Le 8 mars dernier, on apprenait par exemple que les informations récoltées par les cybercriminels chez Indigo, qui a décidé de ne pas payer la rançon demandée, étaient bien plus sensibles que précédemment escompté. (Photo: 123RF)
RHéveil-matin est une rubrique quotidienne où l’on présente aux gestionnaires et à leurs employés des solutions inspirantes pour bien commencer leur journée. En sirotant votre breuvage préféré, découvrez des astuces inédites pour rendre vos 9@5 productifs et stimulants.
RHÉVEIL-MATIN. Au cours des dernières semaines, les géants canadiens Sobeys et Indigo ont été contraints d’annoncer à leurs employés — et à ceux qui les avaient quittées — que des pirates informatiques avaient potentiellement mis la main sur leurs données personnelles.
Au-delà des lois qui obligent les patrons à contacter les victimes rapidement à la suite d’un tel incident, cette délicate opération doit être exécutée avec compassion, car l’annonce d’une telle nouvelle peut créer son lot de détresse chez les individus concernés.
Ce que la loi prescrit
La Loi sur la protection des renseignements personnels et les documents électroniques est on ne peut plus claire quant au moment où une entreprise doit contacter un employé dont les données lui ont été dérobées.
L’«avis aux intéressés doit être remis dès que possible après que vous avez déterminé qu’une atteinte aux mesures de sécurité impliquant un risque réel de préjudice grave a eu lieu», est-il écrit.
Elle énumère aussi le genre de précisions que l’entreprise doit apporter dans cette communication, tout comme ce que l’organisation compte faire pour minimiser les risques des préjudices.
Le 8 mars dernier, on apprenait par exemple que les informations récoltées par les cybercriminels chez Indigo, qui a décidé de ne pas payer la rançon demandée, étaient bien plus sensibles que précédemment escompté.
La librairie a donc alerté directement les personnes visées, précisant au passage le genre d’informations dérobées et qui pourraient circuler sur le «dark-web», peut-on lire dans un article écrit par La Presse canadienne.
À moins que l’envoi d’un tel avis puisse «causer un préjudice accru à l’intéressé», «représenter une difficulté excessive pour l’organisation», ou que celle-ci n’ait pas les coordonnées de la personne, elle doit lui envoyer un avis direct.
À faire, et ne pas faire
Peu importe le genre de mauvaise nouvelle qu’une entreprise doit transmettre à ses employés, la conférencière en leadership, gestion et communication Annie Boilard recommande de suivre un canevas bien précis pour en minimiser les répercussions négatives.
Ainsi, après avoir informé les personnes directement touchées de la brèche de sécurité, l’organisation doit rapidement donner l’heure juste au reste de son équipe. «Idéalement on essaye de se voir. Certains vont passer par le téléphone, mais on évite de l’annoncer par courriel. On le fait suivre après», conseille l’experte.
Les premières phrases du message doivent faire preuve d’humanité. «“Ça ne nous fait pas plaisir’’, “on est mal à l’aise de vous dire…’’ on fait preuve d’émotion, tout en étant authentique et sincère. Ensuite, on va droit au but. On explique la raison de cette rencontre […] et on évite à tout prix de tourner autour du pot», précise la fondatrice du Réseau Annie RH.
Après avoir annoncé que des données sensibles ont été compromises, l’entreprise doit expliquer l’impact de ce malheureux événement sur les employés, mais aussi sur les clients qui pourraient être concernés. Elle doit clore son allocution par les ressources mises à la disposition de ses équipes pour en réduire les conséquences.
L’entreprise doit aller au-delà de la simple offre de protection d’Equifax ou TransUnion, selon Eric Provencher d’HUMANA conseil. «La qualité des mesures de rattrapage et le degré d’accompagnement offert aux employés sont très importants», écrit-il.
Elle peut par exemple «identifier un responsable à contacter et des accompagnements personnalisés au besoin. Elle démontre son sérieux dans la situation et ne se contente pas de déléguer» à une tierce partie.
La règle d’or ici, estime Annie Boilard, c’est la transparence. L’entreprise doit s’en tenir aux faits, et indiquer ce qu’elle connaît ou non dans les circonstances actuelles.
«Il ne faut pas attendre le moment parfait ou d’avoir toutes les informations en main pour en faire l’annonce. Quand je le sais, je passe à l’action quitte à dire “la prochaine étape, c’est…’’.»
Tous les salariés ne seront pas ébranlés de la même façon par la divulgation de leurs informations personnelles, rappelle l’experte. Le deuil d’un sentiment de sécurité pourrait se manifester très tôt chez certains, alors que d’autres pourraient prendre un peu de temps avant de digérer la nouvelle. L’entreprise devra donc demeurer alerte à tout signe de détresse dans les jours voire les semaines qui suivront.
«C’est reconnaître qu’on a eu une faille dans le processus, qu’on a failli à notre obligation légale, on met à risque nos employés, souligne Annie Boilard. Ça crée de l’insécurité et de l’anxiété.»
Eric Provencher est d’avis qu’une entreprise qui aura démontré par le passé le sérieux de ses mesures de sécurité mises en place devrait mieux s’en tirer qu’une autre qui au contraire semble «faire preuve de négligence».
Néanmoins, rappelle le psychologue organisationnel, «un lien de confiance, ça se construit sur le long terme, mais c’est fragile».
Pour ne plus rater ce rendez-vous, recevez votre RHéveil-matin dans votre boîte de courriels!