Communication en cas de violation de données : êtes-vous prêts ?

Par Julien Baudry

Au cours des dernières années, de nombreuses organisations ont commencé à donner une seconde vie aux données qu’elles ont recueillies. Même en exploitant celles-ci dans les règles de l’art, les organisations ont vu apparaître un nouveau risque qui peut affecter grandement leur réputation.

Bien que la législation fédérale sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ainsi que les lois afférentes québécoises¹ fassent l’objet de nombreux débats entourant leur efficacité, les attentes des parties prenantes ne cessent d’évoluer. Entre un cadre légal souvent comparé aux nouveaux standards européens du General Data Protection Regulation et des attentes de plus en plus grandes de la part de l’opinion, les organisations qui pourraient être victimes d’une cyberattaque se retrouvent très souvent coincées entre ce qui est légal et ce qui est maintenant acceptable.

La raison est simple : l’utilisation accrue des données massives, tel que les 2,5 quintillions d’octets ou 10 millions de disques Blu-ray créés chaque jour dans le monde, selon IBM, est alimentée par l’émergence de moyens techniques puissants de stockage de données. Il y a de plus en plus de données et de plus en plus de personnes qui s’intéressent aux données. Et de l’infonuagique jusqu’au support physique, le stockage de données s’accompagne en permanence de la possibilité d’une cyberattaque. Le risque zéro n’existe pas.

De nombreuses organisations offrent des services pour tester les différentes mesures de sécurité, mais rares sont les entreprises qui sont véritablement préparées à réagir rapidement en cas d’attaque. Pourtant, en situation de gestions d’enjeux et de crise, le temps constitue la ressource la plus rare, mais aussi la plus précieuse. Depuis le 1^er novembre, la nouvelle checklist des organisations affectées impose des délais et des efforts considérables pour rapporter aux individus possiblement touchés que les données les concernant pourraient avoir été compromises. Concrètement, cela signifie, par exemple, que chacun des millions de Canadiens et de Québécois touchés par d’éventuelles fuites de données de Canadian Tire ou de Loblaw doit maintenant être informé « le plus rapidement possible ». Si ce n’est pas fait ou si un média s’en empare, l’organisation pourrait alors faire la manchette et se trouver exposée à l’œil du public. Les pratiques de Yahoo, qui a attendu plusieurs années pour informer les « victimes » sont, en théorie, révolues, car totalement inacceptables.

With greats powers come great responsibilities

Parce qu’une violation de données personnelles peut avoir beaucoup d’impacts sur la vie d’une simple personne, les entreprises doivent aujourd’hui informer les « victimes », mais aussi le Commissaire à la vie privée de l’existence d’un risque pouvant avoir des conséquences sur ces personnes. Il faut en dévoiler beaucoup auprès de celles et ceux qui risquent d’être fort inquiets : contexte, calendrier de diffusion, type de données compromis, gestes posés pour faire face aux impacts de la fuite… De plus, il faut non seulement communiquer le risque, mais aussi, notamment, mettre de l’avant les mesures de mitigations prises pour que chaque citoyen puisse se prémunir des conséquences et… obtenir réponse à ses questions au sujet de la protection de ses données. Bref, quand on possède des informations personnelles sur ses clients, il faut prendre ses responsabilités et mettre en place une véritable infrastructure de communication. Page Web, ligne téléphonique dédiée, personnel informé, service à la clientèle éprouvé et outils de communications accessibles sont devenus essentiels pour multiplier les canaux et démontrer véritablement que l’organisation prend tout cela au sérieux. Tout cela, sans oublier les médias, qui sont de mieux en mieux renseignés sur les conséquences de la violation des données et de plus en plus sensibles aux aspects moraux des nouvelles technologies. Ne pas communiquer comme il se doit s’accompagne donc d’amendes, mais aussi de conséquences graves sur la réputation.

Bien qu’elles soient de plus en plus fréquentes et que les médias rivalisent pour trouver la plus grande fuite, la violation de données est loin d’être banalisée. Parce qu’elles occupent une grande place dans nos vies et qu’elles alimentent également bon nombre d’inquiétudes, les individus sont de plus en plus exigeants sur les mesures mises en place pour protéger les données, mais aussi pour bien gérer la situation en cas de violation. Dans les faits, c’est davantage sur la performance de la gestion de l’enjeu que sur la cause principale que les organisations sont jugées. Pour y arriver et pour arriver à bien gérer cette précieuse ressource, il n’y a pas de secret. Il faut être prêt. Et vous, l’êtes-vous ?

*Loi sur la protection des renseignements personnels dans le secteur privé et la loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels