Selon Mathilde Canque, le respect de la conformité en matière de protection des renseignements personnels doit être prouvé aux clients et au régulateur. Pour ce faire, l’entreprise doit prendre tous les moyens requis pour assurer la sécurité de ces renseignements et la réglementation québécoise les force désormais à le faire.
Mme Canque, déléguée à la protection des données à Système de sécurité Hitachi, était l’une des expertes présentes à InsurTech Québec, activité tenue au début avril.
Au Canada, la vie privée de l’individu est définie en fonction de trois cibles : l’État, les autres individus et les organisations. Cet aspect est l’élément le plus préoccupant dans le contexte des assureurs, selon l’experte en sécurité.
Les renseignements personnels sont ceux qui, lorsqu’ils sont utilisés seuls ou combinés avec d’autres, permettent d’identifier un individu. Par exemple, détenir le nom, le prénom, la photo ou le numéro d’assurance sociale d’un client, s’ils sont jumelés à une adresse postale, une adresse IP, des habitudes d’achat et des coordonnées de géolocalisation, peuvent en dire beaucoup sur l’individu.
Mathilde Canque souligne que l’impact de la pandémie sur le télétravail a fait augmenter le volume de cyberattaques. « Les organisations n’étaient pas nécessairement toutes bien préparées à cela », dit-elle.
La tendance à la hausse de cette cybercriminalité n’ira pas en diminuant. Chaque jour au Canada, ce sont des millions d’attaques qui visent les renseignements personnels. La sécurité informatique arrive à en filtrer la majeure partie, mais le volume reste très élevé.
La non-conformité
Les risques de non-conformité aux règles sur la protection de la vie privée sont considérables, selon Mme Canque. La violation des renseignements personnels, si elle est due à un incident de sécurité relié au non-respect des obligations de l’entreprise, peut entraîner des dommages substantiels. Les actions collectives contre l’organisation et la perte de confiance des investisseurs sont les dommages les plus courants à la réputation.
Les pertes financières associées à cette fuite peuvent être de plusieurs ordres. Outre la perte de clientèle, le surcoût lié à la mise en conformité, les sanctions importantes, la limitation ou l’interdiction de poursuivre l’activité, voire la fermeture pour insolvabilité.
Cette dernière possibilité n’est pas si rare, ajoute Mathilde Canque en rappelant le cas de Cambridge Analytica, firme qui a utilisé les renseignements personnels obtenus via Facebook pour les combiner à d’autres et ensuite les revendre à divers partis politiques dans le cadre de campagnes électorales. Le réseau social a été sanctionné, mais il a pu continuer ses activités, malgré le scandale. La firme britannique a fermé ses portes en moins de deux mois.
Les avantages
« La bonne nouvelle, c’est que la protection de la vie privée est bonne pour les affaires », précise Mathilde Canque. Si le travail est bien fait, on renforce la confiance des personnes concernées, on limite les plaintes et les sanctions potentielles, on renforce la réputation de l’entreprise et cela peut même lui conférer un avantage concurrentiel.
« En mettant en place les mesures appropriées, vous éviterez ainsi les fuites, les dommages à la réputation et les pertes financières », dit-elle.
La loi 64
Le projet de loi 64, soumis en juin 2020, a été sanctionné en septembre 2021 par l’Assemblée nationale. Il touche diverses dispositions législatives reliées à la protection des renseignements personnels (PRP).
Après des consultations menées en septembre 2020, ce n’est qu’à partir de février 2021 que les députés ont procédé à l’étude détaillée des 165 articles du projet de loi. Les travaux se sont poursuivis jusqu’à la fin août 2021.
Les pouvoirs de la Commission d’accès à l’information (CAI) ont été renforcés et de nouvelles obligations ont été ajoutées. Dès septembre 2022, chaque organisation devra nommer une personne responsable de la PRP. Par défaut, le responsable est le PDG de l’entreprise, si personne n’a été désigné.
À partir de septembre 2023, entreront en vigueur la plupart des nouvelles obligations introduites par la loi 64. Par exemple, chaque organisation devra procéder à une analyse de risque pour les transferts de renseignements personnels entre les provinces, les assureurs pancanadiens étant évidemment ciblés par cette obligation.
« On peut penser qu’il reste encore beaucoup de temps d’ici là, mais je vous souligne qu’en Europe, le règlement relatif à la protection des données (RGPD) a été adopté en 2016. Les organisations avaient deux ans pour s’y conformer. En 2022, il y a encore énormément d’entreprises qui n’arrivent pas à s’y conformer », souligne-t-elle.
