Canada 
Deutschland 
France 
México 
United Kingdom 
United States 
- Les RH gagnent à évaluer cinq grands facteurs pour réduire les risques de fuite de données : insuffisance du cadre de protection de la vie privée, formation des employés sur leurs devoirs, transmission de données à l’extérieur de l’organisation, transferts internes de données et moments charnières du parcours d’un employé.
- Même si une politique est bien établie, il peut être difficile de la mettre en œuvre et de la faire respecter.
- De bons programmes de formation qui prévoient des mises au point aident les employés à mieux comprendre leurs responsabilités en matière de protection des données et de sécurité.
- Cadre de protection de la vie privée inadéquat
L’absence de cadre exhaustif pour la gestion des données des employés est un facteur de risque important. De surcroît, même les politiques bien établies sont parfois difficiles à mettre en œuvre et à faire respecter. Il faut absolument un cadre clair qui énonce les politiques sur l’accès aux données des employés et leur stockage, ainsi que sur les autorisations d’accès aux renseignements sensibles. Comme ils manipulent souvent des données confidentielles, les représentants des RH doivent bien connaître les attentes de leur organisation. Sans politique, les employés risquent de ne pas suivre les bonnes pratiques, ce qui augmente considérablement le risque d’incident.
Pour qu’un cadre de protection de la vie privée soit efficace, il faut que les employés comprennent leur rôle, sans quoi l’organisation prête le flanc aux cybermenaces. Les programmes de formation qui mettent l’accent sur la confidentialité et la sécurité des données sont essentiels pour rappeler aux employés leur devoir de protéger les renseignements sensibles et les risques associés aux mauvaises manipulations. Des mises au point régulières peuvent également être faites au rythme de l’évolution des pratiques et des exigences de la loi, pour réduire le risque d’erreur humaine pendant un incident.
Pour bien évaluer les risques, il est essentiel de comprendre comment les données des employés circulent dans l’organisation et en dehors de celle-ci. Nombre de services de RH utilisent des logiciels de tiers pour traiter la paie, faire les horaires et accomplir d’autres tâches de gestion, ce qui nécessite souvent la transmission de données sensibles. Le personnel des RH doit réfléchir aux conséquences de l’utilisation de ces outils, surtout pour ce qui est des données biométriques, de la surveillance des employés et de l’utilisation de l’intelligence artificielle pour le recrutement ou l’évaluation. En connaissant bien les risques et les obligations associés aux transferts externes de données, on peut atténuer les conséquences d’une éventuelle fuite. De plus, si les entrées et les sorties de données sont bien identifiées, le responsable de la protection de la vie privée de l’organisation aura plus de facilité à déterminer quels contrats il faut conclure pour bien protéger les données qui circulent entre des organisations. Le risque de fuite de données est décuplé en l’absence de mesures de protection rigoureuses, surtout si des tiers font preuve de négligence.
La circulation des données au sein de l’organisation n’est pas sans risque, particulièrement lorsque des données d’employés traversent des frontières. L’une des responsabilités des RH en matière de sécurité des données est d’assurer la conformité aux lois locales, car certaines régions ont des exigences plus strictes que d’autres. Par exemple, le transfert de données du Québec vers d’autres provinces canadiennes peut nécessiter un consentement explicite, un contrat et une évaluation des risques. Connaître les exigences et les normes de sécurité applicables permet d’éviter des amendes salées et de favoriser la transparence, surtout en cas de fuite de données. Pour aider leur organisation à bien protéger ses données, les RH peuvent voir les obligations en matière de protection de la vie privée de chaque territoire concerné comme une mesure d’atténuation du risque global.
Le parcours d’un employé ou d’un candidat comprend des moments charnières en ce qui a trait à la protection des données et la gestion des risques, dont l’intégration et le départ. Les obligations en matière de protection de la vie privée et les protocoles de sécurité sont généralement présentés aux nouveaux employés lors de leur intégration. Une bonne formation dès l’arrivée peut réduire de façon importante les risques. De même, au départ d’un employé, les RH peuvent collaborer avec les TI et d’autres services pour s’assurer du retour de tous les biens appartenant à l’entreprise et de la révocation des accès aux systèmes contenant des renseignements sensibles. Les RH peuvent aussi faire intervenir les TI pour s’assurer que les données des candidats sont correctement conservées et accessibles uniquement aux personnes qui ont besoin de les connaître. Une autre façon d’atténuer les risques associés aux départs est de bien structurer la communication entre les services.
La protection de la vie privée des employés et la gestion des risques sont des aspects fondamentaux du travail des RH. S’ils établissent un cadre solide, l’expliquent aux employés, surveillent la circulation des données, comprennent les exigences internes et portent une attention particulière aux moments charnières, les professionnels des RH peuvent mieux protéger les données des employés et l’organisation dans son ensemble. Lorsqu’elles sont mises de l’avant, la protection de la vie privée et la responsabilisation contribuent à maintenir le lien de confiance avec les employés et l’intégrité de l’organisation.
Le groupe de pratique en cybersécurité et protection de la vie privée d’Ogletree Deakins publiera d’autres articles sur la cybersécurité et la protection de la vie privée dans le cadre de cette série. Le prochain article s’attarde de plus près au rôle des RH en cas d’incident.
LinkedIn | Instagram | Webinaires | Balados
