Protection des données : les bonnes pratiques évoluent

Par 08 décembre 2009
Mots-clés : Smart city

Les comptables nord-américains rappellent les principes propres à garantir la confidentialité des données en entreprise. Limiter leur transport et leur temps de conservation, par exemple.

Près de 10 millions d’américains sont victimes d’usurpation d’identité chaque année, d’après les chiffres du Commission Fédérale du Commerce. En 2008, leur coût s’élevait à 48 milliards de dollars. En réaction, L’Institut canadien des Comptables Agréés (CICA) et son pendant américain (l’AICPA) proposent quelques principes pour sécuriser les informations personnelles. Il s’agit en fait d’une mise à jour des « principes de confidentialité généralement acceptés » déjà édités auparavant et regroupant les meilleures pratiques dans le domaine. « Notre ambition est d’élaborer une structure commune à l’Amérique du Nord », explique à L’Atelier Nicholas Cheung, chef de projet à la CICA. « Mais je ne vois aucune raison qui empêcherait ces règles de s’appliquer dans d’autres pays ». Son objectif est de permettre aux entreprises d’améliorer ou d’évaluer leurs programmes en la matière.
Eviter de transporter des informations personnelles
« L’une de nos principales recommandations concerne les appareils portables de type clé USB, Blackberry, ordinateur portable », poursuit Nicholas Cheung. « Nous conseillons aux professionnels d’éviter autant que possible d’y stocker des informations personnelles ». Si cela est inévitable, le rapport leur recommande de les encrypter. Autre sujet d’inquiétude : l’informatique dans les nuages. Sans remettre en cause son utilisation, les deux instituts recommandent une certaine prudence. « Les entreprises devraient mener des vérifications préalables sur la qualité de la politique de confidentialité et de sécurité de leur fournisseur de service », argumente encore le comptable canadien. De manière générale, les entreprises devraient appliquer une politique plus rigoureuse vis-à-vis des informations personnelles en leur possession.
Ne rien conserver plus longtemps que nécessaire
« Les informations ne devraient pas être conservées plus longtemps qu’il n’est nécessaire », affirme Nicholas Cheung. « On peut résumer cela simplement : si vous n’avez pas l’information, vous ne pouvez pas la perdre ». Quant à savoir combien de temps une information devrait être conservée, il considère que cela dépend du type d’entreprise et de son environnement légal. Par exemple : une information concernant une transaction par carte bleue ne devrait pas être conservée au-delà de quelques semaines. Dernier cheval de bataille des instituts comptables nord-américains : la formation des employés. « Souvent les entreprises attendent une infraction pour mettre en place une formation », explique-t-il. « Nous pensons qu’il serait plus efficace et moins coûteux de l’anticiper ». Avant de conclure : « La plupart des manquements à la confidentialité sont dus à des erreurs internes ».

Mentions légales © L’Atelier BNP Paribas