Actualités

Par Khady Konaté

La Rotonde vous apprenait la semaine dernière que l’Université d’Ottawa (U d’O) avait récemment perdu un disque dur externe du SASS, dans lequel étaient conservées les informations personnelles de 900 étudiant.e.s, y compris leur numéro d’assurance sociale (NAS). La Rotonde s’est entretenue avec Pierre Trudel, un spécialiste des questions portant sur l’atteinte à la vie privée. Pierre Trudel est un professeur affilié à la Faculté de droit de l’Université de Montréal (UdM) et au Centre de recherche en droit public de l’UdM.

La Rotonde : Quel est le danger potentiel de la perte d’un disque dur dans lequel on retrouve le NAS de 900 étudiant.e.s ?

Pierre Trudel : Étant donné que les circonstances de cette perte de données restent encore inconnues, la situation pourrait se traduire par de possibles vols d’identité et de trafic de données personnelles, dans la mesure où le NAS est un identifiant pour les transactions en ligne. Il y aurait donc des impacts considérables pour les personnes concernées.

LR : L’Université a-t-elle bien réagi après avoir identifié le problème (en envoyant un courriel, en ouvrant une ligne d’information et en garantissant que les coûts des services de surveillance de crédit et de protection contre le vol d’identité seraient assumés dans les deux prochaines années) ?

PT : Oui, cela reflète la « bonne pratique » imposée par la loi dans ce cas de figure. Il existe dans l’industrie de la gestion de données personnelles ce qu’on appelle des « bonnes pratiques », et lorsqu’il survient un sinistre (ndlr : un évènement pouvant se révéler dommageable), la bonne pratique consiste d’abord à informer les personnes victimes du sinistre. Il faut également leur prêter assistance pour minimiser les éventuelles conséquences ou dégâts causés par une telle situation. Dans le cas de l’U d’O, il se peut que les étudiant.e.s aient à changer leurs identifiants, leur NAS et qu’ils aient à entreprendre des démarches pour prévenir un vol d’identité, par exemple.

LR : Les étudiants pourraient-ils éventuellement intenter un recours collectif contre l’Université d’Ottawa ? Sur quelles bases ?

PT : Oui, cela est tout à fait possible. Les recours collectifs contre des entreprises ou des organisations ayant perdu un nombre de données confidentielles considérable arrivent fréquemment. Si les tribunaux ont un jour à déterminer si l’Université a une responsabilité dans cette affaire, ils auront certainement à analyser le type de précautions qui ont été prises auparavant et leur suffisance en termes de sécurité.

LR : Des problèmes comme cela peuvent-ils être évités ?

PT : Les données personnelles sont des éléments qui doivent faire l’objet de précautions. Habituellement, la plupart des organisations vont être extrêmement soucieuses de multiplier les précautions pour éviter que des données comme celles qui se sont volatilisées soient perdues. Cela dit, il est à peu près impossible d’écarter la possibilité que des incidents de la sorte surviennent; comme n’importe quelle situation qui présente un risque, un risque résiduel demeure. Plus les données représentent des enjeux graves, plus il est recommandé d’avoir des mesures de sécurité sérieuses et poussées. C’est aussi pour cette raison que les organisations ayant à manipuler des données importantes et confidentielles doivent effectuer une évaluation de risques. Il faut alors soigneusement analyser les risques auxquels on s’expose, et éventuellement évaluer la suffisance des précautions mises en place. Lors de tels incidents, les organisations se prêtent généralement à nouveau à cet exercice, et mettent tout en place pour resserrer et améliorer le filet de sécurité existant, tout ça afin de prévenir un nouveau sinistre dans l’avenir.