Cette version finale, qui est le fruit des modifications apportées au projet initial après les commentaires recueillis entre le 23 janvier et le 31 mars 2023, devrait aider les personnes et secteurs réglementés par l’ARSF à mieux gérer les menaces liées aux TI pour leurs systèmes, leur infrastructure et leurs données informatiques.

Dans celle-ci on retrouve notamment sept pratiques pour une gestion efficace des risques liés aux TI; un processus pour avertir l’ARSF en cas d’incident ainsi que des exigences sectorielles visant les caisses, les compagnies d’assurances constituées en Ontario et les assureurs réciproques ainsi que les administrateurs de régimes de retraite.

Parmi les changements apportés par rapport à la ligne directrice initiale, on notera :

• une modification de la date d’entrée en vigueur : celle-ci a été repoussée à avril 2024 (au lieu de juin 2023);
• une mise à jour dur délai de signalement d’un incident : il est maintenant demandé de rapporter l’incident « dès que possible, généralement dans un délai de 48 à 72 heures »;
• et davantage de souplesse dans la façon d’informer l’ARSF d’un incident important, notamment au moyen d’un portail sécurisé.

À noter que malgré ces lignes directrices, les entités réglementées sont tenues de respecter les exigences existantes concernant les risques liés aux TI et la protection des renseignements personnels, notamment les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques.

L’article Mieux protéger les consommateurs contre les risques liés aux TI est apparu en premier sur Finance et Investissement.

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi appelée Loi 25, apporte des modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé, signale la Commission d’accès à l’information (CAI), chargée de faire appliquer la loi.

Selon la loi, un renseignement personnel est un renseignement qui permet d’identifier une personne physique, directement ou indirectement. Il est confidentiel et ne peut être communiqué sans le consentement de la personne concernée.

Cependant, en vertu du second volet de la loi, « le nom, le poste et les coordonnées à titre de représentant d’une entreprise sont des renseignements personnels, mais ils ne sont pas confidentiels en vertu de la loi. Donc, il n’y a pas obligation de les sécuriser », indique Me Antoine Aylwin cochef, vie privée et cybersécurité, chez Fasken.

Une application par volet

Dans le premier volet entré en vigueur en septembre 2022, les entreprises faisant affaire au Québec et collectant des données personnelles devaient entre autres désigner un responsable de la protection des renseignements personnels et tenir un registre des incidents.

« Par défaut, le plus haut dirigeant d’une entreprise va être le responsable de la protection des renseignements personnels, c’est ce que la loi prévoit, tant qu’il n’y a pas de délégation […] », mentionne Me Antoine Aylwin.

Le second volet entré en vigueur en septembre 2023 comporte une série de responsabilités et d’obligations pour les entreprises.

Mentionnons, entre autres, l’établissement de politiques et de pratiques de gouvernance en matière de protection des renseignements personnels, l’obligation de transparence, l’anonymisation et la destruction des renseignements personnels lorsque la finalité de leur collecte est accomplie, l’évaluation de risque en matière de vie privée en certaines circonstances et le respect des nouvelles obligations relatives au consentement.

En cas de non-conformité, une entreprise peut écoper d’une sanction pouvant aller jusqu’à 25 000 000 $ ou 4 % du chiffre d’affaires mondial, et des sanctions administratives pécuniaires jusqu’à 10 000 000 $ ou 2 % du chiffre d’affaires mondial.

Le cas des banques à charte fédérale

Or, en ce qui a trait à l’assujettissement des banques à charte fédérale à la loi québécoise, « la question n’a pas encore été tranchée », souligne Me Antoine Aylwin.

« Ce qu’on constate en pratique, c’est qu’il y a beaucoup de banques à charte fédérale qui choisissent d’appliquer la loi sans faire le débat constitutionnel, à savoir que puisqu’elles sont une institution de juridiction fédérale, est-ce qu’elles peuvent se soustraire à l’application de cette loi provinciale ? […] »

Cela étant dit, « la question va devenir un peu académique », estime l’avocat, avec le projet de loi C-27 qui vise à modifier la loi fédérale sur la protection des renseignements personnels. « Puis, la loi fédérale, qui s’applique sans aucun doute aux banques à charte fédérale, va prévoir un régime de sanctions qui est très similaire au régime québécois. »

Une obligation quand on fait affaire au Québec

En revanche, pour les entreprises dont le siège social est à l’extérieur du Québec mais qui ont des activités dans la province, la situation est claire.

