Canada 
Deutschland 
France 
México 
United Kingdom 
United States 
- Pour bien gérer une fuite de données, il faut savoir ce qui constitue un incident, appliquer le cadre et les politiques de l’organisation et communiquer efficacement avec les employés et le responsable de la protection de la vie privée.
- Il faut aussi intervenir rapidement et proactivement, puis réviser et mettre à jour les politiques.
- Une intervention efficace des RH après une fuite de données rassure les employés en leur montrant que l’organisation a à cœur la protection de leurs renseignements personnels.
- Savoir ce qui constitue un incident
Le niveau de gravité varie d’un incident à l’autre. Il peut être relativement faible, par exemple lorsqu’un ancien employé oublie de retourner des documents confidentiels, ou extrêmement élevé, comme dans le cas d’une attaque par rançongiciel. Dans bien des lois, ces deux scénarios sont considérés comme des incidents nécessitant une intervention rapide. C’est pourquoi il faut d’abord reconnaître la nature de l’incident pour déterminer la marche à suivre. Attention : le concept d’incident ne se limite pas aux cyberattaques. Tous les incidents doivent être signalés au responsable de la protection de la vie privée.
Une fois l’incident confirmé, le temps est venu d’appliquer le cadre et les politiques de l’organisation et de mobiliser les responsables qui interviendront sur chaque aspect de l’incident. Un bon plan renferme toujours une liste de personnes à contacter, par exemple des entreprises de cybersécurité, des assureurs et des experts en protection de la vie privée qui se grefferont à l’équipe d’intervention. Si l’organisation n’a ni politique ni programme complet, elle gagne à s’y mettre dès maintenant; c’est beaucoup plus difficile d’élaborer un plan pendant un incident. Malgré toutes les mesures de sécurité mises en place, aucune organisation n’est à l’abri d’un incident causé par un acteur interne ou une menace externe. D’où l’importance de bien se préparer.
Parfois, les professionnels des RH sont chargés de communiquer avec les employés et de répondre à leurs questions. Peu importe la situation – que ce soit un exercice d’évacuation en cas d’incendie ou une attaque par rançongiciel –, une communication claire et efficace facilite grandement les choses. Les professionnels des RH possèdent des compétences particulières qui en font des personnes-ressources de prédilection, surtout auprès des personnes bouleversées. Il faut également signaler l’incident dès que possible à l’équipe de protection de la vie privée de l’organisation. En communiquant sans délai avec le responsable de la protection de la vie privée, on atténue les dommages; en communiquant ouvertement avec les employés, on apaise leurs craintes et on dissipe l’incertitude.
En cas de fuite de données relatives aux employés, il est primordial de limiter rapidement les risques de préjudice. Une fois l’incident confirmé, le responsable de la protection de la vie privée doit en être informé immédiatement, car bien des lois prévoient des délais d’intervention très courts. Il est souhaitable de collaborer avec d’autres membres de l’équipe pour évaluer la situation, recenser les données contenues dans les dossiers RH, déterminer qui y avait accès et identifier les risques pour les personnes touchées. Les RH devront peut-être déterminer si des avis doivent être transmis aux employés ou aux autorités provinciales ou fédérales. Si l’organisation tient à jour un registre des données RH – nature des données, lieux de conservation, technologies tierces –, l’enquête sera plus courte, plus efficace et plus proactive.
Après un incident, les RH ont tout intérêt à réaliser un bilan pour faire ressortir les bons coups et les points à améliorer. Il faut s’interroger sur les causes de l’incident : Est-ce une cyberattaque? Des employés ont-ils eu accès à des renseignements qui auraient dû être protégés? Il est bon de prendre des mesures concrètes pour atténuer les risques semblables. Les lois prévoient généralement une obligation de diligence, pas une obligation de perfection. Bien qu’aucune organisation ne soit à l’abri des incidents, une intervention efficace des RH rassure les employés en leur montrant que l’organisation a à cœur la protection de leurs renseignements personnels.
Les professionnels des RH jouent un rôle névralgique dans la gestion des incidents de confidentialité touchant les données des employés. Grâce à une bonne compréhension de la nature des incidents, à l’application des cadres établis, à une communication efficace, à une gestion proactive de la situation et à une révision des politiques par la suite, les professionnels des RH contribuent à instaurer une solide culture de protection de la vie privée au sein des organisations.
Le groupe de pratique en cybersécurité et protection de la vie privée d’Ogletree Deakins publiera d’autres articles sur la cybersécurité et la protection de la vie privée dans le cadre de cette série. Le prochain article porte sur les bonnes pratiques de communication avec les employés après une fuite de données.
LinkedIn | Instagram | Webinaires | Balados
