Pas besoin de fuites de données de l’ampleur de Desjardins et de Capital One pour que les données sensibles soient menacées. Sans le savoir, chaque jour, nos données sont susceptibles d’être exposées de manière inappropriée. Dans bien des cas, les personnes qui manipulent nos données n’ont pas de mauvaises intentions, ils n’ont souvent que peu de connaissance sur les méthodes de travail sécuritaires leur permettant de bien les protéger.
Une part du problème vient effectivement de la manipulation des données sensibles dans les organisations, mais une autre part est attribuable aux propriétaires de ces mêmes données qui ne savent pas comment identifier ces données sensibles et encore moins les protéger. De nos jours, les applications cellulaires peuvent fournir ces informations avec notre permission lorsque nous acceptions les conditions d’utilisation (que nous lisons rarement). Lorsqu’on parle de données sensibles, l’on pense immédiatement au numéro d’assurance social, à nos informations bancaires, etc., mais souvent ce sont les croisements de données qui en font des données plus sensibles et fort intéressantes pour les personnes mal intentionnées.
Faisons une mise en situation et pensons à l’univers des superhéros. Ils espèrent protéger leur identité en cachant des informations qui permettraient de les reconnaître. Cependant, certains superhéros sont plus ou moins doués pour dissimuler leur identité. Imaginons avoir la possibilité de côtoyer Clark Kent dans nos vies quotidiennes. Bien que celui-ci croit que son identité est bien protégée parce qu’il enlève ses lunettes et gomine ses cheveux lorsqu’il porte le costume de Superman, il est fort à parié que nous ferions rapidement le lien entre son absence lorsque Superman est présent et l’apparence physique fort ressemblante entre les deux hommes. Nous ferions assurément le lien entre les deux personnes plus rapidement que Lois Lane a pu le faire. Il en est de même pour nos données sensibles. Le simple fait de pouvoir faire des liens entre certaines données en fait des données plus sensibles. Par exemple, votre code postal et votre nom de famille ou bien votre code postal et votre sexe ou bien mieux encore, votre code postal, votre nom de famille et votre sexe. Cela permet rapidement de vous identifier.
Quelles sont les solutions ? En fait, en tant que citoyen et consommateur, il faut surtout prendre l’habitude de s’assurer que les informations que nous donnons à des entreprises ou des organisations soient collectées pour des raisons essentielles et soient stockées de manière sécuritaire. Une entreprise ne peut pas collecter des informations simplement parce qu’elle trouve cela pratique d’avoir accès à ces données. C’est notre responsabilité de se poser la question avant de transmettre nos informations. C’est aussi notre responsabilité d’essayer de connaître les entreprises qui collectent de l’information à notre insu pour la réutiliser à des fins de marketing ciblé par exemple. Un tel questionnement forcerait les entreprises à être plus transparent sur les motifs de collecte et l’utilisation des informations.
D’autre part, en tant qu’organisation collectant des informations, il faut s’assurer que ces données soient collectées dans un but précis, consultées par des personnes autorisées, répertoriées, triées et détruites après leur utilisation. Par exemple, à l’Université, des procédures, des règlements et des politiques sont en place afin de s’assurer que les informations collectées le soient de manière sécuritaire et confidentielle.