""

Au-delà de la réglementation

12 mai 2021

Au-delà de la réglementation

Résumé
30 minutes de lecture

Comment respecter les exigences de protection des renseignements personnels dans le contexte de la COVID-19 tout en misant sur une approche d’amélioration continue.

Heloise Bedard
Heloise Bedard, MSc, CIA, CRMA, CGAP, PMP
Associée, Gestion du risque d'entreprise

Table des matières

Haut de la page

Le rôle essentiel de l’audit interne dans la gestion des risques

L’audit interne fait ressortir la nécessité de mettre en place des contrôles rigoureux. Il permet également d’harmoniser la façon dont les risques liés à la protection des renseignements personnels sont identifiés, compris et atténués, et ce, de la haute direction à la salle du courrier.

Cette fonction est particulièrement utile pendant les périodes de perturbation, où la gestion des risques ne semble pas pouvoir répondre rapidement et efficacement au changement. La protection des renseignements personnels et la sécurité des données sont des exercices périlleux. L’audit interne vous aide à composer avec ce terrain miné, qu’il s’agisse du déploiement d’un nouveau modèle d’entreprise, d’une transformation numérique ou de la réponse à une pandémie.

Amener les décideurs à se poser les bonnes questions

L’audit interne amène également les membres du personnel à comprendre les conséquences de leurs décisions et de leurs actions et à prendre des mesures pour les atténuer. Appliquée à la protection des renseignements personnels et à la sécurité des données, cette vigilance se traduit par un souci apporté aux processus de collecte, d’analyse et de gestion des données. On s’assure qu’elles servent aux fins prévues sans créer de difficultés ni contraintes supplémentaires.

La liste de questions suivante permet de dégager les façons d’agir, les comportements et les éléments d’appréciation recherchés en matière de protection des renseignements personnels :

  1. Quelles exigences réglementaires et légales doit-on observer?
  2. Sait-on où l’on peut trouver des renseignements personnels à l’échelle de l’organisation?
  3. A-t-on mis en place des politiques et des procédures pour la protection des renseignements personnels?
  4. Que fait-on pour assurer la protection des renseignements personnels à chaque étape du cycle de transmission de l’information?
  5. A-t-on mis en place un plan d’intervention en cas de cyberattaque et d’intrusion?
  6. Est-ce que l’on effectue un suivi du programme de gestion de la protection des renseignements personnels?
  7. A-t-on mis en place un processus qui permet de se pencher sur l’utilisation secondaire des données?
  8. Est-ce que l’on a bien cerné les risques qui sont liés à la protection des renseignements personnels?
  9. Est-ce que les nouvelles initiatives s’accompagnent d’une évaluation des risques liés à la protection des renseignements personnels?
  10. A-t-on évalué l’incidence de la COVID-19 sur notre programme de gestion de la protection des renseignements personnels?

Mieux comprendre comment la protection des renseignements personnels et la sécurité des données s’inscrivent dans une vision globale des risques organisationnels

Il est rare que les auditeurs internes traitent d’un sujet de manière isolée. Au contraire, ils sont là pour expliquer aux décideurs comment certains risques sont corrélés les uns aux autres dans un contexte donné. Par exemple, devrait-on procéder l’intégration rapide d’une nouvelle application ou courir le risque de perdre définitivement des clients dont les habitudes d’achat ont été modifiées par la pandémie? Quels sont les risques à la sécurité des renseignements personnels?

L’audit interne présente une vision panoramique de l’ensemble des risques, ce qui permet aux décideurs de faire les bons choix : Ainsi, non seulement l’organisation se protège contre les torts les plus susceptibles de survenir, mais elle se donne aussi les moyens de saisir les meilleures possibilités qui s’offrent à elle. 

