Ogletree Deakins Ogletree Deakins
Ogletree Deakins > Publications > Cybersécurité et protection de la vie privée : quel rôle pour les Ressources humaines? | Partie IV – communiquer efficacement avec les employés après une fuite de données

Cybersécurité et protection de la vie privée : quel rôle pour les Ressources humaines? | Partie IV – communiquer efficacement avec les employés après une fuite de données

Par Erin Schachter
Download PDFPrintShare

In today’s data-driven environment, effective communication during a cybersecurity breach is crucial for maintaining employee trust and confidence. This fourth article in our five-part series on employee data privacy focuses on strategies for effectively communicating with employees after a data breach.

The first article in this series provided an overview of privacy basics. The second article discussed five critical areas that HR may want to assess for potential risks related to breaches of employee data. The third article discussed five tips for communicating with employees following a data breach.

Important à savoir

  • Pour bien gérer une fuite de données, les RH doivent clarifier leur rôle au sein de l’organisation, se concerter avec le responsable de la protection de la vie privée et se préparer à répondre efficacement aux questions des employés.
  • Pendant cette période stressante, les RH doivent transmettre des messages clairs et uniformes, anticiper les questions des employés et fournir des réponses conformes aux politiques organisationnelles.
  • Comprendre le rôle des RH

Les RH ont tout intérêt à clarifier leur rôle au sein de l’organisation advenant un incident. Comme elles seront probablement le premier point de contact des employés, elles doivent avoir en main des éléments de réponse. Pour faciliter les choses, l’idéal est d’élaborer un plan d’avance. Les RH pourraient, par exemple, commencer par préciser leurs responsabilités en cas d’incident touchant les renseignements personnels. Comme première étape, en période calme, les RH peuvent discuter avec le responsable de la protection de la vie privée et revoir séparément les politiques ou les lignes directrices de l’organisation pour connaître les attentes envers leur service et voir s’il y a d’autres volets où elles pourraient intervenir pour protéger les données des employés. Les différents services gagnent à se concerter pour déterminer qui répondra aux questions des employés.

Les professionnels des RH sont souvent vus comme des personnes de choix pour répondre aux questions des employés. Pour s’y préparer, ils gagnent à réfléchir aux types de questions qui leur seront posées. Une bonne compréhension des caractéristiques de base de l’incident leur sera donc utile. Par exemple, les employés pourraient avoir peur d’avoir cliqué sur un courriel suspect, redouter d’éventuelles fraudes ou se demander à quel moment l’accès aux systèmes verrouillés sera rétabli. En réfléchissant d’avance aux sujets prioritaires, on facilite l’élaboration des réponses. Les RH pourraient par ailleurs être mandatées pour expliquer l’incident aux employés. Voici quelques questions fréquentes :

  • Les données des employés sont-elles compromises?
  • Si les employés n’ont pas accès à leurs courriels, comment recevront-ils l’information?
  • Si les employés reçoivent des communications suspectes après la fuite de données, à qui doivent-ils s’adresser?
  • Si les employés sont incapables de travailler, quelle est la date de retour prévue?
  • À quels risques les employés s’exposent-ils?
  • Quelles sont les circonstances et les causes de l’incident?
  • Quels gestes les employés doivent-ils poser? (implantation de l’authentification multifacteur, changement de mot de passe, etc.)
  • A-t-on communiqué avec la police ou un organisme de réglementation?
  • L’entreprise fournira-t-elle une protection ou une assistance aux employés (ex. : surveillance du crédit) si leurs données sont à risque?
  • Cet incident amènera-t-il des changements dans les politiques ou les pratiques de sécurité des données?
  • Comment informera-t-on les employés des mesures en cours?

En réfléchissant d’avance à ces questions, les RH pourront y répondre plus rapidement. Les RH gagnent par ailleurs à nouer des liens forts avec le personnel des TI ou l’équipe de sécurité des données avant tout incident pour pouvoir compter sur des personnes-ressources de confiance en temps de crise. Bien que chaque incident soit unique, on communique plus efficacement avec les employés si on a déjà une idée générale des questions susceptibles d’être posées et des personnes capables d’expliquer les points techniques.

