Nouvelles technologies, nouvelles menaces : se mettre à niveau de façon efficace et sécuritaire

Comme la technologie joue un rôle croissant dans notre société, les organisations devraient s’assurer de connaître les meilleures pratiques en matière contractuelle, de protection de la vie privée et de réduction du risque associées aux technologies émergentes.

Voici cinq facteurs clés que les organisations devraient garder à l’esprit lorsqu’elles mettent en œuvre de nouvelles technologies :

1. Impartition de solutions numériques. De plus en plus, les entreprises mettent en œuvre de nouvelles technologies — telles que l’infonuagique, l’intelligence artificielle et l’apprentissage machine — afin de réduire les coûts, de générer de nouveaux flux de revenus, d’accroître le soutien à la clientèle et de se tailler un avantage concurrentiel. Dans la plupart des cas, ces entreprises concluent des ententes avec des fournisseurs de technologies à l’égard de ces nouvelles technologies. Les ententes technologiques relatives aux projets et aux mises en œuvre de technologies à grande échelle peuvent être complexes, et doivent être rédigées et négociées soigneusement pour s’assurer que toute nouvelle technologie soit mise en œuvre à temps, dans le respect des budgets et selon les spécifications souhaitées, et que tout service continu réponde aux objectifs du client.
2. Caractère raisonnable de la cueillette de renseignements. L’utilisation accrue de la technologie peut entraîner une cueillette excessive ou une utilisation et une communication de renseignements personnels qui n’ont aucun lien avec les fins auxquelles ceux‑ci ont été recueillis à l’origine (p. ex., une technologie mise en place pour des raisons de sécurité qui est utilisée ultérieurement pour prendre des mesures disciplinaires à l’égard des employés). Les organisations devraient s’assurer qu’elles recueillent uniquement des renseignements personnels à des fins raisonnables, qui sont communiquées aux personnes touchées, et uniquement dans la mesure raisonnablement nécessaire pour atteindre ces fins.
3. Sécurité et protection des données. Les organisations ont le devoir de protéger les renseignements personnels qui sont sous leur garde et leur contrôle. Les mesures de protection de la sécurité efficaces et appropriées requièrent trois niveaux fondamentaux de protection : une protection physique (p. ex., des classeurs verrouillés et des systèmes d’alarme); une protection administrative (p. ex., une protection de la vie privée dès la conception, des approbations de sécurité, des restrictions à l’accès, une formation du personnel et des contrats); et une protection technologique (p. ex., des mots de passe, des jetons sécurisés, un chiffrement, des pare-feux, une authentification à deux facteurs et des correctifs de sécurité).
4. Conservation et destruction des données. Les lois sur la protection de la vie privée permettent la conservation des renseignements personnels aussi longtemps qu’ils sont raisonnablement nécessaires pour atteindre les fins auxquelles ils ont été recueillis, y compris toutes les fins juridiques ou commerciales légitimes. Une fois que ces fins ont été atteintes, les renseignements personnels devraient être détruits de manière sécuritaire. Par conséquent, les organisations devraient s’assurer qu’elles sont dotées de politiques relatives à la conservation et à la destruction des données technologiques, et qu’elles les appliquent. Ainsi, elles doivent s’assurer que les données stockées, analysées ou traitées par des tiers fournisseurs de services (p. ex., infonuagiques) sont également détruites de manière sécuritaire conformément à des politiques relatives à la conservation et à la destruction des données appropriées.
5. Cybersécurité efficace. Les nouvelles technologies peuvent contribuer à des économies de coûts, à une sécurité accrue, à des gains d’efficience accrus et à un impact environnemental réduit. Toutefois, elles peuvent également faire naître de nouvelles menaces. Afin de réduire ces menaces, les organisations devraient faire preuve de vigilance dans le cadre de leur programme de cybersécurité, qui devrait inclure un plan d’intervention en cas d’incident, afin de s’assurer que toute violation de la cybersécurité soit traitée de la manière la plus efficace possible. Pour se doter d’un plan d’intervention en cas d’incident efficace, les organisations devraient : le rédiger en tenant compte des éléments clés (p. ex., l’équipe d’intervention, les procédures de notification, les procédures de documentation, les protocoles de communications avec les médias et les procédures d’enquête); le mettre à l’essai (p. ex., en simulant un incident et en ajustant le plan selon son efficacité); conclure des ententes avec des tiers fournisseurs à l’avance (p. ex., relations publiques, équipes d’enquête et conseillers juridiques externes) et les passer en revue régulièrement.

Vous avez plus de cinq minutes? Communiquez avec un membre de notre groupe Cybersécurité pour en savoir plus.