Comment voulez-vous faire confiance à une politique de confidentialité, lorsque la pratique n’est pas appliquée

Pour ceux qui lisent cet article aujourd’hui, vous allez mieux comprendre pourquoi il existe de plus en plus de vols d’identité dans les entreprises.

J’ai participé à une petite enquête sur la validité des principes de la protection des renseignements personnels et de la vie privée de plusieurs politiques de confidentialité sur les sites web qui offraient l’ouverture d’un compte en échange de produits ou de services entre les années 2007 à 2014. L’enquête avait pour objectif de valider les principes de la protection des renseignements personnels et de la vie privée ainsi que la procédure pour porter plainte qui devaient se retrouvez sur chaque politique de confidentialité affichée sur les sites web des entreprises au Canada.

L'approche

La procédure utilisée, était simple, visité les sites web des entreprises ciblées, de consulté leurs politiques de confidentialité, rechercher l’application des principes de protection des renseignements personnels et de la vie privée et entrée en communication avec le responsable afin de lui poser des questions, l’une était sur l’application des principes de la protection des renseignements personnels et de la vie privée inscrites dans leurs politiques de confidentialité et l’autre sur comment porter plainte. Ensuite, nous devions trouver dans la politique de confidentialité les coordonnées de la personne responsable de la politique de confidentialité et l’autre personne responsable pour porter plainte. Nous avons par la suite, compilé les réponses à nos deux questions en classant les entreprises selon leurs tailles à la fin de l’enquête, pour obtenir les résultats sur les entreprises qui appliquaient les principes de la protection des renseignements personnels et de la vie privée inscrite dans leurs politiques de confidentialité.

Sondage pour PME

Pour les petites et moyennes entreprises collectant des renseignements personnels par l’entremise de leurs sites web, elles n’appliquent aucun des principes sur la protection des renseignements personnels et de la vie privée même inscrits dans leurs politiques de confidentialité affichée au bas de la page de leurs sites web. Pire encore, lorsqu’on réussissait à contacter une personne qui était désignée responsable de la politique de confidentialité et que nous lui posions une seule question sur l’un des principes de la protection des renseignements personnels et de la vie privée lors de la collecte des renseignements personnels affichés dans leurs politiques de confidentialité, la réponse était souvent « je n'ai pas pris connaissance de tous les principes de la protection des renseignements personnels et de la vie privée inscrits dans notre politique de confidentialité ». Conclusion, le responsable de la politique de confidentialité ne pouvait répondre à ma question sur l’un des principes de la protection des renseignements personnels et de la vie privée inscrite dans leur politique de confidentialité.

Notre question suivante était; quelle est la procédure pour porter plainte dans le cas où votre entreprise partage des renseignements personnels avec des tierces, sans demander le consentement? La réponse fut « laissez-moi vos coordonnées, une personne vous contactera sous peu », savez-vous quoi, personne de leurs entreprises ne m’a jamais contacté pour faire suivre ma demande.

Sondage pour grande entreprise

Même scénario pour la grande entreprise, nous avons contacté plusieurs grandes entreprises à l’époque pour tester l’application des principes de la protection des renseignements personnels et de la vie privée inscrits dans leurs politiques de confidentialité concernant les précautions qui étaient prises pour protéger les renseignements personnels. À l’époque, plusieurs responsables ne nous ont jamais répondu, ils transféraient notre requête d’une personne à l’autre dans l’entreprise, pour ne jamais répondre à nos questions.

Les résultats pour les PME

Les résultats pour la petite et moyenne entreprise, sont; à l’époque de notre enquête, toutes les entreprises ne respectaient aucun des principes de la loi pour la protection des renseignements personnels et de la vie privée inscrits dans leurs politiques de confidentialité affichées sur leurs sites web. Il n’existait aucun responsable connaissant bien leur propre politique de confidentialité. Pires encore, plusieurs entreprises ne protégeaient aucune des données personnelles de leurs clients et de leurs employés contre le vol, la consultation, la gestion, la copie, la modification et la suppression des renseignements personnels qui pouvaient être effectués par n’importe lequel des employés à tout moment. Sans compter qu’il n’existait aucune procédure pour qu’un client puisse porter plainte. Un autre fait important que nous avons retenu après avoir discuté avec les concepteurs de sites web et les spécialistes en marketing web, ils nous ont révélé que le texte de la politique de confidentialité inscrite sur le site web de leurs clients était basé sur un modèle existant qu’ils intégraient à chacun de leur client tout le contenu sur l'une de leurs pages web pour ensuite la personnaliser avec le nom de leur compagnie.