« À partir du moment où elles font des affaires au Québec qui impliquent la collecte de renseignements personnels, la loi va s’appliquer », dit l’expert.

En fait, précise-t-il, « la protection des renseignements personnels, c’est vraiment une double juridiction, c’est-à-dire que la loi où les individus sont présents s’applique à eux, à leurs bénéfices, plus la loi où se trouve le siège social ou l’endroit où les données sont traitées. »

Le télétravail ne fait pas exception

Pour ce qui est du travail à distance, les exigences de la loi s’appliquent également.

« Il faut les appliquer dans le contexte où on exerce nos activités. Donc, si on permet aux employés de travailler à l’extérieur de l’endroit physique du bureau, il faut qu’on ait une infrastructure qui leur permet de rencontrer les exigences de confidentialité qui sont prévues en vertu de la loi », explique l’avocat.

Quant au télétravail de l’étranger, c’est-à-dire à l’extérieur du Québec, il souligne que « la loi a une portée territoriale limitée au Québec ». La question de l’application de la loi se pose cependant lorsque les données sont hébergées à l’extérieur du Québec.

« Il y a une disposition spécifique dans la loi qui prévoit des obligations quand on veut héberger à l’extérieur du Québec des données de Québécois. Ça veut dire qu’il faut faire une analyse d’impact et prendre des mesures de protection. C’est vrai pour chacune des provinces et chacun des États américains. Ce sont toutes des juridictions qui sont différentes. Il faut donc refaire l’analyse à chaque fois. […] »

Les travailleurs indépendants aussi

Tout travailleur indépendant ou pigiste a aussi l’obligation d’appliquer la loi, s’agissant d’une entreprise solo.

« S’il recueille des renseignements personnels, il doit les sécuriser et les garder confidentiels. Depuis vendredi [Ndlr : le 22 septembre], il a une nouvelle obligation d’avoir des calendriers de rétention et de détruire les renseignements à l’issue du délai. Il doit pouvoir informer les individus sur la gouvernance des renseignements personnels. »

« La seule distinction entre les plus petites et les plus grandes organisations, précise l’avocat, c’est que quand une personne n’a pas de site Web, elle n’a pas besoin de mettre en ligne l’information sur comment elle gère les renseignements personnels. »

La loi 25 s’applique, par exemple, à un conseiller indépendant qui fait affaire avec un courtier.

« Dans la mesure où vous avez votre propre entreprise, eh bien, chaque entreprise a l’obligation de voir à la conformité de la loi. Il y a toute une interaction entre différents maillons dans l’industrie. Celui qui recueille les données et qui les confie à un autre doit s’assurer d’avoir un environnement contractuel adéquat pour protéger les renseignements. Depuis vendredi, la loi prévoit un minimum de ce qui doit être conclu dans les contrats de service, par exemple. […] »

Par ailleurs, l’avocat signale qu’avec l’entrée en vigueur du second volet, les entreprises qui ont des activités de sollicitation commerciale sans consentement des personnes, à partir de listes nominatives, ne peuvent plus le faire et doivent revoir tout de suite leurs processus.

Des éléments à considérer avec l’IA

Pour les entreprises qui utilisent des logiciels d’intelligence artificielle (IA), notamment les banques, « la loi s’applique peu importe la finalité, prévient Me Antoine Aylwin. Donc, à partir du moment où on puise dans une base de données qui contient des renseignements personnels, la règle du consentement s’applique. […] C’est soit un consentement, soit une exception au consentement ».

« Dans la mesure où on a un consentement, il faut qu’il soit libre et éclairé, ajoute-t-il. Il faut que les finalités qu’on recherche soient suffisamment bien exprimées pour que le consentement soit valide, ce qui pose un sérieux défi en matière de recherche avec des outils d’intelligence artificielle, parce que, parfois, on ne sait pas exactement ce qu’on cherche et ce qu’on va en faire comme utilisation. »

De plus, les renseignements inférés générés par l’IA sont considérés par la Commission d’accès à l’information comme des renseignements personnels.

