Selon un billet récent de l’Infosec Institute, les nouvelles lois plus sévères en matière de renseignements personnels (comme le règlement européen « GDPR ») incitent déjà des tiers peu scrupuleux à tenter d’exploiter le système.
En effet, il semble qu’à l’instar de ce qu’on voit avec des droits de propriété intellectuelle depuis quelques années (cf. le phénomène des « patent trolls »), des mécréants s’attaquent dorénavant aux entreprises en espérant maintenant tabler sur la législation quant aux renseignements personnels afin d’extorquer les entreprises légitimes grâce au risque de pénalités que présentent ces lois.
Rappelons que le GDPR, par exemple, prévoit des pénalités potentiellement exorbitantes si une entreprise se fait pincer à ne pas respecter le règlement. C’est sur ce genre de risque potentiel que comptent les extorqueurs pour inciter leurs victimes à régler les dossiers.
Selon l’Infosec, les trolls en question adoptent actuellement deux approches. La première est de vérifier grâce à des outils automatisés si le site Web d’une entreprise donnée se conforme aux règles de base comme l’obligation d’énoncer une politique de gestion des renseignements personnels. Quand un outil trouve un site qui ne semble pas se conformer au GDPR à ce sujet, une mise en demeure pourra alors suivre par laquelle les malfrats tentent d’obtenir un règlement assorti du paiement de certaines sommes, afin de clore le dossier. La seconde approche des trolls consisterait à carrément poursuivre des entreprises de taille en alléguant diverses entorses à la réglementation en matière de renseignements personnels.
L’arrivée de lois de plus en plus sérieuses en matière de renseignements personnels implique que des entrepreneurs peu scrupuleux tenteront inévitablement d’exploiter le système, aux dépens des entreprises légitimes. Comme c’est le cas en matière de propriété intellectuelle, cela fait partie du monde dans lequel nous vivons. Cela ne signifie pas que l’idée de règles plus serrées quant à la gestion des renseignements personnels s’avère nécessairement une mauvaise idée, mais plutôt que les entreprises ont désormais doublement intérêt à s’assurer de se conformer aux lois applicables.
Le Canada amorce d’ailleurs actuellement un réexamen de l’état de sa propre loi quant aux renseignements personnels, entre autres dans le but éventuel de se doter d’une loi que les Européens jugeront adéquate. Comme tel, il est à prévoir (à espérer, dirai-je) que la prochaine mouture de la LPRPDE aura, elle aussi, des dents, au risque d’ouvrir la voie aux trolls de tous acabits comme ce qui se produit aujourd’hui en Europe.
Avec tout ce qu’on voit au sujet de la GDPR et des autres lois du genre qui commencent même à faire leur apparition en Amérique du Nord (comme la loi californienne adoptée récemment), pas de doute, l’époque où on pouvait ignorer cette question tire rapidement à sa fin !