Faites attention aux données personnelles de votre personnel
Catherine Charron|Édition de la mi‑novembre 2022Des informations privées, comme un numéro d’assurance sociale, par exemple, sont souvent demandées par courriel aux employés, ce qui représente un risque. (Photo: 123RF)
La gestion des renseignements personnels des travailleurs est un défi qui gagne en complexité, et toutes les entreprises ne sont pas adéquatement équipées pour le relever.
En effet, l’Ordre des conseillers en ressources humaines agréés (CRHA) révélait en mars 2022 que la majorité des 800 professionnels évalués traitaient de manière non conforme les renseignements de leurs collègues, et ce, même si les organisations doivent s’en soucier depuis au-delà de 30 ans.
Le problème résiderait dans la transmission et le stockage de l’information. «On ne choisit pas toujours le bon véhicule pour l’acheminer […] même entre les personnes autorisées à la consulter», explique la directrice générale de l’Ordre, Manon Poirier. Afin de minimiser le risque de compromettre ces renseignements confidentiels, chaque étape du cycle de vie de ces données doit être examinée afin de repérer les menaces qui les guettent et d’adopter les mesures de protection appropriées, énumère Jean-Philippe Racine, président du Groupe Cyberswat. «Il faut s’assurer que la collecte, la transmission et la conservation sont sécuritaires, du dépôt de la candidature du travailleur jusqu’à après son départ de l’organisation», précise-t-il. Le hic, selon lui, c’est qu’une importante quantité d’informations superflues sont collectées, sans compter qu’elles se trouvent bien souvent stockées en double, voire en triple, dans les infrastructures numériques.
«On demande par exemple d’envoyer le numéro d’assurance sociale par courriel, sans le crypter. Il suffit que le message soit intercepté […] ou que la boîte de réception de la personne responsable de la collecte des données soit piratée pour qu’il soit volé. On n’a même pas besoin de s’immiscer dans la base de données de la paie», met-il en lumière. La spécialiste des examens virtuels de Québec, Solution Nexam, a tiré une conclusion similaire au cours de son long cheminement pour obtenir la certification CyberSécuritaire Canada en 2022.
«On a fait l’inventaire des données collectées, d’où elles sont stockées et de comment elles sont gérées. Notre philosophie, c’est d’en héberger le moins possible, quitte à les redemander au besoin, indique sa cofondatrice et directrice des opérations, Marie-Sophie Dionne. On se demande toujours “si on se fait pirater, comment pourrait-on justifier d’avoir gardé cette information ?”»
Or, bien des entreprises ne réalisent pas l’ampleur des renseignements personnels dont elles disposent, observe Jean-Philippe Racine. «Quand les obligations de conserver ces informations [qu’elles soient imposées par les normes du travail ou le régime fiscal] arrivent à échéance, l’entreprise doit les détruire», martèle-t-il. Le projet de loi 25, qui modernise la protection des renseignements personnels des Québécois, vient d’ailleurs réaffirmer l’importance d’une meilleure hygiène et confidentialité de sa base de données, autant pour les clients que pour les employés, affirme Kateri-Anne Grenier, associée du cabinet d’avocats Fasken. Or, si la nouvelle loi crée une infraction lorsque des informations sont conservées au-delà de la période permise, elle ne «fixe pas de calendrier de conservation», prévient l’avocate. Chaque entreprise doit donc déterminer combien de temps elle devra garder ces renseignements.
Un tel exercice n’est pas simple, concède la PDG de l’Ordre des CRHA, qui a tenté d’établir des barèmes pour aiguiller ses membres:«On a tendance à croire que s’en débarrasser le plus tôt est le mieux, mais s’il arrive une plainte parce qu’une personne pense avoir été discriminée lors d’un processus d’embauche, il faut garder ses notes pour pouvoir expliquer sa décision.»
Les principaux amendements
Jean-Philippe Racine comme Kateri-Anne Grenier témoignent d’une hausse de la sollicitation de la part des entreprises québécoises en prévision de l’entrée en vigueur d’amendements supplémentaires à la loi en septembre 2023 et 2024.
Deux éléments créent principalement des électrochocs, disent-ils: l’obligation d’avertir la Commission d’accès à l’information et les individus concernés lorsqu’il y a un risque sérieux de vol de renseignements personnels, et les conséquences financières plus importantes.
«On se retrouve maintenant avec une loi qui a des dents, qui est capable de punir les délinquants et qui a les moyens de ses ambitions», affirme l’avocate.
En plus du régime pénal, qui peut imposer des amendes allant jusqu’à 25 millions de dollars (M$) ou de 4 % du chiffre d’affaires mondial de l’entreprise, la Commission d’accès à l’information pourra elle aussi imposer des sanctions pécuniaires allant jusqu’à 10 M$, ou 2% du chiffre d’affaires mondial.
Le consentement devra aussi être donné par les employés afin que leur patron puisse faire «du profilage, de la géolocalisation, et l’identifier», précise Kateri-Anne Grenier. Les cartes d’accès ne seront pas illégales, par exemple, mais leur recours doit être divulgué et l’employé doit consentir à l’activer.
«Ce sont de gros changements, et il faut prendre les bouchées doubles. On ne se le cachera pas, ce sont des coûts importants, et la loi ne fait pas de distinction entre petite et grande entreprise», souligne l’avocate de Québec. Ça aura pris un an et beaucoup d’accompagnement à Solution Nexam pour se conformer aux nouvelles réglementations en vigueur. Toutefois, bien qu’elle ait reçu le sceau d’approbation, le risque zéro n’existe pas, constate Marie-Sophie Dionne, pour qui la cybersécurité est primordiale. «Le travail n’est jamais terminé, d’autant que la norme va changer en janvier 2023, souligne-t-elle, [… mais] on veut être parés à toutes éventualités.»