Qu'est-ce que le risque ? La gestion du risque

La protection de la vie privée

Il n’y a pas une seule définition du risque. Une recherche sur Google avec les mots risque ou risk propose plus de  500 000 000 résultats. Cependant, beaucoup de ce qui a été écrit sur le risque est basé sur des données anecdotales et sur des études limitées à un aspect particulier. Le risque est un construit social, il dépend de celui qui le perçoit, de la nature du risque et du domaine dans lequel on s’intéresse au risque.

Le mot risque tire ses origines du terme italien (Moyen âge) risco signifiant rocher escarpé, écueil, utilisé par les premières compagnies d’assurance pour désigner le péril couru en mer et du latin resecum signifiant coupant. Le risque est souvent défini comme une combinaison de la probabilité d’occurrence d'un dommage et de sa gravité. Pour Knight, le risque réfère à des situations par lesquelles le décideur assigne des probabilités mathématiques aux événements aléatoires auxquels il fait face. Le risque est aussi défini comme une variation dans les résultats (outcomes) qui peuvent survenir sur une période déterminée dans une situation donnée. Dans le risque il y a la notion de discontinuité souvent a associé avec les désastres et les issues imprévu. Le risque exige que l’on reconnaisse son caractère de situation limite: la surprise, l’inconnu, l’ignorance, la mutation des configurations opératoires comme des jeux d‘acteurs sont des dimensions constitutives du problème. L’on distingue le risque objectif, lorsque la variation existe dans la nature et est la même pour tous les individus dans une situation identique, et du risque subjectif, lorsqu’il y a estimation du risque objectif par un individu.

Quand on ne peut exprimer l’aléatoire par des probabilités, mêmes subjectives, on doit plutôt parler d’incertitude. Le mot risque est généralement utilisé lorsqu'il existe au moins la possibilité de conséquences négatives, s'il ne s'agit que de conséquences probables positives, on parlera plutôt de possibilités.

La gestion est la mise en œuvre de tous les moyens humains et matériels d'un organisme ou d'une entreprise pour atteindre les objectifs préalablement fixés. Cette mise en œuvre s’exprime par des actes visant une transformation du monde réel par le travail, la médiation ou l’instrumentation.

L’idée que le risque peut être géré peut être vu comme une conséquence à long terme du désastre naturel qui s’est produit à Lisbonne (Portugal) en 1755 combiné à la découverte des probabilités par Blaise Pascal. Le désastre de Lisbonne marque un tournant de la vision d’acte divin, illustré par un poème de Voltaire, vers une approche rationnelle qui peut être soumise à un traitement scientifique. C’est la réponse de Rousseau qui sème le germe de gestion du risque:

Serait-ce à dire que l’ordre du monde doit changer selon nos caprices, que la nature doit être soumise à nos lois, et que pour lui interdire un tremblement de terre en quelque lieu, nous n’avons qu’à y bâtir une ville?”

La gestion du risque est nécessaire parce les organisations doivent identifier ce qui est prévisible afin d’assurer leur pérennité. Une organisation doit identifier les activités où les risques sont le plus significatif pour elle. Fondamentalement la gestion du risque comprend les processus d’identification des menaces, de la priorisation de celles-ci et de la mobilisation de ressources afin de les traiter adéquatement. Ces processus sont accomplis par des activités d’identification des risques, d’évaluation du risque et de traitement du risque. Les objectifs de la gestion du risque informationnel sont :

  • Diriger et piloter une organisation vis-à-vis du risque

  • Équilibrer les coûts budgétaires et opérationnels des mesures de mitigation du risque

  • Réaliser des bénéfices organisationnels par la protection des systèmes et des informations qui supportent leur mission

Dans le contexte de la santé, par exemple, la gestion du risque informationnel doit prendre en compte:

La confidentialité de l’information

L’intégrité de l’information

La disponibilité de l’information

La non répudiation des transactions informationnelles:

  • Non répudiation de la création

  • Non répudiation de la livraison

  • Non répudiation de la connaissance

  • Non répudiation de l’origine

  • Non répudiation de la réception

  • Non répudiation de la soumission

  • Non répudiation du transport

L’authentification:

  • des utilisateurs

  • de l’origine des données

  • Contrôle des accès

Le respect de l’intégrité des individus:

  • Consentement éclairé

  • Protection des renseignements personnels

  • Limites de la collecte (nécessité)

  • Accès à l’information

  • Droit de retenir, ségréger, corriger et copier

  • Dénominalisation des données

La transparence:

  • Divulgation (No secret databases shall exist)

  • Limites à l’utilisation, la divulgation et la rétention

  • Justification de la collecte

  • Transmission sécuritaire des données

  • Usage Non commercial

  • Processus permettant de contester la conformité; et

  • Responsabilisation (Accountability)

Le principe de prudence:

  • Politiques organisationnelles

  • Lois, règlements, directives, traités

  • Contrôles de gestion (Management controls)

  • Audit

  • Documentation

  • Formation

 La Protection de la vie privée est un droit, tel que décrit dans l'article 12 de la Déclaration universelle des droits de l'homme UN(1948):

Nul ne sera l'objet d'immixtions arbitraires dans sa vie privée, sa famille, son domicile ou sa correspondance, ni d'atteintes à son honneur et à sa réputation. Toute personne a droit à la protection de la loi contre de telles immixtions ou de telles atteintes.

La PVP est aussi mentionné dans le Traité internetional sur les droits politiques et civiques (Adopté 1966, mise en force 1976), Article 17:

1. No one shall be subjected to arbitrary or unlawful interference with his privacy, family, home or correspondence, nor to unlawful attacks on his honour and reputation.

2. Everyone has the right to the protection of the law against such interference or attacks.

Au Canada, l'Association Canadienne de Normalisation a élaboré le Code type sur la protection des renseignements personnels (disponible ici). Ce code de partiques  exemplaires établit dix principes qui permettent d'équilibrer le droit à la vie privée des individus, d'une part, et les besoins en matière de renseignements des organismes privés, d'autre part. Ces principes sont: Au Québec, le droit à la protection des renseignements personnels est prévu dans la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels et dans la Loi sur la protection des renseignements personnels dans le secteur privé. Un organisme public est responsable de l'application de ces lois, la Commission d'accès à l'information qui a vu le jour en 1982.

Véritable pionnier en Amérique du Nord en matière d'accès à l'information de protection de la vie privée, le Québec a mis en place, un modèle législatif original qui a tracé la voie à la mise en place de mesures similaires à travers le Canada. Ce modèle original est condiféré par certains comme une référence incontournable à travers l'ensemble des pays occidentaux en matière d'accès à l'information et de protection de la vie privée. Dès le début des années soixante-dix, cet intérêt, s'est manifesté graduellement parmi plusieurs lois adoptées à cette époque. Déjà en 1971, par l'adoption de la Loi sur la protection du consommateur, le législateur innovait en assurant à toute personne le droit d'avoir accès à son dossier de crédit. Les lois professionnelles comme le Code des professions consacrait des principes comme le secret professionnel et le caractère confidentiel des renseignements personnels.
Audit WiFi ] Schémas de gestion de risque ]
info@leger.ca
©MarcAndreLéger, 09-août-2008