ressources / revue-rh / volume-25-no-1

Informatique et protection des renseignements personnels : La vigilance est de mise.

La protection des renseignements personnels est une obligation légale. La Loi 25, modernisant des dispositions législatives en matière de protection des renseignements personnels, est venue récemment confirmer et raffermir les obligations des organisations en la matière. En voici quelques enseignements.
4 mars 2022

Plus de 800 CRHA et CRIA ont reçu une visite d’inspection, au cours de l’année qui vient de s’écouler. Lors de ces rencontres, l’inspecteur porte un regard extérieur sur les pratiques professionnelles du membre tout en gardant à l’esprit sa mission de protection du public. Lors de la discussion, l’inspecteur informe le membre agréé sur les risques d’agir de telle ou telle manière.

Cette année encore, les constats de non-conformité et les recommandations liées aux risques informatiques sont demeurés élevés. Le Comité d’inspection professionnelle relève principalement des enjeux liés à l’envoi, au partage, et à la conservation de renseignements personnels et confidentiels sous format électronique. Ces renseignements sont fort nombreux dans notre domaine d’activité, et leur divulgation inopinée demeure parmi les plus grands risques pour le public. La protection des renseignements personnels est une obligation légale. La Loi 25, modernisant des dispositions législatives en matière de protection des renseignements personnels, est venue récemment confirmer et raffermir les obligations des organisations en la matière.

En effet, comme professionnel en ressources humaines, vous traitez constamment des renseignements sur les employés, les candidats, les retraités. Ils vous confient en toute confiance tous les renseignements qui les concernent, leurs adresse, numéro de téléphone, date de naissance et numéro d’assurance sociale. Au fil du temps, vous serez en contact notamment avec des renseignements sur leur santé, leur famille, leur salaire, leur performance au travail. Imaginons simplement la mine d’informations que peut contenir une demande d’adhésion familiale d’un employé à l’assurance collective de l’entreprise.

Peu importe que l'on soit au bureau ou en télétravail, que l’on utilise un ordinateur, une tablette ou un téléphone intelligent, que l'information provienne de l’interne ou de l’externe, 

qu’elle soit sous format électronique ou sur papier, souvenez-vous que le professionnel a, en tout temps, la responsabilité de protéger et de sécuriser les informations qui lui sont confiées. Vous devrez donc prendre le plus grand soin de ces renseignements afin que personne qui ne soit autorisé ne puisse en avoir connaissance.

Se méfier des courriers électroniques

Peut-être avez-vous déjà entendu dire que l’information envoyée par courrier électronique n’est guère plus protégée que l’envoi d’un message par carte postale? Ainsi, la première étape pour protéger les informations envoyées par courriel consiste à utiliser une enveloppe dans laquelle vous mettrez vos messages. Il s’agit d’attacher les informations confidentielles dans un document distinct du corps du message. Ensuite, il faut protéger ce qui se trouve dans l’enveloppe. On utilisera alors un mot de passe et le contenu du document sera crypté. Malgré tout, envoyer de l’information par courrier électronique demeure risqué.

Imaginez maintenant que vous travaillez dans une forteresse. À l'intérieur de cette forteresse, on s’applique à minimiser le danger. Les informations qui y sont stockées sont protégées. Il s’agit des serveurs de l’entreprise ou des logiciels d’application que vous utilisez (SIRH ou ATS par exemple). Si la forteresse appartient à votre employeur, les gens du service des TI font le nécessaire pour la protéger des attaques dirigées contre elle. Si la forteresse est celle d’un fournisseur de service, il en fera tout autant. Dans ce bâtiment virtuel, vous pouvez demander à faire créer des salles communes avec les autres habitants, c'est-à-dire avec les autres employés et services de l’organisation. Il pourrait s’agir de répertoires partagés, d’arborescences communes ou de plateformes sécurisées de partage. Chaque personne autorisée pourra y déposer des documents communs, y ajouter des éléments et les partager à qui de droit en toute confiance. Les personnes non autorisées n’auront aucun accès à la salle sécurisée. C’est pourquoi vous devriez toujours favoriser cette manière de partager l’information plutôt que de l’envoyer par courriel.

En effet, pour poursuivre dans notre métaphore, pensons maintenant à la transmission de l’information par courrier électronique. Si vous disposez d’une forteresse électronique, questionnez-vous s’il demeure nécessaire de faire appel à un courrier qui, hors de la forteresse, subira les risques et les périls des grands chemins, plutôt que de partager ces informations en restant entre quatre murs. 

Si nécessaire, au lieu d’envoyer un document que vous devrez protéger, il vous suffira d’envoyer à votre interlocuteur la clé d’accès à votre document, c'est-à-dire un hyperlien menant au document sécurisé. Le système vérifiera l’identité du visiteur et vous informera de toute tentative d’intrusion malveillante.

Recueillir de l’information pour un fournisseur externe

Demander de l’information personnelle à un candidat ou à un employé doit pouvoir se justifier. Pensons par exemple à un formulaire d'autorisation de vérification d’antécédents judiciaires qui contient plusieurs renseignements personnels sur le candidat. Si vous demandez à un sous-traitant de valider l’existence d'antécédents, ne devriez-vous pas vous questionner sur la pertinence de demander vous-même ces informations au candidat, comme sa date de naissance ou son numéro d’assurance sociale, alors qu'elles ne vous sont d’aucune utilité? En effet, lorsque vous demandez de l’information personnelle pour répondre aux besoins d’autres parties, des sous-traitants ou des fournisseurs par exemple, votre propre responsabilité demeure pleinement engagée. 

De plus, vous devrez assurer la protection de cette information à chaque étape de son traitement ainsi que sa conservation et son archivage de manière sécuritaire. Il sera donc très important de rappeler les consignes de prudence lorsque vous demandez à une personne de vous faire parvenir une information confidentielle par courriel. Il faudra informer vos correspondants d’utiliser une méthode sécurisée pour vous faire parvenir de l’information confidentielle.

Une responsabilité partagée

Dans l’entreprise, la protection de l’information personnelle et confidentielle n’est pas une responsabilité qui revient seulement au service de ressources humaines ou au professionnel agréé. La nouvelle loi 25 nous rappelle que tous les domaines de l’organisation sont concernés par cette obligation. C’est pourquoi il est si important de partager vos préoccupations à cet égard avec votre spécialiste en informatique et avec les dirigeants de l’entreprise, dont le responsable de la protection des données. C’est en travaillant ensemble, avec les collègues et les partenaires, que nous trouverons les meilleures solutions permettant de répondre à nos obligations professionnelles et légales.