Dix trucs pour empêcher les employés de fureter

Mars 2016

Garantir que les renseignements personnels détenus par une organisation ne soient consultés que par les employés qui ont besoin d’en prendre connaissance, et ce, uniquement lorsque leurs activités professionnelles légitimes l’obligent, peut constituer un défi. Néanmoins, ce défi doit être relevé. Sans mesures de sécurité préventives appropriées, certains employés pourraient être tentés, par curiosité ou pour d’autres motivations (y compris des motifs pernicieux, comme l’appât du gain ou la volonté de causer du tort à une personne), à consulter des renseignements personnels sans autorisation et sans motif légitime lié à leur travail — en d’autres mots, certains employés pourraient être tentés de fureter.Note de bas de page 1

Selon le cinquième principe (4.5) de l’annexe 1 de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), les renseignements personnels ne doivent pas être utilisés ou communiqués à d’autres fins que celles pour lesquelles ils ont été recueillis. Le septième principe (4.7) stipule que les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité. Plus précisément, l’article 4.7.1 indique que les mesures de sécurité des organisations doivent permettre de protéger les renseignements personnels non seulement contre la perte ou le vol, mais aussi contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. L’article 4.7.3 précise que ces mesures de sécurité devraient comprendre des moyens matériels et des mesures administratives et techniques.

Même si l’accès non autorisé a été perpétré par une personne à des fins qui leur sont propres, l’obligation de rendre compte revient néanmoins à l’organisation qui conserve la responsabilité et l’obligation de protéger les renseignements personnels contre l’utilisation ou la communication non autorisées. Nous donnons ci-dessous des trucs, tirés de l’expérience du Commissariat à la protection de la vie privée du Canada CPVP en matière d’enquêtes dans ce domaineNote de bas de page 2, pour empêcher les employés de fureter et prévenir de telles situations.

Éduquer

1. Favorisez une culture de protection de la vie privée.

L’élément le plus important pour prévenir le furetage est probablement la culture de protection de la vie privée de l’organisation, parce qu’elle appuie l’efficacité de toutes les autres mesures. La mise en place de cette culture commence par l’établissement d’attentes et d’exigences claires envers les employés. Élaborez un ensemble exhaustif de politiques et de procédures en matière de protection de la vie privée, et transposez-les et mettez-les en place dans des pratiques concrètes, pour faire en sorte que les employés : i) comprennent que la protection de la vie privée est une valeur organisationnelle de base et ii) sachent ce que cela signifie dans le cadre de leurs activités de tous les jours. De plus, donnez au responsable de la protection de la vie privée de votre organisation (ou à un autre responsable) le mandat clair d’éduquer les employés, de surveiller la conformité, de faire enquête et de traiter les cas d’infraction. Lorsque l’on met à l’avant‑plan l’importance de la protection de la vie privée et des pratiques qui s’y rattachent, les employés sont moins enclins à fureter sans réfléchir, ce qui aide à éviter les incidents dus à l’impulsivité, aux malentendus ou à la curiosité.

2. Offrez une formation périodique ou « juste à temps » et des rappels des politiques sur le furetage.

Souvent, les renseignements au sujet de la protection de la vie privée qui sont fournis aux employés représentent seulement une partie de la volumineuse trousse d’orientation qu’ils reçoivent lorsqu’ils sont embauchés. Bien qu’il s’agisse là d’une bonne pratique, cela ne devrait pas être la seule fois où ces politiques sont présentées aux employés. Des rappels réguliers et une formation appropriée permettent de faire en sorte que les connaissances restent à jour. De plus, lorsque c’est possible, une organisation peut utiliser un rappel « juste à temps », il peut s’agir d’un simple autocollant sur un classeur ou d’un message contenant des renseignements clés sur les obligations des employés en matière de protection de la vie privée qui s’afficherait à l’écran au moment opportun.

3. Assurez-vous que les employés savent que les infractions entraîneront des conséquences.

Que ce soit en raison de leur curiosité, d’une demande d’une autre personne ou de l’attrait d’un gain financier, certains employés peuvent être incités à fureter. Il revient aux organisations de s’assurer que leurs employés soient au courant que le furetage peut avoir de graves répercussions. Les employés devraient comprendre que : i) le furetage peut entraîner des conséquences importantes, de même que des dommages, ii) l’organisation prend des mesures pour repérer et dissuader les auteurs des infractions, et iii) les auteurs des infractions devront en subir les conséquences. L’absence de l’un ou l’autre de ces trois facteurs aura un impact négatif sur l’efficacité des mesures d’une organisation visant à empêcher le furetage. Un bon moyen d’accroître la sensibilisation est de demander aux employés de signer (au moment de l’embauche et à intervalles réguliers par la suite) des ententes de confidentialité portant tant sur l’accès non autorisé que sur la communication de renseignements personnels.

Protéger

4. Veillez à ce que l’accès soit limité aux renseignements nécessaires pour remplir les fonctions du poste.

L’accès d’un employé aux renseignements devrait lui être accordé en fonction de son rôle. Cela peut vouloir dire, lorsque c’est possible, que l’employé peut avoir accès seulement aux renseignements détenus au sujet d’une personne qui sont de nature moins délicate, ou seulement aux renseignements concernant un nombre limité de personnes, que l’accès est limité à certaines périodes ou à certains endroits, ou que d’autres restrictions s’appliquent. Les organisations devraient également avoir en place des processus documentés pour accorder ou révoquer l’accès à des renseignements, selon les besoins (comme lorsqu’un employé change de rôle). Plus particulièrement, lorsque les renseignements sont de nature délicate, les organisations devraient utiliser des moyens matériels (p. ex. le verrouillage des classeurs) ou des mesures administratives (p. ex. politiques appropriées et conséquences) et techniques (p. ex. permissions d’accès restreint) pour prévenir un accès inapproprié « non intentionnel » aux renseignements des clients.

