Une entreprise informatique de Montréal a eu chaud, il y a quelques jours, en constatant qu’un ex-employé avait téléchargé les données de 530 000 clients actuels et potentiels. Craignant entre autres que l’information ne se retrouve chez des concurrents et d’être lourdement sanctionnée, l’entreprise a agi vite. En moins de deux, les avocats de Lulu Software ont demandé une ordonnance d’injonction afin de pouvoir saisir les appareils personnels de l’ancien salarié.

La saisie a permis, selon la requête qui demandait une action rapide, de récupérer l’information confidentielle. Cette saisie et une déclaration sous serment de l’ex-employé ont déterminé, par la suite, qu’il n’y avait eu ni malversation ni intention de vendre l’information, que l’employé aurait téléchargée par erreur. Aucune accusation ne sera portée contre lui.

« L’entreprise est très satisfaite de l’ordonnance qui a permis de récupérer toutes les informations sans qu’aucun tiers n’y ait eu accès, explique MMarc-André Landry, de la firme LCM Avocats, qui représente Lulu Software. C’est une fin heureuse. »

Lulu Software développe notamment des logiciels pour la gestion et l’édition de documents PDF.

Plus alertes depuis Desjardins

L’histoire de la fuite de données de Desjardins, médiatisée il y a un an, a sensibilisé des entreprises à mieux se protéger et à réagir promptement dans de tels cas. « Nul n’est à l’abri d’un vol, malheureusement, mais les gens sont plus à l’affût maintenant », constate MMarc-André Landry.

Il y a clairement une vertu éducative à tout ça, car Desjardins est connue de tous et elle s’est fait frapper durement. Des entreprises se disent : il est temps de se réveiller. Surtout qu’il y a de nouvelles réglementations qui visent à renforcer la protection des données.

Jean Loup Le Roux, fondateur d’I&I Strategy et spécialiste en sécurité informatique

La méthode employée par Lulu Software, en découvrant la fuite, était-elle justifiée ? Oui, selon ses avocats. « Car on a de l’information concurrentielle et qui concerne des tiers, répond MLandry. Ça fait partie de la valeur d’une entreprise. Et la législation en matière de protection des données est rendue très stricte. »

À ce titre, on lit dans la requête que Lulu Software, qui a des clients en Amérique du Nord et en Europe, est notamment soumise au Règlement général sur la protection des données de l’Union européenne, en vigueur depuis 2018.

« Lulu Software est exposée à de graves sanctions (civiles, administratives et pénales) en cas d’utilisation abusive de données recueillies ou de violation de la réglementation, pouvant atteindre, par exemple, pour une première infraction, jusqu’à 10 millions d’euros ou jusqu’à 2 % du chiffre d’affaires annuel mondial de la société visée. »

Agir vite

Les cas de fuites de données se multiplient, constate Jean Loup Le Roux. Plus que jamais, il faut agir vite, juge-t-il. Il estime néanmoins que la mesure demandée à la cour par Lulu Software (ordonnance de type Anton Piller, qui permet une saisie rapide pour protéger des éléments de preuve) peut dans certains cas être déclenchée de façon abusive.

Reste que le spécialiste en sécurité note une montée bienvenue de la conscientisation des entreprises en ce qui a trait à la protection des données et aux mécanismes devant être mis en place pour se prémunir de tels actes.

« L’humain est toujours au cœur du problème, indique Jean Loup Le Roux. Et beaucoup d’erreurs proviennent de l’interne. C’est donc important que les employés soient encadrés et qu’il y ait des rappels, pour implanter des réflexes dans leur tête. »

— Avec Louis-Samuel Perron, La Presse