Aussi incroyable que cela puisse paraître, les renseignements personnels que vous partagez avec une entreprise pourraient être piratés sans que vous en soyez jamais avisés. Plus pour longtemps, heureusement. Les vols de données devront bientôt être déclarés, prévoit un règlement actuellement à l'étude au ministère fédéral de l'Innovation. Reste à s'assurer que cela se fera avant tout dans l'intérêt des citoyens.

Pour l'instant, les Canadiens ont plus de chances d'être informés si leurs renseignements sont volés à une société américaine, comme Home Depot ou Target, que si la cible du piratage est une entreprise locale. La plupart des États américains exigent en effet que ces événements soient déclarés - certains sont d'ailleurs en train d'élargir cette obligation. 

Chez nous, c'est à la discrétion des entreprises. Seuls les ministères et organismes du gouvernement fédéral doivent déclarer ces failles, comme Revenu Canada l'a fait en 2014. La Loi sur la protection des renseignements personnels numériques, adoptée il y a un an, vise à corriger cette lacune. Il était temps.

Les entreprises piratées ne sont pas les seules victimes, loin de là. Si vos renseignements personnels ont été compromis, vous risquez d'en subir les inconvénients.

Devoir changer son numéro d'identification personnel (NIP) ou sa carte ne prend pas trop de temps, mais se faire créditer des transactions frauduleuses peut se révéler laborieux. Et c'est sans compter le risque de vol d'identité. Que les consommateurs soient mis dans le coup afin de pouvoir prendre certaines précautions ou, à tout le moins, redoubler de vigilance est un minimum.

Autre avantage : cette obligation de divulgation devrait inciter les entreprises à mieux protéger les renseignements personnels qu'elles détiennent. Avoir à contacter des centaines ou des milliers de clients lésés alourdit la facture, déjà salée, avec laquelle doit composer une organisation touchée par une perte ou un vol de données. Sans oublier la perte de confiance et de revenus qui suivront, surtout si l'on apprend qu'elle a été négligente. L'effet ne sera pas instantané, mais à force de voir des entreprises échaudées, celles qui rechignent à investir en sécurité referont peut-être leurs calculs.

Ottawa a déjà tenu une première consultation. Une nouvelle version du règlement devrait bientôt être publiée pour commentaires. L'intérêt des citoyens doit demeurer en tête des priorités. Déjà, seuls les cas où il y un « risque réel de préjudice grave » doivent être divulgués. Les entreprises seraient donc malvenues de crier à la lourdeur bureaucratique. Avec tous les renseignements qu'elles récoltent à la moindre transaction (carte de crédit, courriel, numéro de téléphone, et bien plus avec les achats en ligne), on s'attend à ce qu'elles fassent le maximum pour en assurer la protection.

Qu'en pensez-vous? Exprimez votre opinion