S’assurer que les priorités et les contrôles opèrent comme prévu

Cela dit, il est difficile de garantir la conformité universelle d’une organisation, car elle ne peut pas prévoir tous les risques auxquels elle sera confrontée, et ce, même si elle procède à une évaluation minutieuse des risques ou qu’elle dispose d’un cadre opérationnel et d’un système de contrôle rigoureux. C’est pourquoi l’audit officiel demeure l’une des fonctions les plus importantes de l’audit interne. Dressant le portrait de la situation actuelle, les audits révèlent comment les pratiques actuelles isolent ou exposent l’organisation.

Au nombre des questions sur la protection des renseignements personnels et la sécurité des données auxquelles un audit officiel peut répondre, on note les suivantes :

  • Est-ce que les employés échangent couramment des renseignements confidentiels sur des plateformes non chiffrées (p. ex., des courriels)?
  • Est-ce que l’organisation utilise les renseignements personnels à d’autres fins que celles qui ont été divulguées?
  • Est-ce que l’organisation supprime les renseignements personnels de façon sécurisée lorsqu’elle n’en a plus besoin?
  • Est-ce que l’organisation a fait évoluer ses processus de manipulation et de stockage de données pour se conformer à la nouvelle réglementation ou à celle à venir?
  • Est-ce que les employés et les décideurs ont reçu une formation adéquate sur la transmission sécuritaire et responsable des renseignements personnels?

Les audits officiels se prêtent également à la simulation de l’incidence d’une brèche ou d’une fuite de données. La connaissance des forces et des faiblesses de l’organisation dans une situation donnée peut révéler a) les activités qui présentent le plus de risques à la protection des renseignements personnels; b) l’ampleur et la gravité probables de la compromission des données; c) à quel point il serait difficile de régler le problème; et d) les risques de dommages financiers, réglementaires et réputationnels. Ce genre de constat donne à réfléchir et est très efficace pour mettre tout le monde sur la même longueur d’onde afin d’assurer une gestion rigoureuse des risques. 

Quand faut-il faire appel aux services-conseils d’un professionnel en audit interne

  • Au moment de l’examen des risques associés à la protection des renseignements personnels et à la sécurité des données à l’échelle de l’organisation. 
    Planification annuelle des audits, évaluation de la maturité des programmes, harmonisation avec la nouvelle réglementation, etc.
  • Au déploiement d’une stratégie de transformation numérique.
    Automatisation des processus opérationnels, analyse des données, engagement client, etc.
  • À la mise en œuvre d’une nouvelle technologique. 
    Migrations vers des systèmes infonuagiques, PGI, gestion des relations clients, changement de fournisseur, etc.
  • À la présentation de nouveaux modèles opérationnels ou d’engagement des clients. 
    Commerce électronique, services à valeur ajoutée, ventes

Audit de la protection des renseignements personnels dans le contexte de la COVID-19

Travailler et collaborer à distance de façon sécurisée

L’audit interne permet de déterminer si les pratiques et les capacités opérationnelles de l’organisation en contexte de télétravail posent un risque d’atteinte à la protection des renseignements personnels.

L’audit serait axé sur les plateformes technologiques, nouvelles et existantes; présententelles des failles de sécurité? L’organisation pourra aussi vérifier si les employés ont adopté de bonnes pratiques de gestion des données et s’ils ont sécurisé leur matériel informatique contre les cyberattaques.

Favoriser un retour au travail en toute sécurité

L’audit interne permet également d’évaluer et de calculer les risques liés à l’adoption de nouvelles applications de dépistage de la COVID-19 et de la recherche de contacts.

La portée du mandat comprend l’évaluation des protocoles de sécurité des fournisseurs. De plus, il facilite la coordination avec les cadres supérieurs, les ressources humaines et les gestionnaires chargés du rendement pour veiller à l’application des politiques et des procédures de collecte et de gestion des données. 

