Les fuites de données ou data breach en anglais sont « des communications non autorisées ou pertes de renseignements personnels, ou accès non autorisé à ceux-ci par suite d’une atteinte aux mesures de sécurité d’une organisation»[1]. Avec la dématérialisation initiée par l’Internet, les bris de sécurité informationnelle ou les fuites de données semblent se multiplier et deviennent le principal risque à combattre en entreprise[2]. Quelques fuites massives de données ont ainsi marqué l’actualité ces dernières années. En ont fait les frais, notamment, l’entreprise de distribution Home dépôt en 2014[3], l’entreprise de surveillance de crédit Equifax en 2017,  plus récemment le groupe financier Desjardins et la banque Capital One en 2019[4]. Ce fléau numérique est devenu une véritable pandémie qui n’épargne ni les petites et moyennes entreprises ni les plus grandes[5]. À ce point qu’on ne se demande plus si les entreprises subiront des fuites de données dans les prochaines années mais plutôt « quand ».

En raison de l’hyper informatisation, l’ubiquité d’internet, la collecte d’un nombre incalculable d’informations plus ou moins sensibles, une fuite de données en entreprise signifie des millions de données dérobées. Le récent vol de données subi par le groupe Desjardins mettant en cause un employé[6] nous rappelle que les failles peuvent être multiformes. Ainsi, la fuite de données peut être imputée à un employé négligeant ou corrompu, à l’introduction dans les systèmes informatiques d’un logiciel malveillant, ou encore à la perte ou au vol d’un équipement informatique[7].

La législation constitue le premier rempart contre les fuites. Nous avons, au fédéral, la Loi sur la protection des données personnelles et des documents électroniques[8] dite la PIPEDA. Au niveau provincial, le Québec[9], l’Alberta[10] et la Colombie-Britannique[11] ont adopté des lois équivalentes en la matière. Dès lors, les entreprises doivent rigoureusement se conformer à leurs obligations légales en mettant en place des stratégies de sécurité autant en amont qu’en aval du bris informationnel, en fonction de la sensibilité des renseignements en leur possession et des risques encourus[12].

Les entreprises mettront ainsi en place des procédures d’accès aux informations, respectant certains critères dont « la confidentialité, l’intégrité de l’information et la disponibilité des systèmes »[13]. Même si les procédures de cybersécurité minimisent l’impact des conséquences d’une fuite de données, le risque demeure bien présent.

Lorsqu’une atteinte survient, les conséquences sont néfastes pour la réputation et la crédibilité des entreprises. Il s’en suit une perte de confiance des consommateurs actuels[14], des clients potentiels et des fournisseurs. La « bonne réaction » d’une entreprise suite à une atteinte aux mesures de sécurité est essentielle afin de prouver qu’elle a le contrôle de la situation. Par exemple, la notification de l’incident aux autorités et aux personnes concernées par les fuites de données dans un délai raisonnable est de mise. En réalité, le non-respect de cette procédure entraîne des sanctions pécuniaires pour l’entreprise[15] et l’érosion de la confiance des consommateurs. Des initiatives seront également prises afin de regagner la confiance du public. C’est notamment le cas du service de surveillance de crédit d’Equifax offert gratuitement par Desjardins à ses membres. Ou encore, la démission du directeur et président du conseil d’administration de Target, Gregg Steinhafel, après le vol de données subi par son entreprise[16].

La conformité à la loi et la mise en place des mesures de sécurité engendrent des frais substantiels pour les entreprises. Selon une étude effectuée par Statistique Canada en 2017, les entreprises canadiennes dépenseraient en moyenne 14 milliards de dollars pour leur stratégie de cybersécurité[17]. Toutefois, ceci semble insuffisant. D’après certains experts, les législations canadiennes sur la protection des données personnelles gagneraient à être modernisées afin d’être plus efficaces. Par exemple, les sanctions pécuniaires imposées aux entreprises négligentes  dans la protection des données personnelles de leurs clients produiraient un effet dissuasif[18].

[1] Loi sur la protection des renseignements personnels et les documents électroniques, L.C. 2000, ch. 5.

