close
Share with your friends
croquis de guépard

Confidentialité des données : prendre les devants

Confidentialité des données : prendre les devants

L'accès rapide à des données pertinentes et exactes est vite devenu l'un des plus importants avantages d'une organisation. Pourtant, le jeu du numérique peut s'avérer fatal pour celles qui omettent de protéger leurs informations sensibles ou qui les utilisent de façon irresponsable ou contraire à l'éthique. Comme une multitude d'outils et de systèmes alimentés par des données sont reliés au service des finances, la confidentialité numérique et une gouvernance efficace des données, en plus de la cybersécurité, doivent figurer à l'ordre du jour de tous les comités d'audit.

Il est bien vrai qu'à mesure que les organisations augmentent leurs capacités en matière de collecte de données et de gestion de l'information, la confidentialité et la protection des données gagnent en importance. Qu'elles soient implicites ou explicites, certaines règles de conduite en gestion de données doivent être respectées pour que le public accorde sa confiance aux technologies émergentes qui recueillent d'énormes quantités de données personnelles. Parmi ces règles, on peut se conformer à la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE ») du Canada, au Règlement général sur la protection des données (« RGPD ») de l'Union européenne et aux attentes des autorités de réglementation, qui évoluent constamment en réponse à l'environnement changeant des menaces et des risques liés aux données.

Les enchères montent

La sécurité des données n'a rien d'une nouvelle préoccupation. Cela dit, plusieurs éléments au sein du marché canadien contribuent à ramener le sujet au premier plan. D'abord, les violations massives de données continuent de croître en envergure et en étendue, tout comme les dommages légaux et les atteintes à la réputation qui en découlent. En retour, les autorités de réglementation tiennent les organisations davantage responsables de disposer des mesures de conformité et des contrôles adéquats pour prévenir ou gérer les atteintes à la vie privée ou pour reprendre les activités par la suite.

Les technologies sont également des déclencheurs. La multiplication des télécommunications à haut débit, des appareils numériques, de l'intelligence artificielle et des fonctionnalités avancées d'analyse de données a doté les organisations de nouveaux moyens d'exploiter leurs données. En contrepartie, ces technologies les exposent davantage aux cyberattaques, à la corruption des données et aux erreurs internes. Privée de la confiance de l'utilisateur final envers la capacité de l'organisation à protéger les données sensibles, même la plus prometteuse des initiatives technologiques est vouée à l'échec.

Bon nombre de raisons font en sorte que les comités d'audit doivent se soucier davantage de la gestion des données et se faire les champions d'initiatives en matière de confidentialité et de sécurité numériques. Outre qu'ils aident leur organisation à cerner et à protéger leurs données les plus précieuses, les comités d'audit peuvent collaborer avec d'autres services pour s'assurer que des contrôles suffisants en matière de confidentialité numérique sont en place et que les rôles, les processus et les responsabilités sont bien définis en ce qui a trait à la gestion des données. Ils peuvent aussi inciter la fonction d'audit interne à planifier des tests de confidentialité des données, à promouvoir la formation sur la confidentialité des données et à sensibiliser la haute direction aux menaces et aux pratiques exemplaires en matière de confidentialité numérique. Après tout, lorsque la direction prend des mesures concernant la confidentialité et la sécurité des données, elle protège non seulement l'intégrité du service des finances de l'organisation, mais aussi la santé à long terme et la réputation de celle-ci.

Le comité d'audit ne devrait pas assumer seul les responsabilités liées à la confidentialité et à la protection des données. Ses membres doivent toutefois faire preuve de diligence en s'assurant que les nouvelles technologies et les processus numériques soient mis en œuvre dans le respect intégral des règles sur la protection des renseignements personnels, que les contrôles relatifs à la gestion des données soient continuellement surveillés et testés, et que les données les plus précieuses de l'organisation soient virtuellement verrouillées à double tour. Grâce à une telle approche, l'organisation pourra mieux gérer son patrimoine de données et en savoir davantage sur ses clients tout en respectant leur vie privée.

Quelles questions les comités d'audit devraient-ils poser?

  • Quels types de données sont recueillies par notre organisation? Qui a accès à ces données? Comment sont-elles utilisées? À qui incombe la responsabilité de les protéger?
  • Faisons-nous preuve de transparence au sujet de nos méthodes de traitement de l'information? Est-il possible de consulter notre politique en matière de protection de la vie privée et est-elle facile à comprendre?
  • Avons-nous une approche fondée sur les risques afin de comprendre où se trouvent les risques en matière de confidentialité au sein de l'entreprise?
  • Avons-nous mis en place un programme de protection des données et adopté un code de conduite qui favorise l'utilisation responsable des données?
  • L'équipe de direction et/ou le conseil d'administration partagent-ils le même engagement envers la protection de la vie privée s'appuyant sur la stratégie d'affaires de l'organisation et chapeauté par un directeur de la protection de la vie privée?
  • Sommes-nous prêts à faire preuve d'une diligence raisonnable avisée comportant une position justifiable quant à notre exposition aux risques posés à la protection de la vie privée ainsi qu'à notre gestion de la confidentialité à l'échelle de l'entreprise?

« Le marché canadien présente plusieurs signes qui font de la question de la confidentialité et de la sécurité des données une priorité pour les hauts dirigeants. Comme les risques de vols et de violations de données s'étendent désormais au service des finances, les comités d'audit doivent faire de la confidentialité et de la cybersécurité une priorité à l'échelle de l'organisation. »

Sylvia Kingsmill, associée et leader nationale, Confidentialité numérique et gestion de l'information, KPMG au Canada
 

Vous voulez en savoir plus? Lisez le prochain article de notre série Accélération :

Communiquez avec nous

 

Vous voulez faire affaire avec KPMG?

 

loading image Appel d’offres