Haut de la page

Partir du bon pied

L’élaboration d’une stratégie de protection des renseignements personnels dans le cadre d’un audit interne peut vous sembler titanesque, surtout si vous ne disposez pas d’un service d’audit interne ou si la protection des renseignements personnels ne fait pas partie de votre planification annuelle. Ne perdez pas de vue qu’il s’agit d’un processus continu et itératif. Au départ, faites de petits pas pour tâter le terrain et cerner les risques les plus pressants. Ensuite, servez-vous de ces informations pour améliorer la performance du programme.

Connaissance et compréhension du contexte

D’abord, il faut comprendre la place que les renseignements personnels occupent au sein de l’organisation, ainsi que la réglementation à laquelle ils sont soumis.

  • Dans quels territoires l’organisation opère-t-elle et quels sont les lois et règlements applicables?
    À titre d’exemple, toutes les organisations canadiennes doivent se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Les organisations qui ont des clients européens doivent respecter le Règlement général sur la protection des données (RGPD), etc.
  • Quels sont les renseignements personnels que l’organisation recueille, utilise, ou communique?
    Dans les faits, il est notamment question de données sur les employés ou les clients, ou encore d’informations recueillies par l’intermédiaire du site Web de l’organisation, de sondages, de courriels et d’autres correspondances, etc.
  • De quelle manière les renseignements personnels sont-ils recueillis et communiqués au sein de l’organisation?
    À titre indicatif, on pourrait mentionner qu’ils circulent au moyen des applications de gestion des relations clients, du PGI, de la gestion des ressources humaines et de l’analyse des données. De même, ils se trouvent dans les courriels, les feuilles de calcul, les dossiers papier, les serveurs de fichiers, les logiciels de comptabilité, etc.
  • Quelles sont les politiques et les procédures déjà en place en matière de protection des renseignements personnels et de sécurité des données?
    Quel cadre suivent-elles? À quand remonte leur dernière mise à jour? Sont-elles facilement accessibles? Les employés ont-ils reçu une formation adéquate? Est-ce qu’ils s’y conforment?

Définition des prochaines étapes

Une fois que vous aurez fait le point, vous pourrez commencer à planifier le programme de conformité de l’organisation. Consultez les décideurs et les experts pour vous attaquer aux risques et aux problèmes les plus criants. Renforcez la collaboration des parties concernées pour favoriser l’harmonisation des activités au sein de l’organisation.

Il faudra aussi commencer à intégrer les audits de la protection des renseignements personnels dans la planification des audits annuels. Selon la maturité du programme, le niveau de risque et le nombre de cadres réglementaires en cause, vous pouvez choisir d’effectuer des audits mensuels ou trimestriels supplémentaires d’ici à ce que la conformité de l’organisation soit assurée.

Intégration des fonctions d’audit interne aux autres activités de l’entreprise

Gérez les risques liés à la protection des renseignements personnels et à la sécurité des données de façon proactive, à mesure qu’ils se présentent. Comment? En participant aux initiatives mises en place au sein de l’organisation. Renseignez-vous auprès des cadres et des chefs de service afin de savoir sur quoi leurs équipes travaillent et si ces activités peuvent présenter de nouveaux risques.

Présentez l’audit interne comme une ressource utile qui peut contribuer à réduire les coûts, à gagner du temps et à augmenter les chances de réussite. Dans le meilleur des mondes, les décideurs et les agents de changement se tourneront vers l’audit interne avant de lancer une nouvelle initiative.

Voici quelques exemples de projets à haut risque auxquels vous devrez prêter une attention particulière :

  • Les migrations vers des systèmes infonuagiques (surtout s’il est question d’informations personnelles ou privées);
  • Les projets de transformation numérique et l’adoption de nouvelles technologies;
  • La mise en application de nouvelles politiques et de nouveaux processus de gestion des données;
  • Les nouveaux modèles d’entreprise (p. ex., le commerce électronique).

