Quelle est la responsabilité des entreprises concernant la protection de leurs données clients ?
Photo : Unsplash
21 octobre 2019
Simon Fontaine, président fondateur d’ARS, présente, dans sa chronique du jour, les conséquences d’une fuite de données pour une entreprise et les moyens de s’en prémunir.
Si votre entreprise est victime d’une attaque de cybercriminalité lors de laquelle les données de vos clients sont compromises, vous ferez l’objet d’une enquête et serez interrogé sur ce que vous avez fait pour éviter que cela ne se produise.
Et si la réponse n’est pas adéquate, vous pourriez être tenu responsable, faisant face à de sérieuses amendes et même à des poursuites judiciaires. Prétendre l’ignorance n’est pas une défense acceptable et ce cauchemar coûteux et destructeur de réputation tombera directement sur vos épaules…
La protection des données pour l’intérêt de tous
La cybercriminalité a grandement pris de l’ampleur depuis les dernières années. Le vol de données touche de plus en plus d’entreprises. C’est le cas notamment de Desjardins, Equifax et Capital One qui se sont récemment fait voler les données de plusieurs millions de clients.
Il n’y a pas seulement les grandes entreprises qui sont la cible de ces attaques. Au contraire, les PME sont souvent plus vulnérables par leur faible niveau de sécurité connu des malfaiteurs, mais on en entend moins souvent parler par manque de notoriété. Il ne suffit que d’un employé malveillant pour mettre en péril vos données confidentielles ainsi que votre crédibilité.
Les entreprises stockent une quantité importante d’informations sensibles sur leur clientèle. La fuite ou le vol de ces données pourrait entraîner de lourdes conséquences, irréversibles. Il est donc primordial de connaître vos responsabilités en tant qu’entreprise concernant la protection des données de vos clients et d’entamer les mesures préventives bien avant qu’un tel événement ne se produise.
Il est d’ailleurs dans l’intérêt de toute entreprise de protéger l’information de ses clients non seulement pour son image, mais aussi parce que cette initiative peut devenir un atout de fidélisation puisqu’une prise en charge optimale des données confidentielles va susciter la confiance des clients.
Comment protéger les données de ses clients ?
La collecte systématique d’informations personnelles auprès des consommateurs nécessite un traitement conforme à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) :
Les renseignements personnels ne peuvent être utilisés qu’aux fins auxquelles ils ont été recueillis. L’organisation qui entend les utiliser à d’autres fins doit, de nouveau, obtenir le consentement de le faire. Les renseignements personnels doivent être protégés par des mesures appropriées.
Le non-respect de cette loi pourrait entraîner la poursuite en justice de l’entreprise responsable, des recours collectifs très salés, la perte de nombreux clients et parfois même la faillite. Voilà pourquoi la sécurité devrait toujours être une priorité.
Il existe plusieurs façons d’éviter les fraudes et de protéger ainsi les données personnelles de votre clientèle. Tout d’abord, le respect du cadre légal est impératif. Une entreprise peut toutefois être conforme aux règlements, mais qu’en est-il de ses employés?
Il y a des dizaines de façons sournoises par lesquelles les employés volent, et cela arrive beaucoup plus que ce que les entreprises croient. Selon le site Statistic Brain, 75 % des employés ont volé leurs employeurs à un moment donné. Du vol d’informations à la fraude par carte de crédit, votre argent durement gagné peut facilement être volé au fil du temps.
Comment détecter si un employé vole des informations ?
Savez-vous ce qu’est un SIEM? C’est un système de gestion des événements de sécurité qui permet une détection plus efficace et plus rapide des incidents de sécurité qui seraient normalement passé inaperçus.
Ainsi, il vous permet de prendre des mesures défensives rapidement et d’éviter les pertes de temps en recherche et diagnostic. Vous minimisez donc les dommages et avez la preuve que vous avez mis en place ce qu’il faut pour prévenir le vol d’information.
Par exemple, si le SIEM détecte un comportement anormal de la part de l’un de vos employés, vous serez notifié et pourrez immédiatement prendre les mesures nécessaires. Vous saurez aussi si une personne non autorisée tente de se connecter à vos systèmes pour extraire des informations sensibles telles que des listes de prix ou des listes de clients.
Retrouvez tous nos articles liés à la cybersécurité ici.
Sur le même thème
Cybersécurité • Simon Fontaine
-
Cybersécurité : Plus d’un tiers des entreprises québécoises ne sont pas conformes au projet de loi 25 !
-
Cybersécurité : 3 raisons « fondamentales » de s’y intéresser dès maintenant
-
Comment se prémunir contre les nouveaux types de fraude en ligne ?
-
Cybersécurité: Si vous ne pouviez faire que ces 3 petites choses…