Pour communiquer efficacement, les RH devront sans doute collaborer avec le responsable de la protection de la vie privée de l’organisation et avec des experts externes. Formuler d’avance des réponses aux questions prévisibles assure une meilleure adéquation avec la mission et la culture de l’organisation. Des réponses soignées et transparentes mettront les employés en confiance. Les RH peuvent s’interroger aussi sur la fréquence des communications : est-il préférable de communiquer un seul message uniforme ou de transmettre les nouveaux renseignements au fur et à mesure? Les RH peuvent également préparer un modèle de document qui prévoit d’avance les principaux points à communiquer aux employés et qui précise la chaîne de commandement ainsi que les attentes envers les RH. Ce document peut comprendre notamment les réponses aux questions ci-dessus.

L’information doit être présentée en termes clairs et simples, sans jargon technique ou juridique. Les RH gagnent aussi à prévoir un moyen de joindre les employés advenant une attaque à grande échelle qui paralyserait l’accès aux courriels. Certaines organisations mettent en place une ligne téléphonique ou un centre d’appels. D’autres créent une chaîne de textos ou d’appels : chaque chef de service reçoit un appel, puis appelle ses employés pour leur faire suivre l’information. Enfin, il est possible de mettre en place, avec l’aide de l’équipe TI et sécurité des données, une application mobile sûre pour la communication des renseignements importants. Les RH ont tout intérêt à réfléchir aux moyens de communication, à créer d’avance une structure et à conserver celle-ci en format hors ligne. Ainsi, elles pourront intervenir efficacement même si les systèmes sont inaccessibles.

  • Prioriser l’uniformité

L’uniformité des communications est primordiale. Les responsables des RH doivent donc inculquer aux membres de l’équipe l’importance d’une communication unifiée. Ils peuvent également désigner un seul porte-parole qui répondra aux questions des employés sur l’incident. Si plusieurs porte-parole sont désignés, il vaut mieux préparer un texte standardisé auquel ils pourront se référer. On favorise ainsi l’uniformité et la fiabilité des réponses. Les RH peuvent aussi prendre en charge la préparation d’une réponse uniforme pour toutes les équipes. Ainsi, les employés recevront toujours les mêmes renseignements clairs et fiables, quel que soit leur point de contact.

Le personnel des RH autorisé à communiquer avec les employés au nom de l’organisation doit le faire de façon claire et efficace. Dans un premier temps, son rôle consiste à informer les employés, à s’assurer qu’ils comprennent ce qui se passe et à leur dire qu’ils peuvent communiquer avec un responsable des RH autorisé qui pourra répondre à leurs questions. Désigner des personnes-ressources pour les employés contribue à réduire leur stress pendant cette période difficile. En situation de crise, c’est rassurant de pouvoir compter sur une personne formée et prête à donner des réponses soignées, ciblées, uniformes et fiables. Dans le cadre du plan d’intervention en cas d’incident ou de fuite de données, les RH agissent un peu comme un répartiteur du 911. Le répartiteur est là pour communiquer les renseignements nécessaires lorsqu’il y a urgence, désigner l’équipe qui interviendra et coordonner les deux groupes pour assurer l’efficacité des échanges.

Conclusion

Gérer une fuite de données n’est jamais facile. Heureusement, une communication efficace contribue beaucoup à apaiser les craintes des employés. En ayant une bonne compréhension de leur rôle, en anticipant les questions, en préparant des réponses claires, en priorisant l’uniformité et en communiquant efficacement, les RH favorisent le maintien d’un climat de confiance au sein de l’organisation.

Le groupe de pratique en cybersécurité et protection de la vie privée d’Ogletree Deakins publiera un autre article sur la cybersécurité et la protection de la vie privée dans le cadre de cette série. Ce dernier article traitera des obligations éthiques des RH en matière de protection des données des employés, notamment quant au respect des lois et des règlements et à la promotion d’une véritable culture de protection de la vie privée.

Pour nous suivre

LinkedIn | Instagram | Webinaires | Balados

Auteur

Erin Schachter
Associate, Montréal

Pour aller plus loin

Podcasts Seminars Webinars

Sign up to receive emails about new developments and upcoming programs.

Sign Up Now