Protection de la vie privée
Chacune de vos actions dans notre monde câblé, qu’il s’agisse d’un achat sur Internet ou d’un commentaire sur un blog, laisse votre empreinte numérique, qui consigne qui vous êtes et ce que vous avez fait. En conséquence, de plus en plus de personnes apprennent à surveiller leurs empreintes numériques.
Mais, si les particuliers doivent prendre des précautions, protéger la vie privée ne se limite pas à sécuriser un périmètre donné.
« Il y a tout d’abord le problème des informations que les personnes diffusent de leur plein gré sur l’Internet, mais aussi un problème séparé: celui des empreintes des informations laissées par les entreprises et institutions publiques en ligne », explique Michelle Chibba, directrice de la politique pour le Commissaire à l’Information et la Protection de la Vie Privée de l’Ontario, Canada.
La conservation et la sécurité des informations privées est un enjeu essentiel pour toute organisation, qui incombe habituellement au Responsable de la Protection de la Vie Privée. « Quelle que soit la personne en charge de la protection de la vie privée, elle doit comprendre que protection de la vie privée et sécurité vont de pair et se soutiennent mutuellement », insiste Mme Chibba.
Pratiques d’Information Justes
Tandis que l’Europe et le Canada disposent d’une législation de protection de la vie privée assez complète et homogène, les États-Unis restent encore aujourd’hui un patchwork sans législation fédérale sur ce sujet. Les Pratiques d’Informations Justes, ou FIP (Fair Information Practices) sont pourtant reconnues internationalement et intégrées dans tous les standards de protection de la vie privée, poursuit Mme Chibba.
« Les FIPS intègrent plusieurs composantes clés », poursuit-elle. « Tout d’abord, elles énoncent que le gardien des informations à caractère personnel doit assurer la sécurité de ces informations. Cela comprend à la fois la sécurité physique et la sécurité informatique, ce qui peut donc impliquer de fermer l’armoire à clé ou d’installer un pare-feu. »
Le gardien de données doit également identifier clairement le but dans lequel ces informations sont collectées et s’assurer que l’utilisation qui en est faite se limite strictement à ce but.
« Par exemple, poursuit Mme Chibba, les hôpitaux collectent vos données personnelles dans le but de vous soigner. Si un hôpital venait à partager vos données à des fins commerciales, il lui faudrait votre consentement car c’est là un but secondaire. »
Le gardien des données doit également empêcher tout tiers non autorisé d’accéder à des informations privées, tout en assurant l’intégrité et la précision des données conservées.
La dernière composante des pratiques FIPS stipule que la personne auprès de qui les informations sont collectées doit être informée de la nature des informations collectées, dans quel but et comment elles seront protégées. Enfin, les données à caractère personnel doivent être conservées seulement le temps nécessaire pour atteindre le but dans lequel elles ont été collectées. « Il est également important d’assurer que de tels enregistrements [y compris des images] seront détruits en toute sécurité », ajoute Mme Chibba.
Pirates sociaux
Tandis que de plus en plus de sociétés et institutions créent la fonction de Responsable de la Protection de la Vie Privée, ou une fonction équivalente en charge d’instaurer des politiques de protection de la vie privée, une telle responsabilité ne doit jamais être laissée entre les mains d’une seule et même personne, même de haut rang, précise Mme Chibba.
Tous les employés doivent comprendre les règles de protection de la vie privée et savoir gérer les risques d’atteintes à la vie privée, notamment le phénomène dit de piratage psychologique par lequel un pirate tente de collecter des données à caractère personnel depuis l’intérieur d’une société.
« Comme la sécurité de la technologie se perfectionne, cela devient de plus en plus difficile pour les pirates de s’infiltrer », explique Mme Chibba. « Nous avons donc entendu parler de nouvelles méthodes de piratage psychologique, qui s’apparentent au fait d’appeler une réceptionniste avec seulement quelques détails pour tenter de lui soutirer beaucoup plus d’informations. »
Selon le Centre de Ressources de Vol d’Identité Américain, les actions d’employés « espions », qu’ils accèdent délibérément aux informations personnelles ou qu’ils les diffusent accidentellement, représentent 36 % de l’ensemble des violations de données.
« C’est la raison pour laquelle les entreprises devraient mettre en place ce que nous appelons une ‘Culture de Protection de la Vie Privée » ou Privacy by Design (en français: respect de la vie privée dès la conception). La protection des données à caractère personnel doit s’inscrire dans la nature même de l’organisation », note Mme Chibba.
Éducation sur la protection de la vie privée
IBM fait partie des sociétés qui prennent au sérieux la protection de la vie privée – celle de leur personnel comme celle de leurs clients. La première politique de protection de la vie privée d’IBM remonte aux années 1960. Aujourd’hui, IBM a mis en place de telles politiques pour les données de ses employés, les données marketing, le développement et la sécurité. L’éducation des employés joue également un rôle essentiel pour respecter les standards de protection de la vie privée d’IBM.
« Il est très important d’éduquer le personnel, car il est essentiel qu’ils protègent à la fois leur propre vie privée en tant qu’employés, mais aussi qu’ils sachent gérer les informations de nos clients », souligne Yim Chan, Responsable de la Protection de la Vie Privée d’IBM Canada.
Le module d’éducation en ligne sur la protection de la vie privée d’IBM permet à 400 000 employés d’apprendre les directives de la société à ce sujet. S’ajoute à celui-ci d’autres modules éducatifs axés sur la sécurité, l’intégrité financière, son code d’éthique et ses lignes directrices commerciales. IBM organise même une Semaine de Familiarisation à la Protection de la Vie Privée.
« Il est important pour toutes les sociétés de tenir à jour leurs politiques de protection de la vie privée », joute M. Chan. « Même si nos politiques de protection de la vie privée sont en place depuis longtemps, nous les réactualisons en permanence. Cela démontre à nos employés comme à nos clients qu’IBM s’engage pleinement à protéger les données à caractère personnel. Tout est une question de confiance. »
En effet, la protection de la vie privée n’est plus qu’un enjeu de respect des normes, c’est devenu un enjeu commercial, d’après Michelle Chibba.
« Les entreprises doivent protéger leur réputation. Si vous perdiez les données personnelles de vos clients, ceux-ci se poseraient sûrement la question de savoir à quoi ressemblent vos autres pratiques commerciales? »