On apprenait dans le Forbes, au courant de la semaine, qu’un des géants de l’informatique, Adobe, avait été victime d’une cyber attaque. Les pirates auraient dérobé une quantité considérable de renseignements personnels, notamment des numéros de carte de crédit, des dates d’expirations et des codes sources des produits Adobe. Heureusement pour la compagnie et les consommateurs, certains des renseignements personnels volés étaient cryptés.
La première juridiction ayant adopté une loi pour encadrer les «security breach» est l’état de la Californie. C’est le 1er juillet 2003 qu’entre en vigueur la loi S.B. 1386 introduisant les articles 1798.29, 1798.82 et 1798.84 dans le Code Civil Californien. Toutefois, la Californie n’est pas le seul état ayant adopté une telle loi. Des lois semblables ont été adoptées un peu partout aux États-Unis (voir à la page 12).
L’objectif de cette loi est de créer des incitatifs pour les entreprises de façon à ce qu’elles modifient leurs politiques de gestion des renseignements personnels. Ultimement, ces politiques auront pour objectif de réduire les risques reliés à la sécurité et aux vols d’informations.
La loi prévoit entre autre que, lorsque des renseignements personnels non cryptés seront volés, l’entreprise qui était en possession de ces renseignements sera tenue de communiquer cette brèche de sécurité et même parfois de notifier aux individus pouvant être affectés. La loi prévoit notamment une définition de renseignements personnels et des moyens acceptables de diffusion.
De plus, la portée de la loi est relativement large. Elle recevra application à partir du moment où il sera raisonnable de croire que des renseignements personnels non cryptés ont été accédés par des personnes autres que celles y ayant droit d’accès. Alors, que l’intrusion soit rendue possible par la négligence dans la conservation de renseignements personnels sur des réseaux publics, par le vol d’équipement, disque dur et autres ou encore par l’intrusion non autorisée dans le réseau d’une entreprise (hacker), la loi pourra recevoir application.
Ayant son siège social en Californie et faisant affaire partout dans le monde, Adobe est assujettie à la loi Californienne en matière de notification. La loi précise qu’elle recevra application lorsque des informations personnelles non cryptées auront été subtilisées : «[…] whose unencrypted personal information was, or is reasonably believed to have been, acquired by an unauthorized person». Dans la situation actuelle, des renseignements tels les noms, prénoms, dates d’expiration et autres renseignements n’étaient pas cryptés, alors que les numéros de carte de crédit l’étaient. Adobe explique sur son site que :
«We also believe the attackers removed from our systems certain information relating to 2.9 million Adobe customers, including customer names, encrypted credit or debit card numbers, expiration dates, and other information relating to customer orders. At this time, we do not believe the attackers removed decrypted credit or debit card numbers from our systems.»
L’entreprise s’est donc dûment acquittée de son devoir de notification et a publié sur son site web un communiqué de presse expliquant l’étendue des évènements. Notons également qu’une brèche de sécurité n’est pas automatiquement synonyme de conservation négligente des renseignements personnels. La réalité du web, étant ce qu’elle est, ne garde personne à l’abri de ce genre d’attaques. Comme l’explique ce rapport de l’OCDE quant au cadre réglementaire de protection de la vie privée, les entreprises subissant une intrusion dans leurs systèmes sont elles-mêmes une victime de la cyber attaque et il est nécessaire de pondérer les mesures correctrices en fonction de plusieurs facteurs (coût, probabilité de récurrence, impact sur la réputation de l’entreprise, perte de confiance, etc.).
Qu’en est-il au Canada?
Alors que nos voisins du sud possèdent déjà plusieurs «notification laws» étatiques, nous n’avons pas de loi imposant ce genre de fardeau aux entreprises canadiennes, à l’exception des institutions financières. Bien qu’il soit possible qu’une entreprise notifie ses clients par souci de bonne pratique, elle n’y est pas explicitement tenue. Récemment, le projet de loi C-475 a été déposé à la chambre des communes, pour modifier la Loi sur la protection des renseignements personnels et les documents électroniques afin qu’elle prévoie explicitement les modalités de notification lors de brèche de sécurité.
Dans son état actuel, le projet de loi est légèrement différent de la loi californienne. On prévoit, par exemple, que l’organisation ayant subi une attaque devra fournir un avis au commissaire à la vie privée. C’est ce dernier qui évaluerait, selon les circonstances, si l’organisation doit communiquer et de quelle façon, aux personnes touchées. De plus, on n’y fait pas de distinction entre données cryptées ou non.