« En partant d’un profil X, illustre Me Antoine Aylwin, on va vouloir, à l’aide d’un modèle d’intelligence artificielle, aller accoler un indice de risque à quelqu’un et ces données-là sont en soi des renseignements personnels. »

« Si on projette ça au milieu financier, on peut penser à tout ce qui est l’analyse de risque qui viendrait avec des outils d’intelligence artificielle. Ça veut dire qu’il faut avoir des consentements qui sont très élaborés pour pouvoir utiliser ces données […]. »

Un dernier volet à venir

En septembre 2024, le dernier volet de la loi entrera en vigueur. Les entreprises devront alors répondre aux demandes de portabilité des renseignements personnels, c’est-à-dire communiquer, à la demande d’une personne concernée, un renseignement personnel sous forme écrite ou dans un format technologique couramment utilisé.

Selon Me Antoine Aylwin, « les modalités et les exigences spécifiques de la loi, […] ce sont juste de moyens pour atteindre l’objectif qui est d’avoir un bon contrôle de ce qu’on fait avec les renseignements, ce qui implique de recueillir le moins de renseignements possible, de limiter l’accès au plus petit nombre d’employés possible, d’utiliser les données aux fins pour lesquelles elles ont été recueillies et de les détruire dans un délai raisonnable en fonction des utilisations ».

L’autre finalité de la loi, termine-t-il, « c’est d’être capable de renseigner les individus sur ce qu’on fait [avec les données recueillies] et de leur consentir le contrôle de leurs données − Est-ce qu’ils veulent nous fournir leurs données ? Est-ce qu’ils peuvent avoir accès à une copie de leurs données ? −, pour qu’ils puissent faire des choix éclairés sur leurs relations contractuelles ».

L’article Protection des renseignements personnels est apparu en premier sur Finance et Investissement.

Ces derniers pourront s’y reporter en ce qui concerne la prévention des incidents de cybersécurité et d’intervention, le cas échéant.

Intitulé Préparation à la cybersécurité, l’outil souligne l’importance que les intermédiaires doivent accorder « à la gestion des cyberrisques et à la promotion d’une culture où chacun comprend la portée de son rôle et l’apport qu’il peut avoir sur le niveau de cybersécurité de son organisation », peut-on lire dans le communiqué.

L’outil comporte des suggestions afin de faire de la cybersécurité une priorité au sein d’une organisation, en rendant disponibles l’expertise et les ressources nécessaires. Il indique comment les renseignements et les technologies devraient être protégés, puis aide à déterminer les risques pour une organisation ainsi que les mesures à mettre en place pour les prévenir. Enfin, il recommande d’avoir un plan de détection, d’évaluation et d’intervention en cas de cyberincident, qui comporte des mesures à prendre pour détecter les cyberincidents ou intervenir lorsqu’ils surviennent.

En terminant, les membres des OCRA rappellent que « les cybermenaces constituent un risque croissant qui pèse sans relâche sur le secteur de l’assurance » et « invitent donc les intermédiaires à examiner leurs pratiques actuelles de cybersécurité et à prendre toutes les mesures de préparation nécessaires en la matière ».

L’article Cybersécurité : un outil est créé à l’intention des intermédiaires en assurance est apparu en premier sur Finance et Investissement.

Comme son nom l’indique, cette loi prévoit des obligations concernant la protection des renseignements personnels qui s’imposent sur les organismes publics ainsi que sur les entreprises du secteur privé faisant affaire au Québec, que leurs activités soient ou non à caractère commercial. Par ce fait, elle modernise le cadre législatif afin de l’adapter aux différents enjeux de la réalité technologique d’aujourd’hui.

La Loi 25 donne davantage de contrôle et d’information aux individus en plus de bonifier les règles entourant le consentement quant au partage des renseignements personnels. Cette loi oblige par ailleurs les entreprises à adopter et à mettre en œuvre de bonnes pratiques visant à assurer la protection des renseignements personnels.

Cadre général d’application de la Loi sur le secteur privé

Tout d’abord, il importe de bien définir certains termes employés dans la Loi sur le secteur privé afin d’avoir une meilleure compréhension du présent texte et des différents concepts abordés.

La notion de « renseignement personnel » est évidemment au cœur de la Loi sur le secteur privé. Elle est définie comme étant « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier ». La Loi 25 apporte la modification de la définition par l’ajout du passage « directement ou indirectement », lequel entrera en vigueur le 22 septembre 2023. De manière générale, il est interdit de communiquer un renseignement personnel sans le consentement de la personne concernée.

