Le DGEQ, la protection des données personnelles et les tactiques douteuses de Québec Solidaire

Cette semaine, dans l’article de La Presse, Les partis politiques mettent vos données personnelles à risque, selon le DGEQ, on pouvait lire :

Dans son rapport, rendu quelques mois plus tard, Me Reid évoque pour la première fois le risque que des pertes, des vols ou des accès non autorisés aux banques de données des partis exposent les données personnelles des millions de Québécois qui y sont fichés.

« Les partis politiques ne peuvent tenir pour acquis qu’ils sont à l’abri des cybermenaces contre le processus démocratique. Nous sommes préoccupés par cet enjeu et nous souhaitons agir d’une manière proactive afin de prévenir les conséquences sur la vie privée des électeurs. »

– Pierre Reid, directeur général des élections

Le DGEQ a certainement raison de s’inquiéter des risques d’intrusion et ou de vol des données personnelles des québécois que peuvent détenir les partis politiques. J’ajouterais à cette inquiétude, celle de l’obtention de la permission d’utilisation des données personnelles par les partis. Toutes les organisations se doivent d’obtenir, de documenter et de sécuriser de telles permissions sauf, les partis politiques. D’ailleurs, Vincent Marissal de Québec Solidaire souhaite un encadrement strict des partis politiques mais s’inquiète plutôt de pouvoir garder « la possibilité d’entrer en contact avec les gens ».

Le député de Québec solidaire Vincent Marissal a abondé dans le même sens. Il souhaite encadrer les partis « de la manière la plus solide possible ». Il a cependant souligné un autre passage du rapport du DGEQ, qui reconnaît leurs besoins particuliers.

« Il faut garder un équilibre pour assurer que nous soyons capables, comme parti politique, d’entrer en contact avec les gens, y compris pour faire de la sollicitation, y compris pour les inviter à des événements », a-t-il dit.

Je comprends monsieur Marissal de s’inquiéter de mettre en péril « le contact avec les gens de son parti ». Et pour cause, Québec Solidaire est champion du marketing électoral douteux. En effet, cette organisation politique, plutôt que de réellement proposer des législations et autres actions politiques qui ont réellement un impact sur la vie des citoyens durant les mandats de ses élus, privilégie les fameuses pétitions. Or, ces pétitions serviront d’outil de propagande électorale subséquente. Québec Solidaire profites de « trous dans la loi » sur la protection des renseignements personnels et les documents électroniques (LPRPDE) afin de spammer les électeurs en période électorale et ce, sans avoir eu la délicatesse d’obtenir leurs consentements préalables pour recevoir leurs publicité/propagande électorale car il s’avère que les associations et partis politiques sont exempts de la loi. Est-ce illégal ? Non ce n’est l’est pas. Est-ce éthique ? J’ai de gros doutes là-dessus.

Comme vous pouvez le voir dans cet exemple récent de PÉTITION POUR UNE ASSURANCE DENTAIRE PUBLIQUE, on demande aux gens leurs nom, prénom, courriel, téléphone, code postal et signature. On omet volontairement par contre de leur demander la permission d’utiliser ces données. Ça deviendra très utile en période électoral pour spammer les électeurs.

Étonnamment, lors de la dernière campagne électorale, plusieurs personnes de Mercier m’ont averti avoir reçu des messages SMS de Québec Solidaire durant les élections, sans pour autant avoir jamais signé l’une de leurs très nombreuses pétitions. Il faut savoir que de moins en moins de gens ont un téléphone filaire et qu’ils sont plutôt des usagers de mobiles. Or, pour avoir ces numéros de téléphones, il faut soit faire une pétition, soit acheter des listes de numéros de cellulaires par code postale. Or ces listes sont interdites au Canada, mais peuvent aisément être acheté aux États-Unis. Il est donc aisé de soupçonner que c’est ce qu’a fait Québec Solidaire pour être capable de rejoindre des électeurs qui n’ont jamais signé leurs pétitions. J’ai donc fait une autre plainte officielle au DGEQ. La réponse des porte-paroles de l’organisme est sans équivoque. Nous ne pouvons rien faire pour ce cas précis, allez voir ailleurs… Voici la réponse officielle du DGEQ.

Il est aussi bon de rappeler que Québec Solidaire a aussi profité des listes de données personnelles d’Option nationale (encore une fois sans l’autorisation des gens qui avaient fournis leurs informations à option nationale) de même que les listes de l’initiative Faut qu’on se parle.