Importance accordée à la formation

Il incombe à tous les acteurs de l’organisation de posséder les connaissances et les compétences nécessaires pour traiter les renseignements personnels en toute sécurité. Collaborez avec les services de ressources humaines et des technologies de l’information pour mettre sur pied une formation de sensibilisation à la protection des renseignements personnels. À tout le moins, cela signifie que les employés sont tenus de connaître les politiques et les procédures de protection des renseignements personnels et de sécurité des données. Ils sont informés de tout changement apporté aux procédures et aux politiques, et savent comment elles s’appliquent à leurs activités et aux applications qu’ils utilisent.

Voyez s’il serait possible d’intégrer une formation sur la protection des renseignements personnels et la sécurité des données dans l’évaluation du rendement de chaque employé. Nombre d’organisations proposent des modules personnalisés, accessibles en ligne, sur la législation relative à la protection des renseignements personnels, les pratiques exemplaires et les écueils à éviter. La grande majorité des fuites et des brèches de sécurité se produisent à l’échelon individuel, si bien que cette solution peut s’avérer particulièrement intéressante pour les organisations qui souhaitent réduire les risques. 

Haut de la page

Réalisation d’un audit efficace de la protection des renseignements personnels

La protection des renseignements personnels doit faire partie intégrante du plan d’audit annuel. À l’instar des données qui éclairent les stratégies dans l’ensemble de l’organisation, les décideurs et les planificateurs ont besoin de données pour améliorer la collecte des renseignements personnels et leur gestion.

Définition de la portée et du contexte de l’audit interne

Chaque pays et territoire où vous exercez vos activités a ses propres lois sur la protection des renseignements personnels auxquelles vous devez vous conformer. L’audit doit tenir compte de cette législation et évaluer la situation par rapport à ce barème.

Commencez par dresser une liste de tous les lieux où vous exercez vos activités, où vos employés et vos clients sont citoyens, où vous avez l’habitude de recueillir, de traiter, d’utiliser et de communiquer des renseignements personnels. Ensuite, relevez les lois sur la protection des renseignements personnels (p. ex., la LPRPDE, le RGPD, etc.) qui vous concernent et les contextes d’application. Puis, faites l’inventaire des renseignements personnels qui ont été recueillis, traités, utilisés et communiqués – et voyez comment les différentes lois s’appliquent.

Ces informations vous aideront à élaborer votre plan d’audit et à le rendre opérationnel. Néanmoins, elles sont également très utiles pour formuler des recommandations sur les politiques et les procédures organisationnelles de protection des renseignements personnels. Elles permettent de tracer un chemin efficace vers la conformité de l’organisation.

Élaboration d’un modèle de risque adapté à votre organisation

À cette étape, il faut choisir un modèle de risque adapté à la portée de vos activités et à votre contexte. Vous pouvez vous appuyer sur un certain nombre de cadres référentiels pour faciliter le déroulement de votre audit et mieux comprendre les risques que présentent certains facteurs. Il est également possible de les adapter à votre secteur d’activité, à vos obligations réglementaires, et ce, en fonction de la maturité numérique de votre organisation.

Les options les plus courantes sont les suivantes :

  • Association canadienne de normalisation (CSA) – Les dix principes relatifs à l’équité dans le traitement de l’information
    Définis dans la LPRPDE, ces principes s’appliquent à toutes les organisations qui exercent des activités au Canada ou qui recueillent des renseignements personnels sur des citoyens canadiens.
  • Cadre de protection des renseignements personnels de la National Institute of Standards and Technology (NIST)
    Énoncé d’un ensemble de principes de gestion des risques, appliqués sur une base volontaire, pour aider à établir un vocabulaire et des objectifs communs à l’intention des équipes interorganisationnelles chargées d’atténuer les risques liés à la protection des renseignements personnels.
  • RGPD
    Règlement de l’Union européenne sur la protection des données à caractère personnel que les organisations doivent suivre lorsqu’elles exercent des activités sur son territoire ou quand elles recueillent des renseignements personnels sur ses citoyens.
  • Critères des services Trust à l’égard de la protection des renseignements personnels du System and Organization Controls (SOC)
    Cadre axé sur la technologie, à phases multiples, qui a pour but de vérifier la nature, l’utilité, l’ampleur, les processus et la séc

CSA/LPRPDE – Les dix principes relatifs à l’équité dans le traitement de l’information

Responsabilité

Nommer une personne qui sera responsable de la gestion, de la conformité et de la sécurité des informations à l’échelle de l’organisation.

Objectif

Définir toutes les utilisations primaires et secondaires des renseignements avant qu’ils ne soient recueillis.

Consentement

Recueillir, utiliser et communiquer uniquement les renseignements pour lesquels vous avez obtenu un consentement préalable de la part des utilisateurs.

Limitation de la collecte

Ne recueillir que les renseignements nécessaires aux fins déterminées, et procéder de manière honnête et licite.

Limitation de l’utilisation, de la communication et de la conservation

Les renseignements ne doivent être utilisés ou communiqués que pour les fins auxquelles ils ont été recueillis; et ils doivent être détruits de façon sécuritaire au terme de leur utilisation.

Exactitude

S’assurer que les renseignements sont aussi exacts, complets et à jour que possible afin de satisfaire les fins auxquelles ils sont destinés.

Mesures de sécurité

S’assurer que des contrôles de sécurité sont en place pour protéger les renseignements. La rigueur de ces contrôles doit être proportionnelle à la sensibilité de l’information.

Transparence

Faire preuve de transparence quant aux politiques et pratiques de gestion et de protection des renseignements. Rendre ces informations publiques et facilement accessibles.

Accès aux renseignements personnels

Répondre sans délai aux personnes qui demandent de l’information sur la nature des renseignements qui ont été recueillis, sur la manière dont ils sont utilisés et sur la façon dont ils sont conservés, et ce, dans un esprit de transparence.

Possibilité de porter plainte en cas de non-respect des principes

Permettre à toute personne qui le réclame de remettre en question la conformité de l’organisation avec le cadre de gestion de l’information.

Élaboration d’un plan de travail

En tenant compte du cadre de gestion des risques que vous avez adopté, faites l’inventaire des systèmes et applications, des services, des personnes et des tiers partenaires que vous devez inclure dans l’audit de la protection des renseignements personnels. Indiquez également les organismes de réglementation et les lois auxquels l’organisation doit se conformer. Donnez un aperçu des étapes à suivre pour bien évaluer la position de l’organisation sur les questions de protection des renseignements personnels et de sécurité des données, notamment, en répondant aux questions suivantes :

  • À qui allez-vous parler?
  • Comment allez-vous évaluer les habitudes et les comportements des employés?
  • Quels journaux système et quelles données historiques devrez-vous consulter?
  • Quelles initiatives ou quels projets à venir faudra-t-il évaluer?
  • Quels sont les éléments de non-conformité qu’il est essentiel de surveiller?

Enfin, comparez votre plan de travail avec les directives et les pratiques exemplaires qui sont décrites dans le cadre de gestion des risques que vous avez adopté pour vous assurer qu’il correspond toujours à vos besoins et à vos objectifs. 

Exécution de l’audit

Allez à la rencontre des parties intéressées pour mener des entrevues, rassembler la documentation pertinente, tester les contrôles et observer comment les utilisateurs et les systèmes gèrent l’information confidentielle. Étudiez les processus de protection des renseignements personnels et de sécurité des données de l’organisation pour déterminer :

  • S’ils sont en harmonie avec le cadre de risque que vous avez adopté;
  • S’ils se déploient comme prévu;
  • Si les utilisateurs se servent de ces processus comme prévu et prescrit.

Communication et application des leçons apprises

Prenez note de toutes les constatations et de leurs incidences immédiates et potentielles. Mettez l’accent sur les activités qui présentent des risques et des manquements importants à l’échelle de l’organisation. Servez-vous des paramètres définis dans le cadre de gestion des risques que vous avez adopté pour présenter vos observations en contexte.