La « personne concernée », quant à elle, fait référence à toute personne sur laquelle un organisme ou une entreprise détient des renseignements personnels. Il peut s’agir, par exemple, de clients, fournisseurs, employés, consultants et entrepreneurs indépendants, etc.

S’inspirant des lois fédérales et internationales ainsi que des recommandations émises dans les rapports de la Commission d’accès à l’information, la Loi 25 a pour objectif de définir « un encadrement moderne, évolutif et équilibré », surtout en matière de transactions commerciales. Le législateur, lors de la rédaction de cette loi, s’est efforcé de trouver un équilibre entre deux enjeux importants, soit un désir de mieux protéger et de contrôler les renseignements personnels et une volonté de ne pas accabler les organismes avec les nouvelles obligations (QUÉBEC, Assemblée nationale, Journal des Débats de la Commission des institutions, 1^re sess., 42^e légis., 22 septembre 2020, « Consultations particulières et auditions publiques sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », 15h00 (M. Jolin-Barrette)).

Application de la Loi lors des transactions commerciales

Avant la réforme de la Loi sur le secteur privé

Sous la version antérieure de la Loi sur le secteur privé, tout consentement pour la collecte, l’utilisation ou la communication des renseignements personnels à un tiers devait être donné de manière manifeste, libre, éclairée et seulement à des fins précises. Bien qu’il existât quelques exceptions où il était possible de communiquer des renseignements personnels sans le consentement de la personne concernée, la dérogation quant à l’obtention du consentement ne s’appliquait qu’à des cas spécifiques. Aucune exemption portant sur les transactions commerciales n’était prévue, donc le régime général nécessitant le consentement exprès était de rigueur.

De plus, la notion de consentement implicite n’existait pas sous la Loi sur le secteur privé. En vertu des exigences énoncées par l’article 14, « il en ressort que tout consentement donné doit être explicite et ne peut être implicitement sous-entendu » (Antoine AYLWIN et Karl DELWAIDE, « Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec », S.F.C.B.Q., Développements récents en droit des affaires, Cowansville, Éditions Yvon Blais, 2005). Seuls les consentements exprès sont alors valides. En pratique, requérir et obtenir le consentement de chaque personne pouvait devenir un obstacle aux entreprises qui négocient entre elles. Il était ardu lors d’une transaction commerciale, pour un vendeur diligent, d’obtenir le consentement de toutes les personnes concernées avant de divulguer des renseignements personnels.

En raison du fait que la Loi sur le secteur privé entraînait de nombreux problèmes liés à la gestion de renseignements personnels dans le cadre de transactions commerciales, une modification était nécessaire pour y prévoir des exceptions.

Après la réforme de la Loi sur le secteur privé

La Loi 25 prévoit plusieurs modifications à la Loi sur le secteur privé, dont l’article 18.4 en matière de transactions commerciales. Cet article prévoit une exception à la communication de renseignements personnels et à l’obtention du consentement de la personne concernée dans le cadre d’une transaction commerciale, pourvu que les conditions y étant énoncées soient évidemment respectées. L’article 18.4, alinéa 1 est entré en vigueur en septembre 2022 et indique notamment :

« D’abord, la transaction en question doit constituer une “transaction commerciale” conformément à l’article.

• Ensuite, la communication des renseignements doit être qualifiée de “nécessaire” pour la conclusion de la transaction.
• Enfin, les parties à la transaction doivent préalablement conclure une entente imposant les quatre conditions énumérées à l’alinéa 2 de l’article 18.4 pour la partie qui reçoit les données. »

La définition d’une transaction commerciale

La « transaction commerciale » a une définition différente dans les lois sur la protection des renseignements, selon les juridictions. Sa définition dans le projet de loi était plus restrictive que celle du fédéral et des autres provinces. Elle a donc été élargie afin d’inclure « l’aliénation ou [de] la location de tout ou partie d’une entreprise ou des actifs dont elle dispose, [d’] une modification de sa structure juridique par fusion ou autrement, [de] l’obtention d’un prêt ou de toute autre forme de financement par celle-ci ou [d’] une sûreté prise pour garantir une de ses obligations » (nos modifications).

La notion de nécessité

Selon le Dictionnaire de droit québécois et canadien d’Hubert Reid, la notion de nécessité « se dit d’une condition, d’un moyen que la loi impose pour la validité d’un acte » et fait donc référence à ce qui est « indispensable, dont on ne peut se passer ».

