Les fuites de données personnelles comme celles qui ont touché 4,2 millions de clients de Desjardins arrivent de plus en plus souvent, et les Canadiens sont mal protégés à cause de lois désuètes. C’est le cri d’alarme lancé mercredi par l’ensemble des commissaires et ombudsman fédéral et provinciaux chargés de veiller à la protection de la vie privée.

Martin Croteau Martin Croteau
La Presse

Dans une rare déclaration commune, ces chiens de garde ont réclamé qu’Ottawa et les provinces balisent au plus vite l’usage des données par les entreprises et les organismes publics.

« La plupart des lois provinciales et fédérales dans le domaine datent d’il y a plusieurs décennies, a relevé en entrevue Daniel Therrien, Commissaire fédéral à la protection de la vie privée. Évidemment, avec les changements technologiques, les lois qui visent à réglementer le numérique adoptées il y a des décennies sont devenues désuètes. »

Au Québec, la loi qui encadre l’utilisation des renseignements personnels par les entreprises date de 1994, bien avant le développement des mégadonnées et des réseaux sociaux.

Selon la présidente de la Commission d’accès à l’information (CAI) du Québec, Diane Poitras, l’une des signataires de la résolution, le message d’hier cible donc aussi le gouvernement Legault.

« Force est de constater que les incidents de sécurité vont en augmentant », a-t-elle souligné en entrevue.

Ni amendes ni sanctions

En 2016, la CAI a publié un rapport quinquennal qui recommandait au gouvernement québécois de revoir de fond en comble la loi qui encadre l’utilisation des renseignements. À l’heure actuelle, rien n’oblige une entreprise ou un organisme public à divulguer une fuite de renseignements personnels en sa possession. Et la Commission n’a pas le pouvoir d’imposer des amendes ou des sanctions à des sociétés négligentes.

Aucune de ces recommandations n’a été suivie jusqu’ici. La Commission l’a d’ailleurs souligné à gros traits dans son rapport annuel présenté à l’Assemblée nationale à la fin d’octobre.

« La Commission est extrêmement préoccupée par la multiplication des fuites de données, d’autant plus que le risque qu’elles se produisent ne cesse d’augmenter : les entreprises, quel que soit leur secteur d’activité, accumulent des données toujours plus importantes de renseignements personnels et les stockent sans parvenir à leur offrir un niveau de protection suffisant », est-il écrit dans le rapport annuel de gestion de la Commission d’accès à l’information.

« Ça fait un bout de temps que je suis dans le domaine, note Me Poitras. La Commission a émis déjà plusieurs recommandations dans ses rapports quinquennaux de manière à améliorer la situation. Et je vous dirais que je percevais qu’on avait peu d’écoute de manière générale. »

Sauf que la donne a changé dans les derniers mois.

Vendredi dernier, Desjardins a révélé que la fuite de renseignements qu’elle attribue à un « employé malveillant » a touché 4,2 millions de ses membres. Leurs nom, date de naissance, numéro d’assurance sociale, adresse, numéros de téléphone, adresse de courriel, habitudes transactionnelles ont tous été détournés.

L’été dernier, Capital One, qui compte 6 millions de détenteurs de carte de crédit au Canada, a elle aussi révélé avoir été touchée par une brèche. À cela s’ajoutent les cas de Yahoo, Equifax, British Airways et Marriott. Sans oublier le scandale Facebook-Cambridge Analytica, qui a mis en cause l’intégrité du référendum sur le Brexit et de l’élection présidentielle américaine.

Me Poitras se dit confiante que ces événements sensibiliseront l’opinion publique et le gouvernement.

La ministre de la Justice, Sonia LeBel, a déjà affirmé qu’elle compte moderniser le cadre légal sur l’usage des données personnelles. Son cabinet a indiqué mercredi qu’un projet de loi sera présenté « dans les prochains mois ».