Votre navigateur n'est plus à jour et il se peut que notre site ne s'affiche pas correctement sur celui-ci.

Pour une meilleure expérience web, nous vous invitons à mettre à jour votre navigateur.

(6) Articles

Vos données personnelles, une cause perdue?

Par Rémi Leroux Mise en ligne : 21 janvier 2020  |  Magazine : février 2020 Illustration: Sébastien Thibault

donnees-personnelles Illustration: Sébastien Thibault

Alors que de nombreuses entreprises comme Desjardins et Capital One sont victimes de brèches de sécurité, est-il encore possible, voire réaliste, de protéger vos informations? Nous avons discuté avec plusieurs experts de fuites massives de données personnelles, des conséquences pour les entreprises fautives et de l'identité numérique.

Personne n’est à l’abri
Vos habitudes de consommation
Semer ses informations personnelles à tout vent
Vers une identité numérique
Punir les entreprises fautives
Chronologie

Au mois de juin 2019, les dirigeants du Mouvement Desjardins annonçaient que les informations personnelles de 2,7 millions de membres particuliers avaient été dérobées. Cinq mois plus tard, nouveau séisme : ce ne sont pas 2,7 millions de clients qui sont affectés par la fuite massive de données, mais la totalité des membres de Desjardins,  soit 4,2 millions de personnes. Un mois plus tard, nouveau tsunami : 1,8 million de détenteurs de cartes de crédit qui n’avaient pas de compte chez Desjardins ont également été victimes de la fuite.

Total jusqu’à présent? Environ 6 millions de personnes touchées.

Petit à petit, les Québécois mesurent l’ampleur du problème. Les noms et prénoms, dates de naissance, numéros d’assurance sociale, adresses, numéros de téléphone, adresses courriel et habitudes transactionnelles d’au moins la moitié de la population québécoise ont été compromis.

Desjardins a toutefois tenu à préciser que les mots de passe, les questions d’identification et les codes secrets n’ont pas été piratés. Vous voilà rassuré?

Vous ne devriez pas, car même si toutes vos informations personnelles ne sont pas utilisées prochainement pour usurper votre identité, elles pourraient l’être dans plusieurs années, lorsque vous n’y penserez plus. Or, les conséquences humaines et financières d’un vol d’identité  peuvent être très lourdes.

Outre Desjardins, les fuites massives de données personnelles survenues dernièrement à Industrielle Alliance, Capital One, Equifax et TransUnion font craindre le pire. Il ne se passe pas un mois sans qu’une nouvelle entreprise révèle avoir été victime d'un détournement de données compromettant les informations de milliers, sinon de millions, de clients. Est-il encore possible, en 2020, de protéger ses données personnelles?

Nous avons sollicité de nombreux experts pour nous aider à faire le point sur une situation inquiétante, mais pas totalement désespérée.

Personne n’est à l’abri

Nos experts sont unanimes : en matière de vol d’identité, le risque zéro n’existe pas. Quel que soit votre profil socioéconomique, votre niveau d’éducation, votre maîtrise des outils technologiques, vous n’êtes jamais totalement à l’abri.

« Un consommateur peut toutefois poser certains gestes pour limiter son exposition à la fraude », explique Alina-Maria Dulipovici, professeure au Département de technologies de l’Information à HEC Montréal. Connaître vos droits, bien gérer vos mots de passe, utiliser l’authentification à deux facteurs, gérer judicieusement vos appareils électroniques sont quelques façons de se protéger des fraudeurs…  « Mais il y a encore un travail d’éducation et de sensibilisation à faire pour diffuser les bonnes pratiques », croit Mme Dulipovici. 

Tout ne dépend pas des consommateurs toutefois, poursuit-elle. Vous n’avez, par exemple, aucun contrôle sur les stratégies que les entreprises déploient pour protéger vos données. Dans certains cas de fuites massives révélées ces derniers mois, chez Desjardins ou à Capital One par exemple, la fuite a été orchestrée par un employé de l’entreprise. « Un tiers des brèches de sécurité est causé par des “insiders“ », précise Alina-Maria Dulipovici.

Ces cas de figure sont encore trop imprévisibles, mais les conséquences sur les consommateurs sont majeures. Car l’enjeu central réside aujourd’hui dans la nature des données exposées lors de ces grandes fuites, estime Claude Vigeant, président d’Okiok, société lavalloise spécialisée dans « la protection de l'information et la gouvernance de données » en entreprise.

Vos habitudes de consommation

Claude Vigeant reprend l’exemple de Desjardins : « Deux types d’informations ont été compromises dans cette affaire. D’une part, les données personnelles des clients, comme les noms, prénoms, numéros d’assurance sociale, adresses courriel, etc. D’autre part, l’agrégation de diverses habitudes de consommation. » Ces « habitudes transactionnelles », telles que les définit Desjardins, en disent beaucoup sur vous : les sites web sur lesquels vous naviguez, la fréquence à laquelle vous allez au Costco, les professionnels de la santé que vous consultez, etc.

Avec les renseignements personnels de base, « un fraudeur peut se faire passer pour vous et, par exemple, faire une demande de crédit en votre nom », indique Eric Parent, pdg d’EVA-Technologies, une société québécoise de sécurité informatique. Mais s’il dispose, en plus, de certaines de vos habitudes d’achat ou encore d’informations sensibles contenues, par exemple, dans votre dossier médical ou de conduite, votre profil prend de la valeur. Du pain béni pour les fraudeurs.

Car dans le Web profond, cette portion d’internet à laquelle il n’est possible d’accéder qu’en utilisant certains logiciels, un profil de consommateur se négocie entre une dizaine et plusieurs centaines de dollars, selon la qualité et la quantité des informations compilées par le fraudeur. S’il dispose de centaines, et peut-être même de milliers de profils élaborés, il peut alors tenter de revendre ces informations à des entreprises de marketing ou à des compagnies d’assurances peu scrupuleuses, par exemple. 

Lorsque nous avons écrit cet article, à la fin de 2019, l’hypothèse qui circulait dans les médias voulait d’ailleurs que les données volées chez Desjardins aient été transmises à des courtiers hypothécaires.

Semer ses informations personnelles à tout vent

Les fraudes massives de ces dernières années fragilisent donc la vie privée des consommateurs. Si vous avez été victime des fuites de Desjardins, Equifax ou Capital One, par exemple, vous avez perdu le contrôle d’une partie importante de vos données personnelles.

Claude Vigeant rappelle qu’il est très difficile, voire impossible, d’évaluer la quantité d’informations que nous semons sur le Web et les répercussions que cela peut avoir sur notre sécurité numérique. « En théorie, plus vous disséminez vos informations numériques, plus vous augmentez les risques de fraude, reconnaît-il. Mais ce n’est pas une science exacte. »

En outre, établir le lien entre une fuite massive de données et des cas précis de fraudes demeure une tâche très ardue. « Et les fraudeurs ne sont pas pressés, rappelle Alina-Maria Dulipovici. Les données volées pourraient n’être utilisées que dans plusieurs années. » Vous avez songé à vous assurer en cas de vol d’identité ou à souscrire à un programme de surveillance du crédit pour vous prémunir contre de tels scénarios? Ce n’est pas la panacée, estiment nos experts.

Vers une identité numérique

Mais existe-t-il une solution pour protéger nos données personnelles? « L’identification numérique permettrait d’améliorer grandement la situation, affirme Claude Vigeant. On ne parle plus seulement d’un numéro statique dans une base de données [comme le numéro d'assurance sociale] mais de dispositifs technologiques et numériques protégés et cryptés. » Ces dispositifs communiquent entre eux et permettent de vous authentifier lorsque vous êtes en ligne. Et si cette identité venait à être compromise? « Il suffirait de la révoquer et d’en créer une nouvelle. »

En Europe, l’Estonie a été l’un des premiers pays à mettre en œuvre un système d’identité numérique (« digital ID », en anglais). Depuis une quinzaine d’années, les citoyens estoniens disposent d’une carte d’identité physique équipée d’une puce qui fournit un accès numérique à tous les services électroniques sécurisés du pays.

Ce document sert à la fois de « passeport » pour les citoyens estoniens voyageant dans l'Union européenne, de carte nationale d’assurance maladie, ainsi que de preuve d’identité lors de la connexion à un compte bancaire, d’un vote électronique, de la vérification des dossiers médicaux ou encore lors de l’envoi des déclarations d’impôts…

Le système n’est pas parfait, ni à l’abri de cyberattaques. Il soulève par ailleurs certaines questions éthiques (par exemple, la centralisation et la gestion des données des citoyens par l’État). Mais Sylvain Paquette, président et fondateur du Bureau Canadien du Crédit, qui se spécialise en rétablissement des identités, croit que « nous n’avons pas le choix d’aller vers ce type de technologies ». 

C’est un virage que le Canada souhaite prendre mais pour lequel il reste beaucoup de travail. Souvenez-vous des énormes ratés qui ont accompagné l’installation de Phénix, le système de centralisation du traitement de la paye de plus de 40 ministères fédéraux en 2016. Difficile dans ces conditions d’imaginer à quoi pourrait ressembler l’implantation d’un système informatique de type « identité numérique » à l’échelle du pays!

« Nos systèmes informatiques et numériques ne sont pas tous au même niveau, explique Claude Vigeant. Certains datent des années 1970 alors que d’autres viennent d’être implantés. Ces écarts freinent le déploiement à grande échelle de technologies numériques plus sécuritaires. » Les défis à relever sont de taille.

