Plusieurs personnes me demandent ce qu’ils doivent faire pour protéger les informations qu’ils détiennent. Comme il est souvent le cas avec les technologies, la réponse n’est pas noir ou blanc, elle se situe souvent à mi-chemin.
Une entreprise doit d’abord évaluer l’information qu’elle détient sur ses clients et/ou employés. Dans le cas d’un notaire, les renseignements personnels peuvent s’avérer nombreux. On pense au permis de conduire, numéro d’assurance-social, assurance-maladie, photo, signature, testament et j’en passe. Ceci est beaucoup plus d’information que la majorité des entreprises du Québec.
Le commissariat à la protection de la vie privée du Canada a un site web bien garni et voici ce qui est écrit:
En vertu du principe 4.7 de la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques (LPRPDE), les organisations doivent protéger les renseignements personnels au moyen de mesures de sécurité correspondant au degré de sensibilité, à la quantité, à la répartition et au format de ces renseignements. Plus le degré de sensibilité des renseignements est élevé, plus les mesures de sécurité doivent être rigoureuses. Le principe 4.7.1 précise que ces mesures doivent « protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. »
Le principe 4.7.3 recommande aux organisations d’inclure les méthodes de protection suivantes dans les mesures de sécurité :
- des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux;
- des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif;
- des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.
Pour un notaire, ceci pourrait se traduire par les moyens suivants:
- carte d’accès à proximité, système d’alarme avec NIP et évidemment, les classeur-voûte à l’épreuve du feu.
- séparation des tâches entre les employés (accès sélectif, granularité)
- identifiant unique pour chaque employé sur les postes de travail et les logiciels spécialisés. Chiffrement des données en transit sur des supports amovibles tel que clé USB, disque dur et cassette de sauvegarde. La biométrie peut être utilisé afin de simplifiez certaines tâches tel que la reconnaissance faciale ou les empreintes digitales.
Les notaires croient souvent à tord que les mesures de sécurité en place sont suffisantes. Toutefois, il faut prendre en considération qu’une mesure adresse souvent un seul aspect de sécurité. Assurez-vous de bien couvrir tous les aspects de sécurité, tel que la perte, le vol et la fraude.
Voici un exemple pris sur le site du Commissariat à la protection de la vie privée du Canada :
Au début de 2007, TJX a informé le Commissariat que ses systèmes informatiques avaient fait l’objet d’une intrusion et que les renseignements personnels associés à environ 45 millions de cartes de paiement pouvaient être touchés.
Le Commissariat a constaté que TJX avait en place des mesures de protection physiques, administratives et techniques au moment de l’intrusion.
Cependant, le Commissariat a constaté certaines lacunes dans les mesures de sécurité techniques de TJX, comme l’utilisation d’un protocole de chiffrement peu fiable et son échec à implanter une norme de chiffrement plus stricte dans un délai raisonnable.
Au moment de la découverte de l’intrusion à la fin de 2006, TJX travaillait toujours à la conversion de son réseau sans fil du protocole WEP (protocole de confidentialité équivalant aux transmissions par fil) au protocole de sécurité Wi-Fi Protected Access (WPA) pour améliorer le chiffrement de ses données. Le Commissariat a fait remarquer que l’utilisation du protocole WEP comme norme de sécurité était remise en question depuis au moins 2003 et que la version 1.1 des normes de sécurité sur les données de l’industrie des cartes de paiement, qui exigeait l’utilisation du protocole de chiffrement WPA, était en circulation depuis septembre 2006. Par conséquent, TJX aurait dû avoir adopté la norme de l’industrie, une norme beaucoup plus stricte que celle que TJX utilisait, avant la fin de 2006. De plus, TJX avait le devoir de surveiller ses systèmes, et si une surveillance appropriée avait été en place, l’organisation aurait eu connaissance de l’intrusion bien avant.
Par conséquent, si nous revenons à la Chambre des notaires du Québec, elle exige actuellement que les accès sans fil soit sécuritaire, mais elle ne fait pas de distinction entre les différents protocoles. Vous savez désormais que les protocoles WEP et WAP ne sont pas considérés comme sécuritaire par le Commissaire et par conséquent, il est probable qu’un juge arrive à la même conclusion lorsqu’il se positionnera sur “les mesures de sécurité raisonnables” demandées par les lois du Québec et le règlement sur la tenue des dossiers et des études des notaires.
En espérant que cela a pu vous éclairer sur le sujet.