[2] Radio-Canada, « Fuites de données : cinq grands scandales des dernières années », Radio-Canada (21 juin 2019), en ligne : <https://ici.radio-canada.ca/nouvelle/1193991/scandale-fuite-vol-renseignements-personnel>.

[3] HuffPost, « Home Depot confirme le vol de données au Canada et aux États-Unis », HUFFPOST (9 août 2014), en ligne : <https://quebec.huffingtonpost.ca/2014/09/08/home-depot-vol-de-donnees-confirme-au-canada-et-aux-etats-unis_n_5787224.html> (consulté le 7 février 2020).

[4] Alain McKenna, « Capital One, Desjardins, Equifax: on sait déjà qu’il y en aura d’autres » (1 août 2019), en ligne : <https://www.lesaffaires.com/blogues/alain-mckenna/capital-one-desjardins-equifax–on-sait-deja-quil-y-en-aura-dautres/611802>.

[5] Morgane Palomo, « 36% des petites entreprises victimes de fuites de données en 2019 », DOCaufutur, l’avenir du document (24 septembre 2019), en ligne : <https://www.docaufutur.fr/2019/09/24/36-des-petites-entreprises-victimes-de-fuites-de-donnees-en-2019/>.

[6] Jérôme labbé, « Vol massif de données personnelles chez Desjardins », Radio-Canada (20 juin 2019), en ligne : <https://ici.radio-canada.ca/nouvelle/1193006/caisses-populaires-desjardins-vol-donnees-personnelles>.

[7] inazo, « 3 causes de pertes données en entreprise », Alexandre Joly blog sur la sécurité informatique et la sensibilisation des entreprises et particuliers (28 juin 2017), en ligne : <https://www.kanjian.fr/3-causes-de-pertes-donnees-entreprise.html>.

[8] Loi sur la protection des renseignements personnels et des documents électroniques, préc., note 1.

[9] Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c. P-39.1.

[10] Personal Information Protection Act, S.A. 2003, c. P-6.5.

[11] Personal Information Protection Act, S.B.C. 2003, ch. 63.

[12] Ana Vicente, La convergence de la sécurité informatique et la protection des données à caractère personnel : vers une nouvelle approche juridique, mémoire de maîtrise, Montréal (Québec), Université de Montréal, 2003, p. 41.

[13] Id., p. 56.

[14] Jean-François Venne, « Quand les données fuient, la confiance suit », Les affaires (1 mars 2014), en ligne : <https://www.lesaffaires.com/dossier/protection-des-informations-personnelles/quand-les-donnees-fuient-la-confiance-suit/566801> (consulté le 7 février 2020).

[15] Commissariat à la protection de la vie privée du Canada, « Ce que vous devez savoir sur la déclaration obligatoire des atteintes aux mesures de sécurité » (29 octobre 2018), en ligne : <https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/protection-des-renseignements-personnels-pour-les-entreprises/mesures-de-securite-et-atteintes/atteintes-a-la-vie-privee/comment-reagir-a-une-atteinte-a-la-vie-privee-dans-votre-entreprise/gd_pb_201810/>.

[16] Don Reisinger, « Target CEO resigns after data breach fallout », CNET (5 mai 2014), en ligne : <https://www.cnet.com/news/target-ceo-gregg-steinhafel-resigns-after-data-breach-fallout/> (consulté le 3 février 2020).

[17] Le Quotidien, « L’incidence du cybercrime sur les entreprises canadiennes, 2017 », Le Quotidien (15 octobre 2018), en ligne : <https://www150.statcan.gc.ca/n1/fr/daily-quotidien/181015/dq181015a-fra.pdf?st=dRX_BjfO>.

[18] Alexandre Sirois, « Vol de données personnelles: pour en finir avec le Far West », La Presse (22 novembre 2019), en ligne : <https://www.lapresse.ca/debats/editoriaux/201911/21/01-5250690-vol-de-donnees-personnelles-pour-en-finir-avec-le-far-west.php> (consulté le 7 février 2020).