La violation de données d’Optus, qui a touché près de 10 millions d’Australiens, a suscité des appels à des modifications des lois australiennes sur la confidentialité, imposant des limites sur ce que les organisations peuvent conserver et pendant combien de temps elles peuvent conserver nos données personnelles.
Il est tout aussi important de renforcer les obligations des organisations de divulguer publiquement les violations de données. Optus a fait une annonce publique concernant sa violation, mais n’était pas légalement tenu de le faire.
En fait, au-delà des données agrégées produites par l’Office of the Australian Information Commissioner, le public n’est pas informé de la grande majorité des violations de données qui se produisent chaque année en Australie.
L’Australie a mis en place depuis février 2018 un programme de « violations de données notifiables » qui oblige toutes les organisations à informer les personnes concernées ainsi que le Bureau du commissaire australien à l’information en cas de violation d’informations personnelles susceptible d’entraîner un préjudice grave.
Cependant, aucune notification n’est requise si l’organisation prend des mesures correctives pour prévenir les dommages. Plus important encore, la divulgation publique n’est jamais requise.
Cela donne beaucoup de latitude aux organisations. Ils peuvent faire leur propre évaluation des risques et décider de ne pas divulguer une violation du tout.
Les sociétés cotées à l’Australian Securities Exchange (ASX) sont également tenues de divulguer toute violation de données susceptible d’avoir un «impact économique important» sur le cours de l’action d’une société. Mais il est notoirement difficile de mesurer l’impact économique matériel. Ces annonces ne sont donc pas une source d’information fiable pour le public.
Violations de données notifiées
Bien que le programme Notifiable Data Breaches soit un pas dans la bonne direction, il est impossible de savoir si les divulgations faites reflètent l’ampleur et la portée des violations de données.
Le dernier rapport sur les violations de données notifiables, couvrant les six mois de juillet à décembre 2021, répertorie 464 notifications (en hausse de 6 % par rapport à la période précédente).
Parmi ceux-ci, 256 (55 %) ont été attribués à des attaques malveillantes ou criminelles, et 190 (41 %) à une erreur humaine, comme l’envoi d’informations personnelles par e-mail au mauvais destinataire, la publication d’informations par accident ou la perte de périphériques de stockage de données ou de documents. 18 autres (4 %) ont été attribués à des erreurs système.
Les secteurs qui ont signalé le plus d’infractions sont les services de santé (83 notifications) ; finances (56); et services juridiques, comptables et de gestion (51).
Environ 70 % de tous les incidents auraient touché moins de 100 personnes. Mais un événement a touché au moins un million de personnes. Malgré l’ampleur, le public n’a pas été informé des détails de ces événements, ni de l’identité des organisations responsables.
Quelle que soit l’ampleur ou la raison, toutes les violations de données ont un impact sur les personnes et les organisations. Malgré cela, on apprend rarement autre chose que le plus spectaculaire et le plus criminel de ces événements.
Sans divulgation obligatoire, la responsabilité publique est insuffisante.
Comment la divulgation minimale devrait-elle fonctionner ?
Un cadre de divulgation minimal doit inclure des informations sur le type de données violées, la sensibilité des données, la cause et l’ampleur de la violation, ainsi que les stratégies d’atténuation des risques adoptées par l’organisation.
Le cadre devrait exiger à la fois une annonce publique normalisée en cas de violation importante de données, ainsi qu’un rapport public annuel obligatoire sur les violations de données. Les rapports et les annonces doivent être publiés sur le site Web de l’entreprise (tout comme un rapport annuel) et déposés auprès du Bureau du commissaire à l’information australien.
Cela garantirait l’accès du public à un historique cohérent des événements liés aux violations et des réponses organisationnelles. Les divulgations permettraient aux groupes communautaires, aux régulateurs et aux parties intéressées d’analyser les violations de nos données et d’agir en conséquence.
Dans sa forme la plus simple, un cadre de divulgation obligatoire encourage les divulgations annuelles qui sont comparables et accessibles au public. À tout le moins, cela crée des occasions d’examen et de discussion.