Présentez les résultats, les réflexions et les recommandations dans un format convivial qui permettra aux décideurs de prendre des mesures concrètes sans délai. Ce rapport servira également de modèle aux futurs audits de la protection des renseignements personnels. 

Haut de la page

Affectation de ressources pour un audit efficace de la protection des renseignements personnels

En réalisant l’audit, il se peut que vous vous rendiez compte que l’organisation ne dispose ni des compétences ni de l’expertise nécessaires pour détecter les risques liés à la protection des renseignements personnels et formuler des recommandations à cet égard. Le modèle suivant peut vous aider à déterminer les compétences requises pour répondre à vos besoins et atteindre vos objectifs, ainsi que le moment où il serait judicieux de s’associer à un tiers.

Évaluation des capacités existantes

Faites le point sur l’expertise de votre équipe d’audit en matière de protection des renseignements personnels et de sécurité des données. Est-ce qu’elle possède les compétences et les qualifications requises pour effectuer une évaluation et formuler des recommandations sur les risques liés à la protection des renseignements personnels et à la sécurité des données? Si oui, vous pouvez déjà former une équipe dédiée à la protection des

Sinon, vous pouvez choisir de faire appel à des ressources externes ou bâtir votre équipe selon une combinaison hybride d’affectation de ressources externes et internes. Si le nombre de personnes qualifiées au sein de l’organisation est insuffisant, ou si le personnel ne dispose pas des compétences requises, il y a de bonnes chances que vous vous tourniez vers des ressources externes pour combler vos besoins.

Actualisation des compétences et de la formation

Faites de la formation continue une priorité; ainsi, le personnel responsable du programme d’audit de la protection des renseignements personnels acquerra le savoir-faire nécessaire pour être efficace. Voilà une occasion de parfaire ses connaissances et d’obtenir les certifications nécessaires pour étayer l’expertise acquise, les efforts mis dans le processus et les lignes directrices adoptées. Et surtout, il permet à votre organisation de rester au fait des dernières réglementations, technologies et pratiques exemplaires.

Recherche de partenaires compétents

Recensez les noms de fournisseurs de services bien établis pour répondre aux besoins éventuels. Faites appel à des organisations qui ont de l’expérience dans votre secteur d’activité, qui connaissent vos besoins et les risques qui vous guettent. En réalité, il vous faut, pour ce type de programme, un partenaire capable d’apporter les compétences et l’expertise qui manquent à votre organisation, surtout si vous envisagez un modèle d’affectation des ressources hybride.

Selon les capacités, la complexité et les objectifs de l’organisation, vous pourriez envisager de faire appel à plusieurs partenaires pour combler des besoins précis. Par exemple, un partenaire chargé de la conformité réglementaire et un autre, des contrôles techniques. Dans ce type de situation, la
communication et la coordination s’imposent.

Mise en place d’un modèle d’affectation des ressources

Suivez de près les capacités et les compétences de votre équipe d’audit à mesure que vous mettez en place des formations et des effectifs. Faites part de vos constatations aux membres de l’équipe, aux décideurs et aux fournisseurs tiers. Sollicitez leurs réflexions : y a-t-il des manques, des ressources sont-elles sousutilisées? Servez-vous de cette information pour optimiser votre modèle d’affectation des ressources. 

Haut de la page

La voie de l’avenir

Les capacités de collecte de données et d’analyse ont évolué de façon spectaculaire au cours des 15 dernières années et continueront de s’accélérer au cours des années à venir. Toutefois, le moment est peut-être bien choisi pour serrer les freins et recentrer les priorités sur les risques liés à la protection des renseignements personnels et à la sécurité des données, et déterminer si les pratiques et les procédures actuelles respectent les exigences de plus en plus rigoureuses.

Les États se préoccupent de plus en plus des renseignements que les organisations recueillent sur les citoyens et des mesures qu’elles prennent pour préserver la confiance du public. Les consommateurs, eux aussi, sont plus consciencieux que jamais au sujet de leurs droits à la vie privée et ont des attentes accrues quant à la façon dont les organisations recueillent, utilisent et protègent leurs données.

