Michelle Blanc le signalait encore hier, la sécurité est souvent utilisée comme un épouvantail, bien loin de l’analyse et de la pondération qu’un tel domaine, tout neuf, requiert. D’un autre côté, à côté de ces appels aux loups, à cette insécurité sublimée, il y a une véritable errance due, je crois, aux lois qui demeurent parfois à revisiter et surtout aux pratiques qui ne sont guère adaptées à la révolution que nous subissons. Aussi, face à ces changements majeurs, je crois qu’il importe de s’attacher aux études susceptibles de mesurer l’état de la situation, sans biais, sans a priori. C’est donc pour cela que je suis ravi de faire l’état de la toute récente étude de Benoit Dupont et Benoit Gagnon de la Chaire de recherche du Canada en sécurité, identité et technologie s’intitulant « La sécurité précaire des données personnelles en Amérique du Nord : une analyse des statistiques disponibles ».

Sans prétention d’exhaustivité, je me permets de commenter ce document de 16 pages écrit en français, fort bien au demeurant, et qui présente un état des lieux fort intéressant sur la gestion dite précaire des renseignements personnels au Canada et aux États-Unis.

Obligation de déclaration des incidents : pour quand ?

Disons en premier lieu, tout comme les auteurs, que le « polaroid » de la situation canadienne est difficile à tracer dans la mesure où seuls 23 incidents y sont répertoriés. Et oui, malgré un discours ambiant du gentil Canada non loin « du plus beau pays du monde », il n’existe aucune obligation de pro-action en obligeant personnes morales de droit public et de droit privé à déclarer les incidents de sécurité à un organisme compétent. De l’autre côté de la frontière, aux États-Unis, souvent vu comme le méchant sans foi ni loi où les RP sont vendus à qui veut bien les acheter, la grande majorité des États américains a adopté des lois obligeant les gestionnaires de RP à déclarer de tels problèmes. Aussi, presque 1 000 cas y sont rapportés. Depuis ce fameux rapport de 2005 du Bureau de la consommation, qui préconisait une telle mesure, rien, toujours rien de ce côté de la frontière. Dommage !

Public versus privé

L’étude montre aussi que tous « les secteurs d’activités semblent également affectés par des défaillances en matière de protection des données personnelles ». Certes. D’un autre côté, et ceci est une impression non vérifiée, non mesurée, je ne suis pas sûr que pour autant cet état de fait soit forcément une atteinte aux perspectives d’administration en ligne comme cela est suggéré page 9.

« On voit donc ici que les données personnelles des citoyens ne sont pas mieux protégées par les services publics que par les intérêts privés, et que certains domaines comme l’éducation ou la santé sont même particulièrement à risques. Ce constat est particulièrement problématique dans la perspective de la promotion qui est faite des services gouvernementaux en ligne (le e‐government), puisque les services publics ne semblent pas en mesure de garantir l’intégrité des données personnelles et des transactions électroniques qui y sont associées. Dans la mesure où l’universalité d’accès aux services publics entraîne la création de fichiers qui regroupent des informations sur l’ensemble de la population, on peut aussi se poser la question de la prise de conscience au sein des administrations de l’intérêt que représente pour les fraudeurs l’accès à un tel gisement de données personnelles. »

D’une part, le monde de l’éducation, notamment post-secondaire, qui semble être le pire, est certes public mais est généralement géré de manière autonome. De plus, justement, le e-government donne lieu à une réévaluation les mesures de sécurité et selon les exemples que j’ai pu voir, le tout avec une diligence véritable.

Également, et là encore, je ne démontrerai pas mes prétentions, mais j’ai l’impression que le public dispose d’une fragilité inhérente à savoir qu’il gère une quantité phénoménale de données. Et que cette quantité les rend plus à risque. Également, et je reste dans les tentative d’explications, peut-être que dans le secteur privé, les lois qui obligent (ou obligeront) à assurer les données financières des entreprises, côtés en bourse, ont un effet secondaire salutaire à l’ensemble des documents confidentiels.

Hausse ou baisse

Sans que cela ne soit une preuve irréfutable, on trouve encore dans cette étude un indice de la baisse des bris de sécurité. Même si les auteurs prennent un soin qui les honore pour atténuer les raisons de cette baisse (page 12 - mise en place de lois, etc.), c’est une pierre supplémentaire contre ceux qui crient à la hausse fulgurante des occurrences. Les auteurs affirment plutôt :

« Étant donné la nature relativement récente des efforts de recueil systématique des statistiques, il est encore difficile de dégager des tendances temporelles très robustes concernant l’évolution du phénomène, particulièrement en ce qui concerne le nombre d’incidents enregistrés.

Le graphique 1 que nous présentons ci‐dessous pour les trois années étudiées semble indiquer un recul du nombre d’incidents à partir du premier trimestre 2007, après une augmentation régulière au cours des quatre trimestres précédents.

Quant à la baisse du nombre des cas déclarés, il est encore trop tôt pour savoir si elle reflète la mise en oeuvre de solutions efficaces de protection des données. En effet, l’un des objectifs des lois de divulgation adoptées par la majorité des États américains est d’inciter les organisations à investir dans des solutions et des programmes de sécurité des données personnelles. »

Pour le futur, page 13, on peut aussi lire que la crise est sans doute le pire ennemi de la sécurité, faisant passer cette exigence comme la cinquième roue du carrosse.

« S’il est difficile de prédire dans quel sens évoluera la courbe, on peut imaginer que le contexte économique actuel de crise dans les secteurs financier et immobilier risque de générer des risques supplémentaires pour les consommateurs »

Voilà donc une étude à lire, assurément.