L’actualité ne cesse de nous démontrer que la protection des données que vous collectez sur vos clients et employés est un enjeu important. Le récent exemple des Caisses Desjardins est criant, mais de très nombreuses compagnies sont victimes de fuites d’informations ou de piratage.
Vous devez avoir un plan qui est à la hauteur des données que vous récoltez. Comme dans tout, votre degré de responsabilité est proportionnel au dommage qui peut découler d’une brèche. Se faire voler une liste de courriels est une chose, se voir subtiliser la même liste associée au nom, prénom et numéro de téléphone de chaque individu en est une autre.
Au Canada, vous devez être transparent avec ceux sur qui vous recueillez les données. Vous devez donc indiquer comment ces données seront utilisées. Collectez seulement celles qui sont nécessaires à l’accomplissement des objectifs dévoilés.
Autrement dit, ce n’est pas important d’avoir la date de naissance de quelqu’un si vous souhaitez lui envoyer une simple infolettre, mais cela pourrait se justifier si vous faites parvenir des messages différents selon l’âge de vos clients. La conservation des informations devrait aussi être restreinte à la durée d’utilisation uniquement.
En Europe, le Règlement général sur la protection des données renforce les droits des consommateurs. Si vous êtes actifs dans la zone économique européenne, vous devez vous y soumettre. On parle entre autres de droits de déréférencement, ou droit à l’oubli, et de portabilité des données. Ce dernier vous oblige à remettre les informations personnelles que vous avez collectées sur quelqu’un à sa demande dans un format intelligible. Vous devez aussi les transmettre à d’autres organisations selon son désir.
Comment éviter les fuites ?
Une fois que vous avez des données en votre possession, vous devez maintenant les protéger. Il n’y a malheureusement pas de méthode sans failles, mais vous pouvez certainement déployer plusieurs efforts.
Le premier est de vous prémunir contre les attaques informatiques. Ayez des systèmes à jour, de solides antivirus, des pare-feu et sécurisez votre réseau Wifi. Si cela sonne comme du charabia à vos oreilles, faites affaire avec des experts qui sauront vous aiguiller et vous proposer des solutions adaptées à vos besoins.
Malheureusement, vos failles les plus importantes se trouvent chez vos employés. Si quelqu’un à l’intérieur de votre organisation veut voler des données, ce sera difficile de l’en empêcher. Vous pouvez cependant lui nuire en restreignant l’utilisation d’appareils personnels au travail, en interdisant les clés USB ou autres disques externes sur les équipements de bureau (certains vont jusqu’à remplir les ports des ordinateurs de colle) et en décidant précisément qui a accès à quoi sur votre réseau. Assurez-vous de faire des copies de sauvegarde, de les garder dans un endroit sécuritaire et de détruire les données dont vous n’avez plus besoin.
Lorsque vous engagez quelqu’un, surtout à un poste névralgique, vous pouvez vérifier si ce qui est inscrit sur son CV est véridique et s’il a des antécédents judiciaires. Parfois, une enquête de crédit pourrait être justifiée. Vous pouvez également exiger des tests psychométriques. Tout cela augmentera vos chances de tomber sur des gens honnêtes.
Enfin, éduquez vos employés aux dangers auxquels ils peuvent être exposés. Connaître ce qu’est l’hameçonnage, les risques de travailler sur un réseau non sécurisé, d’éviter de cliquer sur des fenêtres contextuelles inappropriées constitue une base. Aussi, n’hésitez pas à leur faire signer un code d’éthique et une entente de confidentialité mise à jour périodiquement afin que le message soit et demeure clair.
Enfin, comme il est impossible de se soustraire à tous dangers, une assurance contre les risques liés aux données et l’atteinte à la confidentialité est importante. Les coûts découlant de ce genre d’attaque peuvent s’avérer très élevés et pourraient mettre votre entreprise en péril. Ce type de protection peut couvrir des frais juridiques, de remédiation (comme la surveillance du crédit de vos clients ou de relations publiques) et des pertes d’exploitations.
