forcés de remplir des formulaires en papier, avec des preuves d’identité analogiques, pour des opérations aussi banales que l’ouverture d’un compte.

Une carte d’identité numérique améliorerait l’efficacité du système bancaire tout en réduisant le risque de fraude. Ce chantier nécessitera un leadership des différents ordres de gouvernement et une collaboration avec le secteur privé. Nos méthodes d’identification sont archaïques. Il est temps de le reconnaître et d’arriver au XXIe siècle.

LE COURRIER DES IDÉES

Recevez chaque fin de semaine nos meilleurs textes d’opinion de la semaine par courriel. Inscrivez-vous, c’est gratuit!


En vous inscrivant, vous acceptez de recevoir les communications du Devoir par courriel. Les envois débuteront la fin de semaine du 19 janvier 2019.

8 commentaires
  • Jacques-Olivier Brassard - Abonné 27 juillet 2019 10 h 42

    La peine de mort à la rescousse !

    Les amendes financières n’ayant plus aucun effet, dans le domaine du numérique, la peine de mort pour les institutions et les sites fautifs serait tout à fait acceptable et surtout, efficace.

  • Renée Joyal - Abonnée 27 juillet 2019 11 h 40

    Des précautions nécessaires

    Vos suggestions sont très pertinentes. J'apprécie particulièrement le "renversement du fardeau de la preuve".

    J'aurais aimé lire de votre part un éditorial plus nuancé en ce qui concerne l'avortement, devenu au Canada une "vache sacrée". Il y aurait des nuances à apporter concernant l'avortement tardif. Dans Roe v. Wade, tout comme dans Morgentaler, dont vous souhaitez le maintien aux USA, les Cours suprêmes des deux États ont justement fait ces nuances. À relire in extenso. Merci pour votre pondération habituelle.

  • Jean-Pierre Cloutier - Abonné 27 juillet 2019 12 h 54

    Très bon texte

    Texte très intéressant et très pertinent. A la liste des sujets mentionnés par M. Miles, j’ajouterais la nécessité de revoir les règles pour l’émission de cartes de crédit par les institutions financières. Il est sidérant de constater avec quelle facilité un fraudeur peut obtenir une carte dès qu’il a en sa possession des informations piratées. Il est tout aussi sidérant de constater qu’une fois le dommage fait, ces institutions n’assument aucune responsabilité alors que les victimes de vol d’identité se retrouvent pris dans un dédale pendant des années pour tenter de s’extirper de cette situation. Pas besoin d’être un expert en finances pour deviner que des processus de contrôle et de vérification beaucoup plus exigeants doivent être suivis rigoureusement lorsque ces mêmes institutions financières contractent des obligations qui les exposent à des risques.
    Je suis aussi d’accord avec M. Miles quand il mentionne que Desjardins doit rendre des comptes sur sa gestion en lien avec le vol d’informations confidentielles de 3 millions de membres. Le problème du piratage et du vol de données est bien sûr plus vaste que cette affaire mais, de toute évidence, la Direction de Desjardins a failli dans sa gestion des risques et dans la mise en place de systèmes de protection adéquats. Toute la lumière doit être faite sur cette catastrophe et, à mon humble avis, M. Cormier n’est pas la personne pour mener à bien cette revue en profondeur et prendre les mesures nécessaires pour corriger les failles. Lorsque vient le temps de justifier la rémunération généreuse de leurs dirigeants, les institutions financières ne tarissent pas de justifications. L’envers de cette médaille c’est que, lorsque le système de protection ne peut empêcher le vol de données confidentielles de 3 millions de membres par 1 employé muni d’une simple clé USB, le PDG doit prendre la responsabilité de ce désastre et démissionner.

  • Jérôme Faivre - Inscrit 27 juillet 2019 13 h 31

    Facebook et le Devoir

    Au passage, pourquoi le Devoir continue-t-il à utiliser Facebook pour les commentaires de ses rubriques d'opinion ?

    Question d'argent ou de volonté ?
    Aucun changement envisageable, au-delà du discours sur les méchants GAFAs et autres boulimiques de données privées ?

    Avec ce système, il semble que même les lecteurs non inscrits à Facebook risquent de se retrouver dans des fichiers non souhaitables, cartes d'identité «high tech» ou non.

    • Pierre Robineault - Abonné 28 juillet 2019 18 h 14

      Ça, monsieur Faivre, c'est exactement ce qu'il fallait soulever au Devoir. Merci !
      Cela dit sans oublier la publicité de quelques-uns de ses chroniqueurs qui n'ont rien d'autre à faire que de la publicité pour Netflix.
      Le Devoir est devenu contradictoire avec lui-même. Et je crie un grand: Dommage!

  • Jean Duchesneau - Abonné 27 juillet 2019 15 h 56

    Manque flagrant de volonté politique!

    À l’époque de la technologie des chaînes de blocs et des contrats intelligents, où des milliards de transactions totalement sécures peuvent être validées dans un milliardième de seconde, il est indécent que ces technologies soient réservée à l’avidité des spéculateurs dont les institutions bancaires sont les plus grossiers bénéficiaires !