Entre santé publique et cybersécurité
Par Simon Cordeau
Le 17 décembre dernier, juste avant les Fêtes, l’Agence de santé publique du Canada (ASPC) a publié un appel d’offres cherchant une entreprise qui pourrait fournir des « données de localisation des tours de téléphonie cellulaire et des opérateurs ». L’objectif est d’analyser les mouvements de la population, pour répondre plus rapidement et efficacement à la propagation du coronavirus.
Doit-on s’inquiéter pour nos renseignements personnels? « Non! », répond sans équivoque Stéphane Gagnon, professeur agrégé de Gestion des technologies d’affaire à l’UQO. « Peut-être », répond plutôt Marie-Hélène Gaudreau, députée de Laurentides-Labelle et présidente du caucus du Bloc québécois.
D’abord, explique M. Gagnon, ces données sont agrégées et anonymisées : elles ne permettront pas d’identifier un individu en particulier. « Les données recherchées par la Santé publique, ce sont des statistiques », précise le professeur.
L’objectif est d’identifier quels lieux sont à risque, en établissant une corrélation entre leur fréquentation et l’augmentation des cas ou des hospitalisations quelques jours plus tard. À terme, la Santé publique pourrait prévoir ces augmentations, et donc planifier ses services en conséquence.
« Peut-être que c’est super-sécurisé, mais on veut en être certains », indique quant à elle Mme Gaudreau. Ce qui l’inquiète d’abord, c’est le manque de transparence dans le processus. « La requête est faite sans prévenir, sans expliquer la raison. Particulièrement, à quoi ça va vraiment servir? Quels sont les besoins de la Santé publique? Peut-être que c’est pour les bonnes raisons, mais on ne peut pas faire ça sans consentement, sans avertir », déplore la députée.
Des mécanismes rigoureux
Dans tous les cas, M. Gagnon croit que les craintes face à la protection de nos renseignements sont injustifiées. « Dans un système d’information, l’interface, les formulaires, les mécanismes d’échange, tout ça est structuré, contrôlé, souvent même automatisé. Il y a des mécanismes de prévention et un contrôle des transferts. […] C’est très strict, au-delà de ce qu’on imagine », explique-t-il.
Le plus grand défi, selon lui, c’est la gestion des ressources humaines. Les employés doivent être bien formés, pour qu’ils aient de bonnes pratiques, mais aussi surveillés par des mécanismes. Par exemple, si un employé télécharge des quantités importantes de données, une vérification est faite. « Si vous lisez le mot « fuite », c’est du vol. Il y a un acte de vol par différentes personnes », illustre M. Gagnon.
« Le secteur public est beaucoup plus rigoureux que le privé. […] L’avantage du fédéral, c’est que c’est une énorme machine, mais qui est gérée de manière très serrée [grâce à la bureaucratie] », ajoute le professeur.
L’importance du consentement
Mme Gaudreau est moins certaine. « On doit clairement agir rapidement pour mettre à jour la Loi sur la protection des renseignements personnels. Au Canada, on dit qu’on protège, mais on ne protège absolument pas. On l’a vu avec les fraudes de la PCU et avec la fuite de Desjardins. […] Il y a des failles énormes », illustre-t-elle.
La députée veut aussi s’assurer que les punitions sont suffisamment sévères pour les fournisseurs qui ne respectent pas les règles. M. Gagnon abonde dans le même sens. « C’est une taxe, la cybersécurité. » Certaines entreprises pourraient être tentées d’économiser pour augmenter leur marge de profit, explique-t-il. C’est pourquoi il faut des contrats plus exigeants, et des amendes plus élevées. « Il faut faire peur aux fournisseurs, à tel point que ceux qui appliquent, ce sont seulement ceux qui sont vraiment capables de respecter les exigences. »