Comme quoi, la réflexion du DGEQ sur les données personnelles que détiennent les partis politiques devrait sans doute inclure aussi une réflexion sur la nécessaire obtention de permission par les électeurs, d’utiliser ces mêmes données …

Le USA Cloud act et les problèmes d’intégrité et de confidentialité des données des Québécois

Déjà, avec le USA Patriot Act, plusieurs gestionnaires qui ont à cœur la confidentialité des données personnelles et encore plus stratégiquement, la protection des secrets industriels et d’affaires choisissaient d’héberger les serveurs des organisations et entreprises au Canada, afin de limiter les ponctions extérieures à ces mêmes données. Mais avec le Clarifying Lawful Overseas Use of Data Act, mieux connu sous le nom de USA Cloud Act, les questions deviennent plus troublantes. Il a été largement documenté que nos lois de protection des données personnelles ne nous protègent pas de l’intrusion possible et effective du gouvernement américain. C’était d’ailleurs l’un des points que j’avais mis de l’avant dans le Plan numérique du Parti Québécois, lors de la dernière élection. J’y parlais de souveraineté numérique.

Doter le Québec de ses propres « fermes » de serveurs gouvernementaux, afin d’assurer sa pleine souveraineté en matière de données publiques gouvernementales.

À l’heure actuelle, il est impossible pour le gouvernement du Québec de garantir que les données sensibles des Québécois (information fiscale, de santé et autres) sont hébergées en infonuagique sur des serveurs québécois, ou selon les standards des lois québécoises.

Quelle est la controverse du Cloud Act?

(Traduit librement de ServerCloudCanada) Les autorités américaines peuvent désormais, grâce au Cloud Act, obtenir un subpoena obligeant les entreprises d’infonuagique américaines, à dévoiler aux autorités les données qu’ils requièrent. Cela s’applique à tous fournisseurs d’infonuagique américain qu’ils soient en sol américain ou dans d’autres juridictions comme disons, le Canada. Ainsi, le gouvernement américain s’arroge le droit d’accaparer des données dans des juridictions étrangères même si ces requêtes peuvent contrevenir aux lois de ces autres juridictions.

On peut donc en comprendre que même si les serveurs d’infonuagiques sont en sol canadien, ça n’aura aucune importance sur la protection des données qui sont hébergées chez des fournisseurs d’origines américaines. Qui plus est, il est même possible que les gouvernements et les propriétaires des données qui seront saisies par le gouvernement américain ne soient pas informés de ladite saisie comme le laisse entendre un article de The Verge, citant de nombreuses organisations de protection de la vie privée américaines.

A number of nonprofit groups oppose the bill on privacy grounds, including the American Civil Liberties Union, Electronic Frontier Foundation, Amnesty International, and the Open Technology Institute. The harshest criticism focuses on the new powers granted to the attorney general, who can enter into agreements with foreign countries unilaterally. Those agreements could potentially circumvent the protections of US courts. The act also wouldn’t require users or local governments to be notified when a data request is made, making meaningful oversight significantly harder.

Nonobstant cette nouvelle loi américaine, j’avais déjà fait état de la coercition de certains services de sécurité américains envers des entreprises d’hébergement canadiens dans mon billet Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer. Nos données sont donc de plus en plus en danger d’être scrutées, sans notre accord et c’est pourquoi il m’apparait judicieux, que les gouvernements du Québec et du Canada se dotent de leurs propres serveurs de données afin de protéger les données sensibles des Québécois et des Canadiens. C’est d’ailleurs le récent article L’identité des acheteurs de pot à risque L’adresse IP des Québécois qui consultent le site web de la SQDC passe par la Californie qui m’a mis la puce à l’oreille.

Vous pourriez aussi aimer

Les données personnelles des Québécois sont-elles déjà scrutées par les Américains

Le chantage des services secrets américains pour contraindre les entreprises canadiennes à coopérer https://www.michelleblanc.com/2013/06/14/primeur-le-chantage-des-services-secrets-americains-pour-contraindre-les-entreprises-canadiennes-a-cooperer/

Les PDG et les menaces numériques et risques informatiques

J’ai eu la chance de collaborer à la recherche et la rédaction d’une série d’excellents articles de mon ami et client Benoît Grenier (et de sa firme Parminc). Ces articles portent sur certaines des menaces les plus importantes qui pèsent sur les entreprises et leur PDG. Que ce soit les types de menaces informatiques, les conséquences de celle-ci, l’aveuglement volontaire de certains dirigeants, le manque de communication entre les parties prenantes ou même les faiblesses que certains fournisseurs de services-conseils en cybersécurité, ces articles illustrent éloquemment comment amorcer une réflexion en profondeur de ce qui pourrait permettre une croissance continue des entreprises, ou sa perte pure et simple. Je vous suggère fortement d’en prendre connaissance…

Les CEO et l’angle mort des cybercrimes

Les CEO et les cybercrimes, les solutions

Le CEO et les risques informatiques ou pourquoi se doter d’un CRO (Chief Risk Officer)?

 

MERCI à
https://parminc.com/
http://ginasavoie.com/
http://www.benoit-grenier.com/
http://www.csircorp.com/
http://nam-hoang.com/