Les résultats pour la grande entreprise

Les résultats pour la grande entreprise sont; à l’époque de notre enquête, les responsables de la politique ne répondaient pas aux questions sur les principes de la protection des renseignements personnels et de la vie privée, ils s’amusaient plutôt à transférer nos appels d’un employé à un autre pour ne jamais répondre à nos questions. Pour ce qui est de la procédure des plaintes, ce n’était jamais clair, un client ne pouvait porter plainte, étant donné la lourdeur bureaucratique à remplir plusieurs formulaires et le nombre d'appels qui pouvait être effectué sans compter les nombreuses rencontres avant de pouvoir porter plainte. De plus, la plupart du temps, dans la politique de confidentialité affichée sur les sites web, on ne retrouvait aucune coordonnée pour communiquer avec un responsable pour porter plainte.

Conclusion

La conclusion de notre enquête qui a pris fin en 2014, sur l’application des principes de la protection des renseignements personnels et de la vie privée inscrits dans la politique de confidentialité sur les sites web visités, illustre plus que jamais que les principes de la protection des renseignements personnels qu’on retrouvait à l’époque dans la politique de confidentialité n’ont jamais été appliqués. C’est pourquoi aujourd’hui, la croissance des vols d’identité et des intrusions dans la vie privée dans les entreprises de toutes tailles est à la hausse et ce n’est pas demain que ces crimes s’arrêteront. Le meilleur conseil que je puisse donner aux entreprises, lorsque vous inscrivez des principes et des mesures de sécurité pour protéger les renseignements personnels et la préservation de la vie privée lorsque vous collectez des renseignements personnels sur votre site web, ayez l’obligeance et la responsabilité de mettre en pratique les mesures de sécurité et les principes de la loi que vous avez inscrits afin de ne pas tromper les internautes qui vous font confiance.

Mon avis

À mon avis, en tant qu’expert en sécurité des TI et en conformité, c’est que les dirigeants des entreprises n’aiment pas trop investir dans ce type de sécurité, ils aiment mieux attendre de subir un vol ou même une destruction massive de l’ensemble de leurs systèmes et de leurs données pour risquer de perdre leurs entreprises en accumulant toutes sortes de frais tels; des poursuites judiciaires, la perte de nombreux clients et d’employés, défrayer de nouveau des sommes d’argent colossal pour la reconstruction de leurs environnements technologiques, et refaire leurs crédibilités auprès du public qui leur coûteraient une fortune en argent pouvant même dépasser les centaines de fois plus par rapport à un seul petit investissement dans un service en sécurité et en conformité.

Pensez-y bien

Et pourtant, il suffit d’une seule étude sur les risques d’impacts pour comprendre les coûts que cela entraînera si un incident se produisait envers les données personnelles que vous possédez sur vos systèmes informatiques et dans vos bureaux physiques. Puis viens ensuite de définir et d’appliquer les mesures de sécurité et les principes de la loi qui protège les renseignements personnels et la vie privée dans leurs entreprises contre les menaces probantes et les vulnérabilités possibles.

Plusieurs politiques de confidentialité sur les sites web, offre des mesures de protection sans valeur

Plusieurs politiques de confidentialité sur les sites web, offre des mesures de protection sans valeur

Il n’y aura aucun produit de sécurité qui protégera mieux les renseignements personnels et la vie privée en entreprise, qu’une bonne culture d’entreprise orientée numérique

La motivation du vol de renseignements personnels en entreprise est souvent reliée aux mécontentements des employés avide de vengeance

Plusieurs politiques de confidentialité sur les sites web, offre des mesures de protection sans valeur

Plusieurs politiques de confidentialité sur les sites web, offre des mesures de protection sans valeur

Il n’y aura aucun produit de sécurité qui protégera mieux les renseignements personnels et la vie privée en entreprise, qu’une bonne culture d’entreprise orientée numérique

La motivation du vol de renseignements personnels en entreprise est souvent reliée aux mécontentements des employés avide de vengeance

Notre site Web utilise les cookies pour une meilleure expérience de navigation sur notre site Web

This website uses cookies to ensure you get the best experience on our website.