Quel que soit le degré de maturité de votre programme actuel de protection des renseignements personnels, le moment est venu d’y jeter un regard neuf. Les étapes suivantes vous permettront de vous aligner sur l’état actuel de la loi et pourraient même ouvrir de nouvelles perspectives pour accroître l’efficacité opérationnelle de vos données de manière sûre.

Connaissance des enjeux

Commencez par réaliser une analyse contextuelle pour mieux comprendre les risques qui pèsent sur votre organisation et votre secteur d’activité. Établissez l’ordre de priorité de ces risques par rapport à un éventail de facteurs, notamment :

  • Les types de brèches et d’attaques informatiques auxquels vous êtes le vulnérable;
  • Les coûts potentiels et les dommages que l’organisation pourrait subir si certaines données
    tombaient entre les mains de personnes mal intentionnées;
  • Les ressources et les coûts inhérents à la protection de systèmes et de données.

Vous devez également évaluer comment la COVID-19 a changé la gestion des risques liés à la protection des renseignements personnels et à la sécurité des données. Quels nouveaux modèles d’entreprise, processus et technologies votre organisation a-t-elle introduits? Ce nouveau contexte justifie sans doute l’application de nouvelles mesures pour la collecte et le stockage de renseignements confidentiels, et il a peut-être engendré de nouvelles vulnérabilités.

Il n’est pas concevable, ni même recommandé, de sécuriser toutes les activités opérationnelles de l’organisation. Les mesures de sécurité supplémentaires entraînent des coûts, sans compter que les renseignements ont besoin de transiter si l’on veut en tirer profit. Concentrez-vous d’abord sur les secteurs les plus vulnérables et les plus problématiques, pour ensuite vous assurer que les contrôles de sécurité sont classés par ordre de priorité et qu’ils sont en phase avec votre évaluation des risques.

Formation

Tous les membres de l’équipe doivent comprendre le rôle qu’ils sont appelés à jouer dans la protection des données. Demandez-vous si l’organisation favorise une culture axée sur la formation continue et la responsabilisation des employés. Ces derniers sont suffisamment préparés pour appliquer les pratiques exemplaires dans leur ensemble, ainsi que les politiques et procédures de gestion des données propres à votre organisation?

Dans la mesure du possible, assurez-vous que les modules sont adaptés aux droits d’accès aux renseignements personnels de chaque membre de l’équipe et faites le point sur les divers outils de gestion des données qu’ils utilisent. Assurez-vous que la formation est toujours pertinente et qu’elle favorise l’engagement des participants. Elle doit également mettre l’accent sur les risques auxquels sont confrontés les différents acteurs et services de l’organisation.

Saisir toutes les occasions de diffuser le message

La direction doit chercher à faire de la protection des renseignements personnels et de la sécurité des données un des principaux sujets de discussion au sein de l’organisation. Par conséquent, l’auditeur interne aura comme tâche d’inciter tous les intervenants à remettre à l’ordre du jour les recommandations, les mises à jour et les rappels récurrents qui ont trait à la cybersécurité et à la gestion des renseignements personnels, tout en encourageant les participants à poser des questions.

Plaidez en faveur d’une culture où les membres d’une équipe se sentent à l’aise d’émettre des réserves devant les gestes risqués et de dénoncer les pratiques qui sont contraires à l’éthique et à la conformité. Faites comprendre aux gens pourquoi il est important d’adopter des habitudes sécuritaires à l’égard des technologies informatiques, tant au travail qu’à la maison, d’autant plus que les deux milieux ne font plus qu’un pour un grand nombre de personnes.

Collaboration

Tissez des liens solides avec les dirigeants de l’organisation et obtenez leur adhésion à l’importance de la protection des renseignements personnels et de la sécurité des données. Tous les services se verront attribuer des objectifs et des priorités précis, ainsi que des indicateurs clés de performance. Faites de l’équipe d’audit interne un partenaire capable d’assurer la mise en œuvre responsable des nouvelles technologies et des nouveaux modèles d’entreprise.

Il faut faire preuve de souplesse et d’agilité, surtout dans un contexte marqué par la COVID-19. Néanmoins, les décisions qui sont prises à chaud doivent reposer sur une évaluation des risques. Pour ce faire, il faut garder la voie de communication ouverte entre le décideur et le spécialiste en gestion des risques.

Audit

Bouclez la boucle en mesurant continuellement l’efficacité des contrôles de sécurité. Menez des audits officiels en vous appuyant sur les cadres de protection des renseignements personnels décrits précédemment, et posez des questions :

  • L’organisation se concentre-t-elle sur les bonnes priorités en matière de risques?
  • Où l’organisation prête-t-elle le plus le flanc aux fuites de données ou aux intrusions?
  • Peut-on dire que les pratiques et les priorités en matière de gestion des renseignements personnels sont normalisées dans l’ensemble de l’organisation?
  • L’organisation est-elle en conformité avec toutes les politiques, procédures et exigences réglementaires?
  • Est-ce que les employés comprennent bien le rôle qu’ils ont à jouer, et sont-ils en mesure de manipuler les renseignements personnels de manière sécuritaire?
  • L’organisation a-t-elle adopté de nouveaux modèles d’entreprise ou de nouvelles technologies, et dans l’affirmative, est-ce qu’ils présentent des risques dont il faut tenir compte?

Les audits annuels ou semestriels exhaustifs ont toujours leur place. Toutefois, compte tenu du rythme des changements technologiques et culturels, surtout ceux qui découlent de la pandémie de la COVID-19, il est bon de se poser ces questions plus fréquemment.

Faites un bilan périodique des changements qui interviennent dans l’organisation, tant sur le plan technologique que structurel, et vérifiez dans quelle mesure ces changements compromettent votre capacité à protéger les renseignements des clients. De cette façon, les équipes d’audit interne pourront établir une passerelle entre les besoins toujours pressants de l’organisation et une logistique souple et sécuritaire.

À propos de MNP

Nos experts en audit interne travailleront avec vous à l’élaboration de mesures de contrôle internes adaptées à vos risques opérationnels critiques. Nous créons des solutions d’audit interne sur mesure et rentables qui vous permettront de mettre en place une gouvernance efficace, tout en fournissant à la haute direction de l’information fiable et pertinente.

MNP est un cabinet de comptabilité, de fiscalité et de services-conseils de premier plan au Canada. Nous sommes fiers de répondre aux besoins de nos clients des secteurs public, privé et sans but lucratif. Par l’intermédiaire de mandats dirigés par les associés eux-mêmes, nous proposons une démarche axée sur la coopération et l’efficience ainsi que des stratégies adaptées aux besoins des entreprises afin de les aider à connaître du succès, au pays comme à l’étranger. 

Pour plus d'information, communiquez avec Héloïse Bédard, Leader, Services de gestion des risques, au 438.469.4724 ou à l'adresse [email protected].

Points de vue

  • Performance

    31 mai 2021

    Plan d’intervention en réponse à la COVID-19 - Gouvernement du Québec – Soutien pour les Canadiens

    Gouvernement du Québec - Programmes des gouvernements fédéral et provinciaux

  • Performance
    ""

    Portée du budget de 2021 pour les concessionnaires

    Voyez les répercussions des mesures annoncées dans le budget fédéral de 2021 sur les concessionnaires.

  • ""

    18 mai 2021

    Le passage des PME au numérique

    Les événements récents ont mis en évidence la nécessité pour les PME de reconsidérer leurs outils, applications et systèmes de productivité et de collaboration en milieu de travail. Le progiciel de gestion intégré (PGI) réunit dans un seul système tous les processus commerciaux essentiels et constitue la pierre angulaire d’un arrière-guichet intégré.