D’autres dispositions entreront en vigueur en septembre 2024, notamment celle sur le droit à la portabilité des renseignements personnels.
La démonstration
Seulement en faisant un sondage à main levée avec les participants dans l’assistance, Mathilde Canque constate que fort peu d’organisations ont déjà adopté les mesures requises pour se conformer aux règles de protection de la vie privée. La meilleure politique en la matière ne suffit pas si elle n’est pas appuyée par de la documentation. Mme Canque suggère donc aux entreprises de faire valider leur système de protection par des consultants compétents.
Le chef de projet à la protection des renseignements personnels doit mener le chantier de la conformité. Ce chef peut être appuyé par un comité de protection des renseignements personnels, si la taille de l’entreprise le justifie. Le nom du chef de projet doit être publié et accessible au public.
Il faut aussi définir les rôles et les responsabilités des divers intervenants, ce qui inclut les collaborateurs et les sous-traitants. « Vous devez vous assurer que vos fournisseurs comprennent bien leurs obligations et la nécessité de les respecter », dit-elle.
L’entreprise doit ensuite se doter de politiques et procédures appropriées à la PRP. La politique de gouvernance de ces informations et la politique de sécurité des systèmes d’information sont à préciser d’ici septembre 2023.
Il faut également prévoir les procédures de gestion des incidents de sécurité et de violation des renseignements personnels. Chaque entreprise doit tenir un registre et le rendre accessible à la CAI. Cela doit inclure une méthode de gestion des droits des personnes et les règles à suivre en cas de contrôle par l’autorité compétente.
Les ressources humaines
La gestion du personnel de même que leur capacité d’accès à ces renseignements personnels sont d’autres procédures à établir. « La formation du personnel est essentielle », précise Mme Canque. Quelque 90 % des cyberattaques sont générées par une erreur humaine.
Ce programme de formation doit aussi être documenté et on doit aller plus loin que la simple formation initiale. Les employés des services liés aux ressources humaines, au marketing et aux technologies de l’information sont les premiers concernés par cette mise à jour des connaissances en cybersécurité, en plus de toutes les personnes qui recueillent et compilent ces renseignements personnels.
Le 28 janvier est la Journée internationale de la protection de la vie privée. Mathilde Canque suggère de profiter de cette journée pour sensibiliser les employés à cet égard et de bien documenter les activités qui en découleront.
L’entreprise devra établir son inventaire et ses modes de gestion des risques associés à la PRP. Ce n’est pas encore une obligation au Québec et au Canada, mais cet inventaire existe dans la réglementation européenne. Il doit inclure la durée de conservation des différentes catégories de renseignements personnels et les mesures de sécurité qui sont adoptées.
D’ici septembre 2023, la loi 64 prévoit que les organisations devront mener l’évaluation des facteurs relatifs à la vie privée, toujours dans l’objectif de documenter la conformité. Chaque organisation doit viser à limiter la collecte de renseignements personnels, mais aussi la durée de conservation de ces données, ajoute Mme Canque.
En matière de sécurité de ces renseignements personnels, le respect de la conformité passe aussi par l’adoption de mesures physiques, informatiques et juridiques. Selon elle, cette partie représente environ 30 % des efforts à consentir.
Parmi les mesures physiques, Mathilde Canque souligne que les armoires et les bureaux fermés à clé, par exemple, s’imposent encore plus dans le contexte du télétravail, surtout si on a des enfants à la maison qui ont accès au matériel informatique ou aux dossiers imprimés.
Les mesures juridiques ne doivent pas être négligées, tant pour les accords de confidentialité avec les employés ou les sous-traitants.
« On ne peut être parfait à 100 % en cette matière, car on peut toujours s’améliorer. Mais si vous documentez tout ce que vous faites, vous serez moins en difficulté lorsqu’il faudra répondre aux questions », conclut-elle en rappelant que son organisation organise sur une base mensuelle des webinaires sur la conformité en matière de protection des renseignements personnels.
La CAI a créé un site web, qualifié d’espace évolutif, où elle fait le point sur les modifications apportées par la loi 64 et les nouvelles obligations qui incombent aux entreprises.
À lire également sur le même événement :
- Une bourse de 10 000 $ pour un actuaire entrepreneur
- Technologies : l’Autorité des marchés financiers fait le point
- Contrat expliqué par machine : ce n’est pas pour demain, mais ils y travaillent
- L’intelligence artificielle en assurance : chaque assureur doit trouver le bon équilibre
- Virage numérique : les assureurs canadiens rattrapent un peu leur retard
- Culture d’innovation : un équilibre délicat à maintenir
- Fierté et valorisation pour attirer les talents en assurance