Importance du rôle des professionnelles et professionnels RH dans la cybersécurité et la protection des données personnelles
Dans le contexte actuel, le rôle des CRHA ǀ CRIA a considérablement évolué. Autrefois perçue comme une responsabilité réservée du service des technologies de l'information (TI), la cybersécurité, est désormais une préoccupation de premier ordre pour les RH. Les professionnelles et professionnels en ressources humaines doivent non seulement comprendre les enjeux de la protection des données personnelles, mais aussi jouer un rôle clé dans la formation et la sensibilisation du personnel en matière de cybersécurité. Cet article présente ce rôle en évolution et met en lumière les compétences et les responsabilités des CRHA et CRIA dans ce domaine, en lien avec la Loi 25 et le Code de déontologie de l'Ordre.
La cybersécurité : une responsabilité partagée
Vous le savez, les professionnelles et professionnels en ressources humaines font beaucoup plus que la gestion des talents, le recrutement et le développement des compétences.
Depuis quelques années, l'augmentation des cybermenaces et le vol de données personnelles a entraîné un renforcement de la cybersécurité, laquelle est devenue une priorité stratégique pour toutes les organisations. Nous ne pouvons plus nous permettre de déléguer ce rôle aux seuls spécialistes en TI. Nous devons comprendre que la cybersécurité est désormais une responsabilité partagée au sein de l'organisation.
Trois façons d’agir
Tout d’abord, puisque nous avons une responsabilité déontologique de gardiens des informations sensibles sur les employées et employés, nous devons nous investir dans la protection de ces données. Cela fait désormais partie de notre réalité et notre expertise sera sollicitée, notamment en matière de développement de politiques institutionnelles, d’implantation de processus et de communications internes. Rappelons que la Loi 25 impose, depuis 2022, des normes élevées en matière de protection des renseignements personnels et oblige les organisations à mettre en place une série de mesures pour s’y conformer.
Deuxièmement, une autre responsabilité importante des RH dans le domaine de la cybersécurité est la formation et la sensibilisation des employées et employés. Les cyberattaques exploitent souvent les faiblesses humaines, comme l’hameçonnage ou les mots de passe faibles. Nous devons former les employées et employés à reconnaître et à réagir rapidement aux menaces potentielles. Cela peut comprendre des séances de formation, des simulations d'attaques et surtout, la promotion de bonnes pratiques en matière de sécurité informatique.
Enfin, pour exercer efficacement ces nouvelles responsabilités, nous devons développer nos propres compétences en cybersécurité. Cela implique une compréhension approfondie des principes de base de la sécurité informatique, des menaces actuelles et de rigoureuses pratiques pour protéger les données personnelles.
En plus de tout ce qui est disponible sur le marché et internet, l’Ordre offre également, sur Carrefour RH, différents articles, formations et guides. Ces outils aident à rester à jour et à renforcer notre vigilance technologique. Et pourquoi ne pas développer la bonne habitude d’aller prendre un petit café avec votre équipe TI préférée de temps à autre pour en apprendre sur les dernières avancées en cybersécurité? Bref, il faut être technocurieux!
Protection des renseignements personnels : illustrations
Notre Code de déontologie nous demande de veiller à la protection des données que nous contrôlons. Pour ce faire, nous devons adopter des pratiques sécuritaires dans notre quotidien et reconnaître qu’il s’agit fréquemment de petits gestes. Saviez-vous qu’une majorité de cas détectés de non-conformité lors des inspections professionnelles sont liés aux échanges de données confidentielles par les CRHA | CRIA? Le transfert de données personnelles et confidentielles se fait malheureusement encore trop souvent par courriel. Les membres devraient privilégier d'autres moyens sécurisés tels que :
- Les plateformes sécurisées de partage de fichiers (ex. : OneDrive, Google Drive)
- Les services sécurisés de signature électronique de documents
- Les VPN (ou RPV pour réseaux privés virtuels) pour accéder aux données internes de manière sécurisée
- Les services de transfert de fichiers sécurisés (par ex. : WeTransfer)
- Les fonctionnalités de notifications et d’envoi de messagerie incluses dans nos systèmes d’information en ressources humaines (SIRH) souvent peu exploitées
Une autre bonne pratique consiste à valider sur une base régulière les mesures de sécurité mises en place pour prévenir les accès non autorisés aux différents logiciels et applications utilisés dans le cadre de nos fonctions. Fondamentalement, nous devons savoir à qui et comment sont donnés les accès aux informations personnelles et que ces accès soient octroyés aux personnes qui en ont véritablement besoin dans le cadre de leurs fonctions.
Ainsi, notre rôle dans la cybersécurité est plus crucial que jamais. Nous devons non seulement collaborer étroitement avec les services TI, mais aussi jouer un rôle important dans la formation des employées et employés, le développement de leurs compétences en cybersécurité et la conformité au cadre législatif en vigueur. En adoptant une approche proactive et en renforçant leur vigilance technologique, les CRHA et CRIA joueront pleinement leur rôle stratégique au sein de leur organisation.
Références