Mais ils ne semblent pas effrayer le gouvernement québécois. Début décembre 2019, le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, a annoncé la volonté du gouvernement de déployer l’identité numérique pour les Québécois à l’horizon 2021. 

Punir les entreprises fautives

Outre la création d’une identité numérique, le renforcement de l’arsenal législatif pourrait permettre d’imposer aux entreprises et institutions des règles plus sévères en matière de protection des données. Me Alexandre Plourde, avocat et analyste à Option consommateurs, rappelle que dans le cas de la brèche de sécurité d’Equifax en 2017 (voir la « Chronologie » ci-dessous ), le Commissariat à la protection de la vie privée avait été très sévère à l'endroit de l’agence de crédit, « estimant inacceptable les lacunes dans les pratiques de l’entreprise en matière de protection de la vie privée et de sécurité », en particulier si l'on tient compte de la quantité de renseignements personnels extrêmement sensibles détenus par Equifax.

Mais cette remontrance écrite était-elle suffisante? Non, croient nos experts, qui estiment que la loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE), à laquelle doivent se conformer les entreprises, n’est pas assez coercitive. Il faudrait plutôt s’inspirer du Règlement général sur la protection des données (RGPD), adopté en 2016 et mis en œuvre dans tous les pays de l’Union européenne depuis 2018.

Ce règlement vise à accroître la protection des citoyens qui sont concernés par l’utilisation de leurs données personnelles (donc pas seulement numériques), mais a également comme but de renforcer la responsabilisation des acteurs qui les utilisent, comme les entreprises ou les institutions publiques. « Si une entreprise est reconnue négligente, les pénalités financières sont si élevées qu’elles l’incitent à ne pas se faire prendre une deuxième fois », estime Claude Vigeant.

Ainsi, en France, une sanction de 73 millions de dollars (50 millions d’euros) a été prise à l’encontre de Google en application du RGPD pour « manque de transparence, information insatisfaisante et absence de consentement valable pour la personnalisation de la publicité ». Des entreprises comme Bouygues, Uber et même un hôpital espagnol ont écopé d’amendes de plus de 400 000 dollars (300 000 euros).

Fin novembre 2019, la ministre québécoise de la Justice, Sonia LeBel, a annoncé plusieurs mesures qui rejoignent l’avis de nos experts. Le gouvernement provincial souhaite en effet renforcer les pouvoirs de la Commission d’accès à l’information (CAI), appelée à jouer un rôle plus important dans la surveillance des entreprises qui compilent des renseignements. En parallèle, ces dernières seront soumises à des obligations plus strictes en matière de protection des données et de transparence en cas de fuite de données, des obligations qui, si elles ne sont respectées, exposeront les contrevenants à des amendes salées.

M. Vigeant veut croire en l’effet dissuasif de telles sanctions. « Pendant longtemps, rappelle-t-il, aucune loi n’obligeait les constructeurs automobiles à mettre des ceintures de sécurité dans leurs voitures et, un jour, cela a changé. Ils n’ont plus eu le choix. Ensuite, ça a été le tour des automobilistes, qui ont été obligés de les utiliser. » Chacun a son rôle à jouer pour réduire le risque d’accident. Sur Internet, comme en auto, « attachez vos ceintures »!

Le NAS, une grosse partie du problème

L’un des principaux enjeux au Canada concerne le numéro d’assurance sociale. Le fameux NAS qui permet de vous identifier auprès de plusieurs institutions « n’a pas du tout été conçu pour être utilisé en contexte numérique, rappelle Claude Vigeant, président d’Okiok. C’est un chiffre, statique, dans une base de données, et personne, aujourd’hui, ne peut retracer où et par qui votre NAS est utilisé ». Ni combien de fois il aurait pu être compromis.

Par ailleurs, « le NAS ne se révoque pas, explique M. Vigeant. Dans des circonstances très précises et en suivant un processus laborieux, il existe un moyen d’obtenir un deuxième NAS, mais le premier ne disparaîtra pas pour autant ». Autrement dit : un fraudeur qui disposerait de votre premier NAS pourrait toujours l’utiliser.

Les consommateurs doivent donc bien protéger leur numéro d'assurance sociale. En revanche, rappelle Eric Parent, pdg d’EVA-Technologies, ils ne peuvent rien faire si les institutions ne font pas, elles aussi, preuve de la plus grande prudence…

Chronologie

donnees-personnelles-1
donnees-personnelles-2
Ajouter aux favoris
Ajouter aux favoris

Pour suivre toutes les mises à jour et nouveautés sur cet article, vous devez être connecté.

Technologie

Commentaires 1 Masquer

L'envoi de commentaires est un privilège réservé à nos abonnés.

  • Par Marie-France Goyer | 30 janvier 2020

    Vous n'abordez pas la question des coffres-fort de mot de passe. Qu'en pensez-vous?