Le rôle de l’entreprise comme leader de la protection des données

À l’ère actuelle, ère de modernité et d’évolution perpétuelle où la technologie évolue plus rapidement que jamais, force est de constater qu’il est difficile de maintenir le cap et de naviguer efficacement à travers cette tempête de changements complexes. Bien que nous soyons tous d’accord que le développement de nouvelles technologies contribue à faciliter le quotidien de la majorité d’entre nous, les menaces liées à l’informatique sont, pour leur part, beaucoup plus présentes qu’auparavant. De ce fait, la nécessité de se protéger doit être notre priorité. D’ailleurs, avec l’avènement de la mondialisation, du commerce en ligne, et de la surconsommation de masse, force est d’admettre que l’entreprise se retrouve au cœur des enjeux liés aux technologies et à l’information. Que cela soit à des fins d’efficacité, d’analyse du consommateur, ou de marketing, de nombreuses données confidentielles et personnelles sont récoltées par les entreprises afin d’éventuellement bonifier l’offre et maximiser les gains monétaires, souvent au détriment de la moralité et de la protection des renseignements. D’ailleurs, tout cela est rendu possible dû à un cadre juridique incomplet et inadapté à la réalité de la cybersécurité et de la croissance exponentielle des technologies. Malgré le fait que certaines entreprises prennent avantage du système incomplet et du consommateur, minant l’appréciation des citoyens face aux respect du droit et des normes sociales par les entreprises, je crois fermement qu’il revient aux entreprises d’agir comme leaders en matière de cybersécurité en prenant les devants sur le cadre législatif. 

Partout sur internet, autant sur les sites web que sur les réseaux sociaux, nous nous faisons bombarder de demandes relatives à nos renseignements, renseignements que nous échangeons contre la gratuité des réseaux que nous utilisons quotidiennement. En effet, le processus est simple : offrir un service gratuit en échange de la collecte des renseignements, soit les habitudes d’achats et préférences personnelles des consommateurs, qui seront ensuite revendus à d’autres entreprises afin de cibler des produits personnalisés favorisant l’achat. Or, bien qu’il s’agisse d’agissements que plusieurs pourraient qualifier de « socialement repréhensibles », ceux-ci ne sont pas illégaux et la conservation des données obtenues n’est qu’à peine réglementée, ce qui amène un grand risque de préjudice pour les internautes. Que ce soit par le biais d’attaques informatiques, d’hameçonnage, d’introduction de logiciels malveillants, de piratage, de pourriels ou de virus, personne n’échappe à ces dangers, et les entreprises non plus. Il n’y qu’à noter les récentes fuites données sur Facebook en 2016, ainsi que la plus récente fuite par la Caisse Desjardins et Equifax pour observer l’omniprésence et la gravité de ces menaces. Ces incidents sont graves puisqu’ils ont pour effet d’amener la perte de confiance du public envers le système économique et juridique.  En effet, on note deux sources principales minant la confiance du public : les politiques et contrats des entreprises ainsi que les lois et politiques des gouvernements. Or tel que mentionné plus tôt, le cadre législatif étant désuet à cet égard, il y a donc lieu pour les entreprises de donner l’exemple en ouvrant la marche.

Considérant la position puissante et influente des entreprises sur les politiques en matière de technologies, ainsi que de l’enseignement que les entreprises peuvent fournir par de saines pratiques de gestion, je crois que celles-ci doivent assumer le rôle de leader de la cybersécurité, plutôt que d’en bénéficier. D’ailleurs, même en ligne, la fonction d’administrateur et de dirigeant amène certains devoirs, parmi lesquels: une obligation fiduciaire d’agir avec intégrité, bonne foi et au mieux des intérêts de la société, ainsi qu’une obligation de faire preuve de diligence dans la gestion et la surveillance des affaires de la société, la préservation de la confidentialité des renseignements y compris.  C’est pourquoi les entreprises devront, par un travail de protection mais également de prévention, s’assurer de préserver les droits individuels et ce malgré les lacunes du cadre législatif actuel, et ce n’est qu’en prenant des mesures concrètes et créatives en matière de cybersécurité qu’elles y arriveront. Par exemple, les entreprises devraient considérer la mise en place d’une politique interne plus stricte que la législation en matière de protection des données et la préparation d’un plan en cas de cyber-incidents. Elles devraient également se doter de la technologie nécessaire pour ne pas mettre les données sensibles à risque, notamment le cryptage qui permet de fournir un bouclier presque impénétrable en cas de perte d’information sensible. De plus, les entreprises devraient miser sur la formation des employés en matière de protection des renseignements, qui est fondamentale. Toutefois, cela ne peut être réalisable qu’à condition que les gouvernements fournissent une aide réaliste aux PME, par du financement, afin que celles-ci assurent la protection des données par l’implémentation de systèmes à cet effet. Les fonds attribués seraient rapidement récupérés en évitant les pertes subies par les entreprises ainsi que les nombreux recours et actions collectives coûteux devant les tribunaux. Toutes ces mesures ne sont pas infaillibles, mais réduiraient grandement les risques de perte de données et d’atteintes aux droits.  

Bien que la cybersécurité demeure une discipline relativement nouvelle, certains standards et normes sont l’objet d’une adhésion grandissante chez les entreprises. L’utilisation de ceux-ci constituent des points de référence appropriés afin d’élaborer un cadre normatif efficace en matière de sécurité de l’information, et je crois fermement que les entreprises ont, et doivent, jouer un rôle en matière de protection des données considérant leur position avantageuse. Dû à son caractère transfrontalier, la solution idéale réside dans la coopération autant entre les différents paliers qu’entre les acteurs nord-américains qui sont interconnectés. Aucune solution n’est parfaite, internet demeurant un lieu de cyber insécurité.

 La meilleure réponse demeure l’action.