Ce matin, la Twittosphère s’est enflammée autour d’un sujet propre à notre ère, la protection numérique des renseignements personnels. On pouvait lire à ce sujet les procédures à suivre en cas de fraude, des projets de lois permettant de mieux protéger les informations dans les appareils mobiles, des sondages illustrant l’intérêt du consommateur à protéger ses informations et des comptes-rendus d’entreprises ayant fait l’objet d’attaques (comme ici ou encore là). Toutefois, l’évènement ayant déclenché cette avalanche d’information est une brèche de sécurité dans les systèmes de la compagnie Target. On estime qu’environ 40 millions cartes de crédit ont été compromises par cette fraude de vaste envergure.
Ce «Security breach» vient à rappeler les évènements d’octobre dernier et la compagnie Adobe (à ce sujet). Il existe toutefois des distinctions importantes entre ces deux évènements, notamment le nombre d’individus affectés et le moment où l’information a été subtilisée. En effet, alors qu’Adobe s’était fait voler des renseignements cryptés, alors qu’elle les conservait, Target a été victime de la fraude au moment de la collecte des renseignements personnels (i.e. noms, numéros de carte de crédit, CVV, date d’expiration).
Par ailleurs, la compagnie a confirmé que le vol s’était produit au moment de la collecte par des terminaux de vente compromis. Puisque le point de vente était la source de la fraude, les informations collectées n’ont pu être cryptées et l’ensemble des renseignements subtilisés sont à risque.
Bien que le moment du vol de l’information (collecte vs. conservation) ait une incidence sur le consommateur (renseignements chiffrés vs. non-chiffrés), il n’a toutefois pas d’incidence immédiate au point de vue des obligations légales de l’entreprise.
À cet égard, la loi québécoise est claire, une entreprise privée a comme responsabilité légale de prendre les mesures de sécurité propre à assurer la protection des renseignements personnels, que ce soit lors de la collecte, de la conservation ou de la communication (Loi sur la Protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1, art. 10).
On retrouve également ce principe dans la loi cadre fédérale (Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5). On explique, en annexe, que les mesures de sécurité doivent protéger contre le vol et la fraude. De plus, l’intensité de ces mesures variera selon la sensibilité des renseignements. Enfin, ces mesures pourront être soit matérielles (verrou, physique), administratives (accès, autorisation) ou techniques (chiffrement).
Notons également que l’on retrouve des dispositions semblables dans les lois des autres provinces canadiennes. L’article 34 de la loi albertaine explique que :
Mots pour mots, article pour article, la loi de Colombie-Britannique, à son article 34, explicite les devoirs en matière de sécurité, de façon identique à la loi albertaine (Personal Information Protection Act, SBC 2003, c 63).
Enfin, bien que ces obligations s’appliquent au secteur privé, on retrouve généralement l’équivalent dans le domaine public.
Bref, si la fraude de Target avait affectée des consommateurs canadiens, la compagnie aurait pu mettre en preuve la raisonnabilité des mesures de sécurité utilisées, avec égards à la sensibilité des informations en question.
La plus grande surprise dans toute cette affaire est certainement le nombre effarant de terminaux ayant été simultanément compromis à travers les États-Unis. Face à ce genre de situation, une entreprise doit se rappeler que personne n’est inattaquable. Il demeure toutefois possible, et de bonne pratique, de prendre des mesures pour minimiser les risques des consommateurs.