La sécurité précaire des données personnelles en Amérique du Nord: nouvelle note de recherche

Vous pourrez télécharger une note de recherche que je viens de terminer avec Benoît Gagnon sur la sécurité des informations personnelles en Amérique du Nord sur le site de mon collègue Vincent Gautrais, qui la commente ici. Cette note nous permet de comprendre l’ampleur du problème des brèches de sécurité (qu’il s’agisse de vols, de négligences, de pertes ou de piratages) auxquelles ont été exposées les organisations publiques et privées (ainsi que leurs clients, usagers et employés) aux États-Unis et au Canada au cours de la période allant de janvier 2005 à janvier 2008.

Parmi les faits saillants de cette note :

• Pendant la période considérée, nous avons identifié 976 incidents de pertes ou de vols de données, ayant donné lieu à la compromission de 313 millions de dossiers personnels;

• Nous avons pu recenser 23 événements ayant eu lieu au Canada pour un total estimé de 4,4 millions de dossiers personnels compromis, mais en l’absence d’une obligation légale de divulgation pour les organisations victimes, ce chiffre nous semble fortement sous-estimé;

• Tous les secteurs d’activités gouvernementaux et privés semblent également affectés par des défaillances en matière de protection des données personnelles. Les secteurs de l’éducation, de la santé, les divers services gouvernementaux ainsi que les institutions financières sont les quatre principaux pourvoyeurs d’incidents;

• Plus de la moitié des incidents sont attribuables au vol d’équipements informatiques tels que des ordinateurs portables, ou à la négligence des employés des organisations concernées. Le piratage informatique ne concerne que 22,7% des affaires analysées. Il apparaît donc que ces incidents pourraient facilement être prévenus par une meilleure formation dispensée aux employés et le recours à des politiques plus strictes de transfert et de chiffrement des bases de données sensibles;

• Les principales victimes individuelles de ces incidents sont les usagers des services publics (35,1%), devant les employés des organisations concernées (22,8%) et les clients d’entreprises affectées (20,9%). La diversité des victimes individuelles et leur répartition relativement équilibrée selon les catégories semblent indiquer que ce sont bien les modes actuels de gestion des informations personnelles qui posent problème aux organisations, quelles que soient les personnes concernées;

• Bien que l’on observe une diminution du nombre d’incidents déclarés pour l’année 2007 après une forte augmentation en 2006, il est encore trop tôt pour dire si cette tendance est durable et si elle peut être attribuée au vote aux États-Unis de lois obligeant les organisations victimes à notifier publiquement les incidents. Par ailleurs, le contexte actuel de crise économique dans les secteurs immobilier et financier risque de générer de fortes pressions sur les organisations et leur sécurité informatique, créant un rique accru de vols et de pertes;

• L’absence de dispositions législatives de divulgation et de notification au Canada est problématique, dans la mesure où cela nous empêche d’avoir une image précise de la situation et des risques auxquels sont exposés les citoyens canadiens. Ce déficit d’imputabilité et de transparence limite également les organisations et les individus qui souhaitent mettre en place des moyens efficaces de protection contre ces brèches de sécurité.