5. Permettez aux personnes de demander à ce que l’accès de certains employés à leurs renseignements soit bloqué.

Il peut y avoir des situations où une personne a une raison légitime de souhaiter qu’un ou plusieurs employés d’une organisation (p. ex. des membres de sa famille ou d’ex-conjoints avec lesquels la personne a une relation litigieuse) ne puissent avoir accès à ses renseignements personnels. Les organisations doivent donc avoir prévu des systèmes qui lui permettront de donner suite à de telles demandes. Il va sans dire que l’employé dont l’accès a été bloqué ne doit pas pouvoir contourner cette mesure.

6. Disposez de registres ou d’autres outils de surveillance.

De façon générale, l’accès inapproprié peut ne pas être décelé immédiatement. Des incidents peuvent être mis au jour au fil du temps ou à la suite d’une plainte. La mise en place de registres d’accès ou d’autres outils de surveillance permettra à l’organisation de faire enquête sur les allégations de furetage soulevées à l’égard d’employés et confirmer ou rejeter ces allégations par suite d’un examen de ces registres. La communication de ces mesures de surveillance aux employés joue également un rôle clé dans la dissuasion. Si les employés se rendent compte qu’il y a de fortes probabilités qu’ils se fassent prendre, il est effectivement fort probable que les employés soient moins enclins à fureter.

Surveiller

7. Surveillez et vérifiez de façon proactive vos registres d’accès et autres outils de surveillance.

En plus d’utiliser des registres d’accès pour faire enquête de façon réactive sur les incidents allégués, il importe que les organisations aient en place des mesures proactives pour surveiller tout accès non autorisé et vérifier si un tel accès n’a pas été décelé. De telles mesures de sécurité sont essentielles pour détecter et empêcher l’accès non autorisé par des employés, et sont particulièrement importantes pour les organisations qui, pour des raisons de service à la clientèle ou d’autres raisons, doivent permettre à leurs employés d’avoir largement accès aux renseignements sur les clients. Ceci peut se faire sous forme de vérifications régulières des employés ou de vérifications au hasard dans le cas des organisations de grande taille. De plus, tel que décrit ci-dessus, afin de maximiser la dissuasion, il convient de faire savoir aux employés que ces mesures proactives seront prises. En l’absence de mesures de détection proactives, les employés pourraient continuer indéfiniment de fureter, sans que la personne touchée, ni même l’organisation, ne soit au courant.

8. Sachez ce qu’est un accès « normal », pour être mieux en mesure de relever l’accès inapproprié.

Un employé a accédé aux renseignements personnels d’une personne donnée dix fois en une semaine, ou une fois par semaine pendant une année. Un autre employé a accédé une fois à 900 dossiers différents sur une période de deux ans. Ces comportements sont-ils le signe qu’il pourrait y avoir un problème? Les organisations devraient comprendre les tendances de base en matière d’accès qui se rattachent à différents rôles, pour mieux pouvoir relever les anomalies en matière d’accès. Des alertes peuvent ensuite être définies pour signaler à l’organisation les comportements potentiellement problématiques.

Intervenir

9. Faites enquête sur toutes les allégations de furetage soulevées à l’égard d’employés.

En raison de leur gravité potentielle, les allégations de furetage à l’égard d’un employé doivent être prises au sérieux. Lorsque le Commissariat est informé qu’un employé s’adonne à de telles activités, nous nous attendons à ce que l’organisation mise en cause puisse démontrer qu’elle a entrepris une enquête rigoureuse et opportune concernant toute allégation de fond et, lorsqu’il était approprié de le faire, a pris des mesures appropriées pour régler les cas d’accès non autorisé par un employé, atténuer les torts actuels et futurs causés à la personne touchée et réduire la probabilité que la même situation se reproduise (ce qui peut comprendre la révision des politiques, le renforcement des mesures de sécurité, l’accroissement de la surveillance ou des mesures semblables).

10. Lorsque les mesures proactives échouent, réagissez de façon appropriée.

Il y a des circonstances où aucune mesure proactive raisonnable n’aurait permis d’empêcher un employé de fureter ou de détecter de tels incidents. Dans ces cas, il est important que l’organisation réagisse de façon appropriée. Ceci peut notamment comprendre l’imposition de sanctions appropriées visant à empêcher le furetage (y compris des mesures disciplinaires), le signalement au CPVP et le signalement à la personne touchée (en lui donnant suffisamment de renseignements, comme la durée et la portée de l’accès, pour permettre à la personne de prendre les mesures appropriées pour atténuer les impacts potentiels de l’incident).

Le furetage représente un risque grave pour la protection de la vie privée; s’il n’est pas écarté, ce risque peut causer des pertes financières et des atteintes à la réputation importantes et de longue durée tant pour vos clients que pour votre organisation. En prenant les mesures appropriées pour atténuer ce risque, notamment en adoptant les pratiques décrites ci-dessus, les organisations peuvent faire beaucoup pour renforcer leur réputation à titre d’organisme sensibilisé à la protection de la vie privée, et surtout pour protéger les précieux renseignements que leurs clients leur ont confiés.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :