À l'ère numérique, nous avons l'incroyable chance de pouvoir conclure divers types de transaction d'un simple clic de souris. Ces nouveaux moyens viennent toutefois avec des responsabilités pour les législateurs et les sociétés. La sophistication de la cybercriminalité et des fraudes électroniques exigent qu'ils adoptent une approche robuste pour protéger les renseignements personnels des citoyens.
En février dernier, un ordinateur portable qui appartenait à l'Organisme canadien de réglementation du commerce des valeurs mobilières (OCRCVM) a été égaré à Montréal. Il contenait les renseignements financiers personnels de 52 000 investisseurs canadiens. L'organisme n'avait pas suivi ses propres politiques de protection des données: les données n'étaient pas cryptées. C'est troublant. Pire encore, l'OCRCVM a attendu deux mois avant d'avertir le public et les individus touchés par cette fuite de données.
Malheureusement, il ne s'agit pas d'un cas isolé.
En avril dernier, le site d'escomptes en ligne LivingSocial a été victime d'une cyberattaque. Les pirates ont accédé aux noms, adresses courriel, dates de naissance et mots de passe de plus de 50 millions de clients. En mars, le site de stockage de données Evernote a subi une attaque semblable: des noms d'utilisateurs, des adresses et des mots de passe ont fait l'objet de fuites.
Il a été révélé récemment que depuis l'entrée au pouvoir des conservateurs, en 2006, plus de 2 900 fuites de données avaient eu lieu au gouvernement fédéral. Ces fuites, dont 90 % n'ont même pas été rapportées à la Commissaire à la vie privée, ont compromis les renseignements personnels de plus d'un million de Canadiens.
Comment se peut-il que malgré la fréquence et l'ampleur de ces fuites, les organisations n'aient pas l'obligation légale de les rapporter? Ne pas rapporter ces fuites peut avoir des conséquences graves pour les Canadiens qui ne se doutent de rien, du simple utilisateur des réseaux sociaux à l'investisseur.
Il n'est pas facile d'obtenir des données fiables sur les fuites de renseignements, mais nous savons que le vol d'identité a coûté 76 millions $ aux Canadiens en 2012. Nous savons également que, jusqu'ici, un million de Canadiens se sont fait voler leurs renseignements bancaires, victimes d'hameçonnage par courriel.
En réponse à ces problèmes, j'ai introduit le projet de loi C-475, Loi modifiant la Loi sur la protection des renseignements personnels et documents électroniques. Ce projet de loi vise entre autres à mettre en place un mécanisme de rapport obligatoire des fuites de renseignements pour les organisations. En deux mots, si une organisation perd vos renseignements personnels et que cela pourrait vous causer préjudice, celle-ci devra le rapporter dans un délai raisonnable.
Les avantages sont évidents pour les utilisateurs d'Internet, les entreprises et pour la société dans son ensemble. Les Canadiens seraient alertés des risques dès que leurs renseignements personnels seraient compromis. Ils seraient alors en mesure de prendre des mesures immédiates pour protéger leurs données personnelles et pour prévenir le vol d'identité.
Par ailleurs, ce projet de loi ferait en sorte que les sociétés seraient en mesure de compter sur l'expertise du bureau de la Commissaire à la vie privée pour déterminer comment procéder pour avertir le public à la suite d'une fuite. Cela permettrait aussi de centraliser la collecte de données sur les fuites de renseignements et de mieux informer le public et le secteur privé sur les risques et les tendances liés à la sécurité des données.
À l'échelle nationale et internationale, on s'entend de plus en plus pour dire que les fuites de renseignements doivent être rapportées. En Allemagne, au Royaume-Uni et en France, rapporter les fuites aux commissaires à la vie privée et à l'information est déjà obligatoire lorsque la sécurité des renseignements personnels est compromise. Plus près de nous, la semaine dernière, la Commissaire à la vie privée du Canada a publié un livre blanc dans lequel elle demandait la mise en place d'exigences strictes pour le rapport des fuites de renseignements dans les lois canadiennes. Cette annonce a été faite à la suite de demandes répétées semblables d'experts canadiens comme Michael Geist et de groupes de défense des consommateurs comme l'Union des consommateurs et le Centre pour la défense de l'intérêt public.
Il est temps que les Canadiens puissent avoir confiance en la sécurité de leurs renseignements personnels sur Internet. Le projet de loi C-475 permettra aux législateurs d'entamer le processus de modernisation de lois entourant la protection des renseignements personnels afin de surmonter les nouveaux défis de l'ère numérique.
VOIR AUSSI SUR LE HUFFPOST
