Selon un sondage, les entreprises canadiennes présentent d'importantes lacunes en matière de protection des renseignements personnels enregistrés numériquement English

La commissaire à la protection de la vie privée du Canada rappelle aux entreprises qu'elles peuvent éviter de grosses pertes en prenant quelques mesures simples pour protéger les renseignements personnels au moyen de la technologie.

OTTAWA, le 4 mai 2012 /CNW/ - Les entreprises canadiennes stockent de plus en plus de renseignements personnels numériquement, mais nombre d'entre elles n'utilisent pas les outils technologiques ou ne mettent pas en œuvre les pratiques recommandées pour protéger ces renseignements, selon un nouveau sondage.

Un sondage téléphonique mené auprès de 1 006 entreprises de partout au Canada, commandé par le Commissariat à la protection de la vie privée du Canada (CPVP) et publié aujourd'hui, révèle que les entreprises stockent des renseignements personnels dans différents dispositifs numériques, comme des ordinateurs de bureau (55 %), des serveurs (47 %) et des dispositifs portables (23 %). La plupart d'entre elles (73 %) utilisent un outil technologique, comme des mots de passe, du chiffrement ou des pare-feu, en vue de prévenir un accès non autorisé aux renseignements personnels stockés dans ces dispositifs.

Cependant, le sondage révèle également que plusieurs entreprises pourraient ne pas utiliser les technologies de façon adéquate relativement à la protection des renseignements personnels stockés numériquement.

Par exemple, les mots de passe représentent l'outil technologique le plus souvent employé par les entreprises pour protéger les renseignements personnels (96 %). Cependant, parmi les entreprises qui utilisent des mots de passe, 39 % ne disposent pas des mesures de contrôle nécessaires pour veiller à ce que ces mots de passe soient difficiles à deviner, et 27 % d'entre elles n'exigent jamais que leurs employés changent les mots de passe.

« Utiliser des mots de passe, c'est comme verrouiller votre porte d'entrée. Il peut s'agir d'une méthode très simple et efficace de protéger des renseignements personnels importants, explique la commissaire Stoddart, mais ces mots de passe ne suffisent pas à décourager les habiles criminels en ligne d'aujourd'hui — les mots de passe doivent être complexes et dynamiques. »

Le sondage, réalisé à la fin de novembre et au début de décembre 2011 par Phoenix Strategic Perspectives, a également révélé que près du quart des entreprises stockent des renseignements personnels dans des dispositifs portables, comme des ordinateurs portatifs, des clés USB ou des tablettes électroniques, qui sont plus vulnérables aux vols et plus souvent perdus. Néanmoins, près de la moitié des entreprises qui emploient ces moyens de stockage (48 %) ont mentionné qu'elles n'utilisent pas le chiffrement pour protéger les renseignements enregistrés dans ces dispositifs. On entend par chiffrement l'utilisation d'un code secret pour crypter des renseignements, ce qui les rend illisibles. Lorsque les renseignements sont cryptés, il faut utiliser le même code secret pour les déchiffrer et les rendre à nouveau lisibles.

« Le chiffrement est encore plus sécuritaire que le fait de verrouiller vos portes — c'est comme garder des renseignements dans un coffre-fort — ce qui permet de limiter les risques si un ordinateur portatif est volé ou si une clé USB est égarée, ajoute la commissaire Stoddart. Les entreprises qui perdent des données au sujet de leurs clients perdent également leur confiance; elles doivent donc prendre toutes les mesures de précaution possibles pour veiller à la protection des renseignements personnels qu'elles détiennent. »

Le sondage montre que de nombreuses entreprises canadiennes accordent beaucoup d'importance à la protection de la vie privée (77 %).

« Je suis rassurée de constater que les entreprises commencent à saisir l'importance de renforcer les mesures de protection de la vie privée au sein de leurs processus opérationnels, admet la commissaire Stoddart. Les entreprises intelligentes savent qu'il est beaucoup plus facile de prendre le temps de mettre sur pied des mesures de protection de la vie privée dès le départ que de régler une situation d'atteinte à la vie privée plus tard. »

En fait, les réponses du sondage portent à croire que les entreprises se soucient de plus en plus de la possibilité d'atteinte à la sécurité des renseignements personnels. Seulement 40 % d'entre elles ont toutefois répondu qu'elles étaient préoccupées par les atteintes à la sécurité des renseignements personnels qui pourraient compromettre les renseignements personnels de leurs clients, et 31 % d'entre elles ont affirmé avoir des lignes directrices en place afin de réagir à une telle éventualité.

Voici d'autres faits saillants du sondage :

• Le tiers (32 %) des entreprises emploient du personnel formé à l'égard des pratiques et des responsabilités appropriées en matière de renseignements en vertu des lois canadiennes sur la protection des renseignements personnels.
• Près de la moitié (48 %) des entreprises disposent de procédures relatives au traitement des plaintes déposées par des clients qui estiment que leurs renseignements personnels ont été gérés de façon inappropriée.
• Un peu plus de trois entreprises sur cinq ont une politique sur la protection des renseignements personnels.
• La majorité des entreprises qui disposent d'une politique sur la protection des renseignements personnels en font la mise à jour au moins une fois par année (57 %), et parmi celles qui le font, 35 % ont avisé leurs clients des changements apportés.
• Plusieurs entreprises (39 %) considèrent la protection de la vie privée comme un avantage concurrentiel, et 24 % d'entre elles estiment qu'il s'agit d'un avantage important, et 15 %, d'un avantage moyen.

Le CPVP a commandé le sondage en vue de déterminer dans quelle mesure les entreprises connaissent les enjeux et les exigences liés à la protection de la vie privée et les types de politiques et de pratiques en matière de protection des renseignements personnels qu'elles ont mises en place. Des sondages similaires ont également été réalisés en 2010 et en 2007.

Les résultats du sondage intégral, considérés comme étant exacts avec une marge d'erreur de plus ou moins 3,1 %, 19 fois sur 20, peuvent être consultés sur notre site Web à l'adresse suivante : www.priv.gc.ca.

Le Parlement a confié au Commissariat à la protection de la vie privée du Canada le mandat d'agir à titre d'ombudsman et de gardien du droit à la vie privée au Canada. La commissaire est responsable de l'application de deux lois fédérales relatives à la protection des renseignements personnels : la Loi sur la protection des renseignements personnels, qui s'applique au secteur public fédéral, et la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s'applique aux activités commerciales dans les provinces de l'Atlantique, en Ontario, au Manitoba, en Saskatchewan et dans les territoires. Le Québec, l'Alberta et la Colombie-Britannique possèdent leur propre loi sur la protection des renseignements personnels applicable au secteur privé. Toutefois, même dans ces provinces, la LPRPDE vise les entreprises du secteur privé sous réglementation fédérale ainsi que les renseignements personnels obtenus dans le cadre d'opérations interprovinciales et internationales.

Heather Ormerod
Commissariat à la protection de la vie privée du Canada
Courriel : [email protected]

REMARQUE À L'INTENTION DES JOURNALISTES : Veuillez envoyer vos demandes d'entrevue ou de renseignements complémentaires par courriel.