Êtes-vous une passoire?

Les clients ne confient pas seulement leurs finances personnelles aux conseillers, mais aussi des tonnes de renseignements personnels hautement confidentiels. Ont-ils raison de leur faire confiance?

L’industrie financière est le cinquième pire secteur en ce qui concerne les pertes de données, selon un récent rapport de KPMG. Pourtant, peut-on lire dans le même document, cette industrie a réduit ses pertes de données de 80 % en cinq ans. Difficile de considérer que ces entreprises font preuve de mauvaise volonté!

« L’industrie financière est plutôt en avance en matière de sécurité informatique, car elle sait qu’elle est une cible majeure des cybercriminels et elle a beaucoup d’argent à investir dans cette lutte », note Benoît Dupont, professeur titulaire de la Chaire de recherche du Canada en sécurité, identité et technologie.

Peine perdue. « Les cybercriminels sont patients, très bien financés, et s’adaptent rapidement aux nouvelles normes de sécurité », admet Stefano Tiranardi, directeur régional technico-commercial chez Symantec.

En chiffres…

• Environ 85 % des incidents de perte de données en 2012 ont eu lieu aux États-Unis, en Chine ou en Grande-Bretagne.
• Source : KPMG
• Environ 14,8 % de l’ensemble des dossiers affectés dans la première moitié de 2012 étaient dans les services financiers.
• Source : KPMG
• 37 % des adultes canadiens utilisent le même appareil mobile pour le travail et pour un usage personnel.
• Source : Norton

Des responsabilités à assumer

Mais quelles sont les responsabilités quant à la protection des données auxquelles est assujettie l’industrie financière? Entre les lois fédérales et provinciales et les codes de déontologie des organismes réglementaires, on peine à s’y retrouver.

L’Autorité des marchés financiers fait certaines vérifications lors de ses inspections dans les cabinets. Celles-ci concernent surtout les plans de contingence, c’est-à-dire les moyens de s’assurer que l’information ne sera pas perdue en cas de problème informatique, de vol ou de catastrophe (feu, inondation, etc.).

Du côté de la Chambre de la sécurité financière (CSF), les articles 26 et 27 du Code de déontologie de la CSF et les articles 8, 9 et 17 du Règlement sur la déontologie dans les disciplines de valeurs mobilières réglementent la protection des données. Mais ils concernent surtout l’interdiction de divulguer des renseignements confidentiels sans le consentement du client, ou encore l’interdiction de les utiliser soi-même à mauvais escient.

Quant à l’Organisme canadien de réglementation du commerce des valeurs mobilières, il n’a de leçons à donner à personne. En avril 2013, on apprenait que l’un de ses employés avait égaré un appareil portable contenant les données de 52 000 investisseurs provenant de 32 firmes de courtage! Comme aucune réglementation ne porte spécifiquement sur les pertes de données, l’organisme n’encourt aucune sanction.

La Loi sur la protection des renseignements personnels dans le secteur privé du Québec contient la prescription la plus directe quant à la protection des données, et son principe est fort simple : plus les renseignements sont critiques, plus les mesures de sécurité doivent être élevées.

Quant à loi fédérale de protection de la vie privée, la Loi sur la protection des renseignements personnels et les documents électroniques, elle n’oblige pas, pour l’instant, une entreprise à avertir ses clients lors d’une attaque informatique ou d’une perte de données, à moins qu’elle ne les juge très à risque. « Les entreprises se convainquent souvent elles-mêmes que les clients ne sont pas assez à risque pour devoir les avertir… De toute manière, la moitié du temps, elles ne savent même pas qu’elles perdent des données! », ironise Stefano Tiranardi.

Le projet de loi C-12, présenté par le gouvernement conservateur, obligerait les entreprises à informer leurs clients lorsque leurs données sont compromises, mais seulement en cas de « risque réel de préjudice grave ». Il est toutefois contesté à cause de nombreuses dispositions qui permettraient aux policiers d’obtenir, à l’insu d’un individu, des données confidentielles le concernant et de l’interdiction faite aux fournisseurs de services d’avertir le citoyen que de telles informations ont été divulguées. Certains, comme le Nouveau Parti démocratique, trouvent sa capacité de protection de la vie privée trop limitée. La députée Charmaine Borg, porte-parole de l’opposition officielle en matière d’enjeux numériques, a déposé de nouveau, en novembre 2013, son projet de loi C-475, mort au feuilleton quelques mois plus tôt lorsque les conservateurs ont mis fin abruptement à la session parlementaire. Celui-ci imposerait des mécanismes d’alerte obligatoire des utilisateurs en cas de pertes de données, et renforcerait les pouvoirs du commissaire à la vie privée et de la Cour fédérale en cas de non-conformité des organismes.

Page suivante >>>>>