5 étapes pour améliorer la confidentialité des données dans votre entreprise
Savez-vous quel type de renseignements personnels vous recueillez auprès de votre clientèle et comment vous les protégez? Les renseignements de base tels que le nom, l’adresse de courriel et les renseignements bancaires sont souvent tout ce dont les pirates ont besoin pour mener des opérations de vol d’identité sophistiquées. Pourtant, bon nombre d’entrepreneures et entrepreneurs n’ont pas une idée précise des renseignements personnels détenus par leur entreprise et des moyens à utiliser pour les protéger.
Mésestimer la confidentialité des données peut s’avérer coûteux pour une entreprise. En juin 2022, la Cour supérieure du Québec a approuvé un règlement de 200,9 millions de dollars dans le cadre d’un recours collectif contre la coopérative financière Desjardins. Il s’est avéré que l’institution financière avait ignoré des brèches qui ont permis à un employé de voler les renseignements personnels de 4,2 millions de personnes.
La prolifération des violations et les exigences des gens en matière de confidentialité et de contrôle de leurs propres données ont conduit les autorités gouvernementales à adopter de nouvelles réglementations, telles que le Règlement général sur la protection des données (RGPD) en Europe et la California Consumer Privacy Act (CCPA) en Californie. En 2021, le gouvernement provincial du Québec a introduit une loi sur la confidentialité des données. Cette loi crée un précédent dans la législation canadienne sur le respect de la vie privée en introduisant notamment de nouvelles normes en matière de protection des renseignements personnels, ainsi que des politiques de gestion des données d’entreprise.
Au niveau fédéral, le projet de loi C-27, dont est actuellement saisi le Parlement, vise à renforcer la législation canadienne sur la protection des données. Si le projet de loi est adopté, des amendes allant jusqu’à 5 % du chiffre d’affaires mondial ou 25 millions de dollars (le montant le plus élevé prévalant) pourraient être infligées à toute entreprise qui n’a pas fait suffisamment d’efforts pour protéger ses données sensibles.
D’après mon expérience de travail auprès d’entreprises canadiennes de toutes tailles, les programmes de protection de la confidentialité des données dont disposent la plupart d’entre elles ne répondent pas aux attentes des gens ni à certaines des nombreuses exigences de la législation proposée.
Les gens prennent eux aussi conscience de l’importance de la confidentialité des données.
J’ai récemment refusé de faire affaire avec une entreprise de nettoyage à sec parce qu’on me demandait mon nom, mon numéro de téléphone, mon adresse et mon adresse de courriel pour obtenir un simple service. On n’a pas été en mesure de m’expliquer clairement pourquoi l’entreprise avait besoin de ces renseignements personnels et comment elle allait les utiliser.
Et je ne suis pas la seule dans ce cas. Les gens ne veulent pas divulguer des données privées pour des transactions considérées comme moins importantes.
Un sondage mené en 2020-2021 par le Commissariat à la protection de la vie privée du Canada a révélé ce qui suit:
- 71 % des Canadiennes et Canadiens ont refusé de fournir leurs renseignements personnels pour des raisons liées à la protection de la vie privée.
- 40 % des Canadiennes et Canadiens ont déclaré avoir cessé de faire affaire avec une entreprise qui a subi une atteinte à la protection des données.
Les entreprises doivent s’attendre à ce que leur clientèle leur pose des questions plus pointues sur leurs programmes de protection des données. Pourtant, d’après mon expérience de travail auprès d’entreprises de toutes tailles et de partout au Canada, ces programmes ne répondent pas aux attentes des gens ni aux exigences de la législation proposée.
Qu’entend-on par renseignement personnel?
Toute information qui permet d’identifier directement ou indirectement une personne est un renseignement personnel. Exemples:
- nom;
- adresse;
- date de naissance;
- origine ethnique;
- genre;
- coordonnées;
- numéro de carte de crédit;
- photo;
- numéro d’assurance sociale;
- adresse IP;
- données de localisation.
Du point de vue d’une personne, la confidentialité des données est la capacité de comprendre et de contrôler ce qui suit:
- les renseignements qui sont recueillis la concernant;
- qui accède aux données et qui les stocke;
- dans quel but;
- la durée de conservation des données;
- comment les données sont éliminées, le cas échéant;
- comment les données sont protégées;
- si les données sont transférées ou vendues à des tierces parties.
Une bonne gestion de la confidentialité des données peut devenir un élément de différenciation, voire une source d’avantage concurrentiel pour votre entreprise.
5 étapes pour faire de la confidentialité des données une priorité
1. Examinez les données que vous collectez et stockez, et la raison connexe.
L’entreprise de nettoyage à sec avec laquelle j’ai refusé de faire affaire recueille, comme bien d’autres, plus de renseignements que nécessaire. Il est important de réfléchir aux renseignements d’ordre privé dont vous avez réellement besoin pour servir votre clientèle.
- Suivez-vous tout simplement un modèle?
- Votre approche est-elle conforme aux attentes qu’aurait une personne raisonnable?
- Savez-vous clairement quelle valeur cela présente pour votre clientèle?
Plus vous collectez de données, plus vous prenez de risques pour les protéger et les stocker, et plus elles deviennent coûteuses, que vous les stockiez dans des dossiers papier ou sous forme numérique. Si vous collectez et conservez les données sans raison valable, vous risquez d’accumuler des coûts de stockage de données inutiles. Il est également plus compliqué d’effectuer des recherches dans des magasins de données plus volumineux.
