Photo by Jefferson Santos on Unsplash

Les trolls à l’attaque, cette fois en matière de renseignements personnels

Il semblerait, selon un billet récent de l’Infosec Institute, que les nouvelles lois sévères en matière de renseignements personnels (comme le règlement européen « GDPR ») incitent déjà des tiers peu scrupuleux à tenter d’exploiter le système.

En effet, il semble qu’à l’instar de ce qu’on voit avec les droits de propriété intellectuelle depuis quelques années (cf. le phénomène des « patent trolls »), des mécréants s’attaquent dorénavant aux entreprises en espérant tabler sur la législation quant aux renseignements personnels pour escroquer les entreprises légitimes grâce au risque de pénalités que présentent ces lois.

Rappelons que le GDPR, par exemple, prévoit des pénalités potentiellement exorbitantes si une entreprise se fait pincer à ne pas respecter le règlement. C’est sur ce genre de risque potentiel que comptent les escrocs pour inciter leurs victimes à régler les dossiers.

Selon l’Infosec Institute, les trolls en question adoptent actuellement deux approches. La première est de vérifier grâce à des outils automatisés si le site Web d’une entreprise donnée se conforme aux règles de base comme l’obligation d’énoncer une politique de gestion des renseignements personnels. Quand un outil trouve un site qui ne semble pas se conformer au GDPR à ce sujet, une mise en demeure pourra alors suivre, par laquelle les malfrats tentent d’obtenir un règlement assorti du paiement de certaines sommes, afin de clore le dossier. La seconde approche des trolls consisterait à poursuivre carrément des entreprises de taille en alléguant diverses entorses à la réglementation en matière de renseignements personnels.

L’arrivée de lois de plus en plus sérieuses en matière de renseignements personnels entraîne que des entrepreneurs peu scrupuleux tenteront inévitablement d’exploiter le système, aux dépens des entreprises légitimes. Comme c’est le cas en matière de propriété intellectuelle, cela fait malheureusement partie du monde dans lequel nous vivons. Cela ne signifie pas que l’idée de règles plus serrées quant à la gestion des renseignements personnels s’avère nécessairement une mauvaise idée, mais plutôt que les entreprises ont désormais doublement intérêt à s’assurer de se conformer aux lois applicables.

Le Canada amorce d’ailleurs actuellement un réexamen de l’état de sa propre loi quant aux renseignements personnels, entre autres dans le but éventuel de se doter d’une loi que les Européens considéreront comme adéquate. Comme tel, il est à prévoir (à espérer, dirais-je) que la prochaine mouture de la LPRPDE aura, elle aussi, des dents, au risque d’ouvrir la voie aux trolls de tout acabit comme ce qui se produit aujourd’hui en Europe.

Avec tout ce qu’on voit au sujet de la GDPR et des autres lois du genre qui commencent à faire leur apparition en Amérique du Nord (comme la loi californienne adoptée récemment), pas de doute, l’époque où on pouvait ignorer cette question tire rapidement à sa fin!