Quand les données personnelles valent de l’or

12 août 2019
Posted in Non classé
12 Août 2019
Non classé
12 août 2019 Carolle Larose

Alors que les services de sécurité informatique des institutions bancaires sont en ébullition, voilà qu’un transfert de liste d’employés chez Revenu Québec rappelle abruptement que les services de ressources humaines sont aussi concernés par ces questions de protection des renseignements confidentiels.

C’est la loi, toutes les entreprises, même les PME, doivent prendre « les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. » [i]

Le « raisonnable » d’il y a quelques années prenait souvent la forme d’un classeur avec clé. Si cette pratique reste nécessaire, il est clair que les fuites d’information ne sortent souvent plus par la voie des filières, mais par le transfert de données conservées en format électronique.       

On pourrait croire que la valeur de telles données dans les PME est limitée compte tenu du petit nombre d’employés potentiellement visé par la fuite. Qui s’exposerait aux risques d’un tel vol pour un volume si limité de données ?

Posons plutôt la question autrement. Un bénéfice moindre pour le fraudeur vient-il éliminer le risque de fuite ? Avec les coordonnées d’une personne, sa date de naissance et son numéro d’assurance sociale, il semble relativement aisé aux fraudeurs d’aujourd’hui d’usurper l’identité de cette dernière. La suite est connue, les histoires d’horreur de citoyens aux prises avec cette situation chaotique pullulent sur le web.  Bien sûr, on compte une multitude de « détenteurs » de ces informations pour une même personne et la fuite peut arriver de partout… mais vous ne voulez certainement pas qu’elle provienne de chez vous !    

Limiter l’accès aux renseignements personnels des employés est une responsabilité de l’entreprise qui ne peut donc être prise à la légère. Le cloisonnement des données, un accès limité à certaines personnes, des alertes informatiques et des méthodes de travail appropriées constituent des exemples de mesures à mettre en place. Ces mécanismes sont souvent déployés afin de protéger l’entreprise contre le piratage informatique dans une perspective plus large que la protection des données personnelles des employés. Chose certaine, une bonne réflexion à l’interne sur les processus de travail et les mécanismes de contrôle en place pour sécuriser ces informations en entreprise s’impose, à l’ère où les données électroniques valent de l’or !              

Quelques lectures sur ce thème :

Perreault et Associés, La gestion des dossiers des employés, 20 février 2018. 

Les Affaires, Les entreprises sous-estiment-elles les risques de piratage informatique, 27 mars 2018.  

[i] Loi sur la protection des renseignements personnels, Chap. P-39.1.