N’oubliez pas: Une bonne gouvernance des données comprend une stratégie de collecte et de conservation harmonisée à vos besoins, aux réglementations du secteur et aux attentes de votre clientèle en matière de confidentialité.
2. Définissez qui devrait avoir accès aux données
Dans le cas de la violation des données de Desjardins, un employé était responsable en dernier ressort de l’atteinte à la vie privée de millions de membres. En effet, cette personne était pour l’essentiel en mesure d’accéder à un coffre-fort numérique et de s’emparer des données qu’elle voulait.
Il existe plusieurs façons d’éviter cela. La plus courante consiste à définir des rôles et l’accès associé à chacun de ces rôles. Ensuite, certains privilèges sont accordés, tandis que d’autres sont restreints. Cela peut sembler évident, mais la plupart des entreprises avec lesquelles je travaille ne sont pas aussi rigoureuses. Le principe du droit d’accès minimal constitue une bonne approche générale.
Prenez en considération les points suivants:
- Quels sont vos processus officiels d’enregistrement et d’annulation d’enregistrement des identifiants d’utilisation? Sont-ils liés à vos processus RH relatifs à l’intégration et à la cessation d’emploi, ainsi qu’au changement de rôle?
- Avez-vous défini un processus pour accorder et révoquer l’accès? Une bonne pratique consiste à limiter l’accès partagé, à relier des identifiants individuels aux personnes, et à enregistrer et revoir périodiquement les droits d’accès.
- Qui peut accéder aux applications opérationnelles importantes des plateformes de RH, de paie et de comptabilité contenant de nombreuses données sensibles? De quels niveaux d’accès chaque personne devrait-elle disposer (lecture, écriture, suppression, téléchargement, etc.)?
3. Comprendre les risques liés aux données
Lorsque j’interroge ma clientèle sur sa sécurité numérique et sur la manière dont elle gère la confidentialité des données, la majorité me répond: «Nos données sont dans le nuage et elles sont sécurisées.» Et il est vrai que les platesformes infonuagiques ont des caractéristiques de sécurité strictes.
Pourtant, aussi sûr que l’environnement puisse paraître, une entreprise doit toujours examiner les risques liés aux données, notamment:
- la valeur des données;
- le coût de la perte des données;
- les conséquences de la collecte des données sur la vie privée;
- le coût des différentes solutions pour contrer le risque.
Une évaluation des risques vous aidera à déterminer si vous devez mettre en œuvre des contrôles de sécurité supplémentaires pour réduire, transférer ou éviter le risque en modifiant un processus.
La valeur des services de surveillance informatique
Les mauvaises configurations du nuage sont l’une des principales causes de cyber-violations. Par exemple, les personnes utilisatrices et les applications peuvent accumuler les permissions d’accès au-delà de ce qui est nécessaire. Ces permissions excessives sont parfois accordées par défaut lorsqu’une nouvelle ressource ou un nouveau service est ajouté à l’environnement infonuagique. Ces permissions par défaut peuvent être ciblées par des pirates informatiques qui les exploitent pour voler des données sensibles et perturber les opérations.
Les services qui surveillent en permanence et en temps réel l’ensemble de votre infrastructure informatique, y compris les déploiements en nuage, afin de détecter rapidement les événements de sécurité et d’intervenir, peuvent contribuer à protéger vos données commerciales ainsi que votre entreprise.
4. Formez votre personnel à la confidentialité des données et à son rôle à cet égard
L’erreur humaine et les comportements inappropriés sont une autre cause fréquente des cyber-violations. Pour les prévenir, il est important de former votre personnel à la façon dont il peut contribuer à la cybersécurité et à la confidentialité des données en général.
Cette formation l’aidera à comprendre les risques associés au non-respect des protocoles de confidentialité des données, pour l’entreprise et sa clientèle.
Voici quelques outils qui pourraient vous être utiles à cet égard:
- formation annuelle sur la cybersécurité et la confidentialité des données;
- simulations d’hameçonnage pour évaluer l’efficacité de la formation et renforcer les comportements requis;
- communication permanente sur les avantages pour l’entreprise.
Un personnel mieux informé et plus confiant se sentira en mesure de détecter et d’éviter les menaces courantes liées à la cybercriminalité et à la protection de la vie privée, ce qui constitue un avantage pour votre entreprise.
5. Allez au-delà du strict minimum
Il n’y a rien de mal à simplement se conformer aux lois locales. Après tout, la non-conformité peut entraîner des amendes, une atteinte à la réputation, une responsabilité personnelle, etc.
Toutefois, se contenter de se concentrer sur la conformité peut parfois conduire à faire le strict minimum et à manquer des occasions de se démarquer de ses semblables.
En intégrant sciemment la confidentialité des données à vos produits, services et processus commerciaux, vous pouvez passer du stade de «ce qui est permis et ce qui ne l’est pas» à celui de la création de valeur pour votre clientèle. Vous pourrez ainsi tirer plus facilement parti des nouvelles technologies, tout en minimisant les conséquences involontaires et indésirables dès le départ.
Obtenez l’aide de spécialistes
Nous pouvons vous aider à montrer à votre clientèle et à votre personnel que leurs informations sensibles sont sécurisées. Communiquez avec nous pour en savoir plus sur les certifications en sécurité de l’information.