Connaître les risques qui menacent les informations des clients

Depuis le 22 septembre 2023, les entreprises québécoises qui recueillent des informations personnelles ont l’obligation d’effectuer une analyse de risques afin de repérer les enjeux liés à la protection de ces renseignements.

Cette exigence découle de la Loi 25, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Bien qu’adoptée en septembre 2021, l’entrée en vigueur des dispositions de la loi a débuté le 22 septembre 2022 et s’est faite graduellement sur une période de trois ans.  

La Loi 25 a apporté plusieurs modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé.

Ainsi, les entreprises qui recueillent des données personnelles doivent désormais produire une évaluation des facteurs relatifs à la vie privée (EFVP), qui fait état des risques en matière de protection de renseignements personnels existants au sein de l’entreprise, de leurs avantages et de leurs inconvénients, ainsi que des outils mis en place pour les surveiller.

OBLIGATOIRE DANS TROIS SITUATIONS

L’EFVP est obligatoire dans trois situations :

• Si vous apportez des changements aux systèmes qui accueillent vos renseignements personnels.
• Si vous transférez des renseignements personnels sans le consentement des personnes concernées à des fins de recherche ou de statistiques.
• Si vous transférez des renseignements personnels à l’extérieur du Québec.

Ce dernier cas engendre des risques particuliers pour les entreprises financières, car il peut se produire de manière involontaire et passer facilement sous le radar, signale Emeline Manson, présidente de Cy-Clic, spécialisée dans la formation en prévention de la fraude et en cybersécurité.

Selon la spécialiste, les firmes de courtage sont souvent amenées à utiliser des outils ou des plateformes dont les serveurs sont hébergés à l’extérieur du Québec, tels que Teams ou Equisoft. « Dans ce cas, la loi demande de faire une étude d’impact pour savoir s’il y a des aspects positifs ou négatifs à faire affaire avec cette plateforme externe sur le plan des renseignements personnels. »

DONNÉES SENSIBLES

L’industrie financière, qui recueille des volumes importants de données sensibles sur les clients, que ce soit en gestion du patrimoine ou en assurance, est particulièrement exposée au risque de piratage des informations personnelles.

L’analyse des risques effectuée dans le cadre de l’EFVP aide à déceler d’éventuelles failles de sécurité dans les systèmes technologiques. « Le plus grand risque en cybersécurité est de tenir les choses pour acquises, d’aller dans la voie facile et de ne jamais se demander ce qu’on peut améliorer », indique Emeline Manson.

Pour se protéger des fraudeurs, une des premières étapes consiste à dresser un inventaire exhaustif des employés qui ont accès aux plateformes hébergeant les données personnelles des clients afin de savoir qui a accès à quoi et à quelles conditions, indique l’experte.

L’accès aux systèmes informatiques constitue un des plus grands risques, selon Emeline Manson. « C’est une porte d’entrée qui reste ouverte et que quelqu’un de mal intentionné pourrait emprunter parce qu’on ne la surveille plus. »
L’authentification multifactorielle, qui nécessite d’entrer un code reçu par texto ou courriel pour se connecter aux systèmes, offre un bouclier supplémentaire pour éviter le piratage en cas de vol du mot de passe.

On devrait également supprimer les courriels contenant des renseignements personnels tels qu’un spécimen de chèque, un numéro d’assurance sociale, des informations touchant aux finances ou à la santé, et plutôt sauvegarder les informations dans la plateforme de gestion de la relation client de l’entreprise. Il ne faut pas oublier de vider la corbeille de son ordinateur au moins une fois par semaine, rapporte la formatrice.

Un autre moyen de se protéger de la fraude consiste à créer un dossier partagé avec le client dans un espace de stockage infonuagique. On peut y téléverser et y archiver les données client de manière sécurisée, en plus de garder le contrôle sur les accès au dossier.

Les conseillers autonomes reliés à un agent général peuvent s’informer auprès de ce dernier pour savoir s’il a entrepris une démarche d’EFVP, car il dispose habituellement d’une panoplie d’outils en cybersécurité.