Dans le cadre des transactions commerciales, les renseignements personnels qui sont nécessaires varient selon la nature et les circonstances entourant la transaction en cause. On peut alors penser aux informations qui sont nécessaires pour permettre de mener à bien une vérification diligente, ou encore, pour permettre les représentations et les garanties faites par un vendeur, à titre d’exemple.

La notion de « mesures nécessaires »

Afin que l’entente conclue entre les parties soit valide selon l’article 18.4, elle doit prévoir, comme une des conditions d’application, que la partie qui recevra les renseignements personnels prenne « les mesures nécessaires pour assurer la protection du caractère confidentiel du renseignement ».

Les politiques et les pratiques visant à assurer la protection de ces renseignements doivent « être proportionnées à la nature et à l’importance des activités de l’entreprise ». Différents exemples de mesures de protection existent alors selon l’étape du cycle de vie d’un renseignement personnel.

La destruction des renseignements personnels

Selon la nouvelle version de la Loi sur le secteur privé, un renseignement personnel doit être détruit par la personne qui l’a reçu dès qu’une transaction commerciale n’est pas conclue ou si son utilisation n’est plus nécessaire aux fins de la conclusion de la transaction commerciale. Or, cette loi est silencieuse quant à la façon de procéder. Les autres lois en matière de protection de renseignements personnels ou bien les normes ISO sont alors d’excellentes sources d’inspiration.

Selon nous, il est nécessaire de s’assurer que les informations soient bien organisées et cataloguées de manière à permettre leur identification et leur destruction. Les normes de destruction peuvent varier en fonction de la sensibilité des informations et de la manière dont elles sont stockées. Des registres doivent être mis en place pour aider l’entreprise à identifier les informations en sa possession et à enregistrer leur destruction.

Selon la Commission d’accès à l’information du Québec, pour les documents en format papier contenant des données personnelles, la méthode de destruction appropriée est le déchiquetage et l’incinération. Quant au Commissaire à l’information et à la protection de la vie privée de l’Ontario, si les documents sont sur un média numérique, ils doivent faire l’objet d’un formatage, d’une réécriture et d’une suppression électronique sécurisée, aussi connu sous le nom de déchiquetage numérique. Enfin, l’élimination des documents doit inclure une preuve de destruction.

Les obligations à la suite de la conclusion de la transaction

Dans la nouvelle version de la Loi sur le secteur privé, le législateur indique les obligations à suivre lorsque la transaction commerciale est conclue. Une des obligations est d’aviser la personne concernée dans un délai raisonnable que la partie détient des renseignements personnels la concernant en raison de la transaction. Il importe alors de déterminer ce que signifie un délai raisonnable.

Encore une fois, la Loi sur le secteur privé n’indique pas quel est le délai approprié pour informer la personne concernée à la suite d’une transaction.

Nous croyons donc qu’il est possible de s’inspirer d’autres dispositions de la même loi. À l’article 32, un autre article modifié par l’entremise de la Loi 25, il est indiqué qu’une personne qui fait une demande d’accès ou de rectification doit recevoir une réponse au plus tard dans les 30 jours de la date de réception de la demande. Par analogie, nous pouvons penser que si un délai de 30 jours est raisonnable pour recevoir une réponse à une demande d’accès à l’information, ce même délai serait également raisonnable pour informer les personnes concernées à la suite d’une transaction commerciale.

Conclusion

L’entrée en vigueur de la Loi 25 en matière de protection de renseignements personnels apporte non seulement une plus grande protection pour la population québécoise, mais aussi beaucoup de nouvelles obligations pour les entreprises. Ces dernières, ayant une grande incitative à bien protéger les renseignements personnels de leurs clients et de leurs employés, devront alors rapidement se conformer et adapter leurs pratiques actuelles afin d’assurer une plus grande protection des données personnelles qu’ils auront en leur possession ou qu’ils traiteront.

En matière de transactions commerciales, toutefois, la Loi 25 amène un système d’exceptions qui fera le bonheur des professionnels du droit et des entreprises.

Par Guillaume Lapierre, avocat, Associé, Therrien Couture Joli-Cœur s.e.n.c.r.l., Guillaume.Lapierre@groupetcj.ca

et Mélissa Pelletier, avocate, Associée, Directrice – Groupe de droit des affaires, Therrien Couture Joli-Cœur s.e.n.c.r.l., Melissa.Pelletier@groupetcj.ca

Les auteurs tiennent à remercier M^me Heting Xu, stagiaire en droit au cabinet, pour sa contribution à la recherche et à la rédaction du présent article.

Ce texte a été publié initialement dans le magazine Stratège de l’APFF, vol. 28, n^o 2 (Été 2023).

L’article L’impact de la protection des renseignements personnels est apparu en premier sur Finance et Investissement.

C’est le 22 septembre prochain qu’entrera en vigueur la seconde phase de la Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois.

Cette réforme modernise les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel.

Chaque entreprise sera alors tenue de respecter de nouvelles obligations. Parmi celles-ci :

* adopter ou mettre à jour des politiques et des pratiques encadrant la gouvernance des renseignements personnels;

* prévoir l’encadrement applicable à la conservation, la destruction et l’anonymisation des renseignements personnels;

* se munir d’un processus de traitement des plaintes;

* publication d’informations concernant les politiques et procédures sur le site web;

* réalisation d’Évaluations de Facteurs relatifs à la Vie Privée (EFVP) pour certains traitements de renseignements personnels;

* modification des paramètres du consentement; destruction et anonymisation de renseignements personnels;

* transfert de renseignements personnels à l’extérieur du Québec et enfin, la mise en place d’un processus de destruction ou d’anonymisation, afin de mettre en œuvre la désindexation.

Un premier lot d’obligations est entré en vigueur le 22 septembre 2022.

Prospérer en cas de vol de données !

La résilience organisationnelle est définie comme : « la capacité d’une organisation à anticiper, à se préparer, à réagir et à s’adapter aux changements progressifs et aux perturbations soudaines afin de survivre et de prospérer ».

Une organisation résiliente s’appuie sur trois axes principaux dans sa manière d’opérer, à savoir : l’adaptabilité stratégique, le leadership flexible et la gouvernance robuste qui se définit comme la responsabilisation à travers les structures organisationnelles, basés sur une culture de confiance, de transparence et d’innovation, en s’assurant que les entreprises restent fidèles à leur vision et à leurs valeurs.

Gestion de crise

Comme le mentionnait Christophe Roux-Dufort dans un article : « Continuité, anticipation et résilience semblent devenir aujourd’hui le trio incontournable de la gestion de crise après une longue période où l’essentiel des préoccupations a été de mettre sur pied les fondamentaux. La nature des crises a changé et ces fondamentaux ne permettent plus d’absorber les crises telles qu’elles se présentaient dans les années 80 et 90 au moment où cette discipline a commencé à prendre son envol. Nous travaillons aujourd’hui avec des outils qui ont vieilli et qui ne sont pas toujours adaptés au traitement des crises modernes. Paradoxalement, la gestion de crise doit abandonner l’idée de gérer l’incontrôlable et l’ingérable pour s’ouvrir sur d’autres priorités à présent : accroître l’acuité des organisations et leurs capacités à résister aux chocs organisationnels imprévus. Ce sont les principales directions d’ores et déjà prises par les professionnels qui renouvelleront sans aucun doute l’intérêt et les contributions à l’intérieur de ce domaine en mal de nouveautés depuis quelques années. L’anticipation et la résilience se manifestent aux deux extrêmes du processus de gestion de crise, très en amont pour l’anticipation et en aval pour la résilience. Pour autant, ces deux priorités sont intimement liées tant l’anticipation et la prévention des crises devraient avoir pour rôle de jeter très tôt au sein des entreprises les bases organisationnelles, collectives et individuelles de la résilience au choc ».

En somme, la gestion de crise est un processus continu qui nécessite une planification et une préparation adéquates pour minimiser les risques et les impacts sur l’entreprise et ses parties prenantes.

L’article Gestion de crise et résilience organisationnelle est apparu en premier sur Finance et Investissement.

Les différentes affaires de fuites de données qui se sont produites ces dernières années ne semblent pas avoir écorné l’image des banques auprès des consommateurs.

Ainsi, 80 % des Canadiens se disent à l’aise et satisfaits des services bancaires numériques de leur banque, et 64 % leur font confiance pour gérer leurs données personnelles, indique un sondage de GFT Canada.

Un Canadien sur deux (50 %) est même prêt à accorder sa confiance à sa banque au point d’accepter de lui partager ses données si cela lui permet de réaliser des économies.  Ce partage de données intéresse aussi les Canadiens si cela leur permet de recevoir davantage de services.

C’est que les consommateurs canadiens sont une minorité (35 %) à considérer que leur banque leur fournit actuellement des services utiles sur leurs dépenses.

Aussi, près d’un Canadien sur deux (43 %) se dit enclin à laisser sa banque partager ses données en échange de meilleures offres de services. Et un Canadien sur trois (32 %) accepterait de partager ses données en échange de conseils personnalisés en matière de services financiers.

Pourtant, l’intérêt des Canadiens envers les services bancaires numériques demeure limité. Seuls 14 % d’entre eux…

Lire la suite via Conseiller.ca

L’article Partage de données personnelles auprès des banques est apparu en premier sur Finance et Investissement.

Rien ne sert d’attendre au Nouvel An pour prendre de bonnes résolutions. Elles peuvent se prendre durant toute l’année. Dans un contexte de croissance continue des incidents liés à la cybersécurité que l’on observe partout sur la planète, et dont les premières victimes proviennent régulièrement du secteur financier, la communication de crise doit trouver sa place dans chacune des organisations.

Entendons-nous bien ! il n’est pas question ici d’une communication de base et préformatée. Les entreprises en gestion de crise, qui sont autant familiers avec les milieux informatiques que journalistique, sont rares au Québec. Et je sais de quoi je parle, puisque, Dieu merci, je fais partie de cette rareté. Si, de prime abord, nous sommes considérés comme une dépense, au bout d’une semaine, notre statut d’alliés de l’entreprise n’est plus sujet à débat !

Hausse de cyberattaques

Le Canada connaît une hausse de cyberattaques et le contexte pandémique (COVID-19) a accentué cette tendance.  L’Autorité canadienne pour les enregistrements Internet (ACEI) révélait dans son Rapport sur la cybersécurité de 2020 que près de trois organisations sur 10 ont constaté un pic dans le nombre d’attaques survenues pendant la pandémie.

Statistiques Canada révélait pour sa part en 2020 que 21 % des entreprises canadiennes avaient déclaré avoir été touchées par des incidents de cybersécurité. On indique dans ce même rapport que les entreprises canadiennes ont déclaré avoir dépensé un total de 7 milliards de dollars (G$) en 2019, directement dans le cadre de mesures visant à prévenir et à détecter les incidents de cybersécurité, et à s’en remettre. Ce qui représente moins de 1 % de leurs revenus totaux.

Dans une étude de Deloitte, près de 60 % des personnes interrogées dans le cadre d’une enquête menée auprès de plus de 500 responsables de la gestion de crise, évaluent que les organisations sont confrontées à plus de crises aujourd’hui qu’il y a 10 ans. Certains répondants ajoutent que selon eux, l’ampleur, ainsi que le nombre de crises augmentent. « Les crises deviennent de plus en plus intenses à mesure que le monde devient plus dynamique », a déclaré un répondant. « Tout événement peut transformer une situation simple en une situation massive ».

De fait, pour préciser le niveau de menace, 80 % des organisations dans le monde ont dû mobiliser leurs équipes de gestion de crise au moins une fois au cours des deux dernières années, les incidents de cybersécurité et de sécurité arrivant en tête de liste des crises nécessitant une intervention de la direction.

Refuser un soutien en gestion de crise

Il va sans dire que le fait d’ignorer les bénéfices de confier la gestion d’une crise à des experts peut entraîner plusieurs désavantages lors d’un incident. Il suffit de penser aux dégâts que pourraient subir la crédibilité de l’entreprise, sa réputation ainsi que celle de ses dirigeants et employés. Il faut en effet être conscient qu’un incident majeur, s’il n’est pas géré adéquatement, pourrait mettre à mal la poursuite des opérations courantes, le maintien des emplois et même, ultimement, menacer la survie de l’entreprise.

Selon la nature de l’incident, par exemple une fuite de donnée confidentielles, on pourrait assister à un rapide emballement de fausses rumeurs sur les réseaux sociaux qu’il serait par la suite difficile d’endiguer. Une situation ajoutant aux effets déjà désastreux de l’incident initial, à laquelle il faut alors consacrer du temps et de l’énergie qu’il serait plus constructif d’attribuer à l’incident original.

Apprendre Gestion affirme qu’une microgestion qui néglige le soutien que pourraient lui apporter des experts en  gestion de crise, est susceptible de subir des impacts négatifs sur les points suivants : stress dans la gestion du travail et de la vie familiale des employés; problèmes de santé comme les problèmes cardiaques ou l’hypertension artérielle; problèmes économiques et insécurité de l’emploi par crainte de rétrogradation ou même de perte d’emploi,  tension émotionnelle découlant  de la violence verbale ou émotionnelle des aînés ou des dirigeants, entraînant  un impact négatif sur l’estime de soi des employés.

Dix erreurs à éviter

Il est donc avisé de prendre conscience des erreurs suivantes en cas de crise, qu’un dirigeant est susceptible de commettre en balayant du revers de la main l’importance de l’accompagnement que peut offrir un expert en gestion de crise :

1. Ne pas être prêt – ça n’arrive qu’aux autres ;
2. Réagir avec retard / Ne pas en faire sa priorité ;
3. Paraître insensible / ne pas agir selon les meilleures pratiques ;
4. Se cacher ;
5. Nier les faits / ne pas se soucier du gros bon sens ;
6. Ne pas agir / ne pas modifier un comportement fautif ou critiquable ;
7. Tuer une mouche avec un bazooka ;
8. Museler ses employés ;
9. Faire cavalier seul ;
10. Ouf, la crise est finie – on passe à autre chose!

Enfin…

Une fois la crise passée, il sera temps de réaliser un post-mortem de l’événement. Une seconde étape peut alors s’ouvrir aux organisations ayant été victimes d’une cyberattaque : celle de réaliser une étude de cas, en collaboration avec des réseaux spécialisés en cybersécurité afin de faire de cette crise… un succès !

Bref… doit-on encore considérer les experts en gestion de crise comme une dépense ou des alliés ?

L’article Gestion de crise : « Vous êtes une dépense ! » est apparu en premier sur Finance et Investissement.

Si les technologies progressent, il en va de même pour les compétences des cyberpirates qui cherchent constamment à exploiter les vulnérabilités des systèmes. Pour les organisations, garder une longueur d’avance en matière de cybersécurité, est un défi de tous les jours.

Un article du Forum économique mondial, rédigé par des chercheurs du Centre for Long-Term Cybersecurity (CLTC) de l’Université de Californie, à Berkeley, identifie sept tendances à surveiller d’ici 2030.

1. Des progrès, mais pas partout

Malgré les investissements publics et privés dans les technologies de sécurité et la lutte contre la cybercriminalité qui sont en cours dans de nombreux pays, les progrès en la matière seront probablement inégalement répartis entre les communautés et les zones géographiques.

Pour dépasser le seuil de « pauvreté cybernétique », les experts suggèrent d’enseigner la cybersécurité dès l’école primaire et de réglementer plus efficacement les cryptomonnaies. Ils prédisent également que les mots de passe pourraient devenir obsolètes d’ici 2030 (enfin !). Plutôt que d’essayer de défendre des forteresses, il faudra renforcer sa résilience et sa capacité de récupération des données.

2. Une crise de confiance qui s’accentue

L’érosion de la confiance en ligne est sur le point de s’aggraver et de continuer à saper les relations et les institutions hors ligne. Les progrès de l’intelligence artificielle (IA) et de l’apprentissage automatique rendent difficile la distinction entre les humains et les machines en ligne, ce qui pourrait inciter de nombreuses personnes à reporter leurs activités hors ligne voire à revenir à l’utilisation d’appareils analogiques.

La cybersécurité consistera moins à assurer la confidentialité, qu’à protéger l’intégrité et la provenance des informations.

Alors que les sociétés ont besoin de s’unir pour faire face à des enjeux planétaires comme les changements climatiques, la méfiance qui s’installe pourrait entraîner un recul de la coopération nationale et internationale.

3. Un mélange d’optimisme et d’inquiétude

Il y a à la fois de l’optimisme et de l’inquiétude quant au rythme rapide des progrès scientifiques et de l’adoption commerciale des technologies d’IA et de l’apprentissage automatique. L’IA est source d’innovation dans de nombreux domaines, notamment la médecine et les transports, mais elle facilite aussi les cybercrimes. Quant aux modèles d’apprentissage automatique, ils pourraient être utilisés pour des objectifs illicites ou sournois.

Les gouvernements et les organisations manquent encore de connaissances spécialisées pour mettre en place des systèmes de surveillance et de contrôles adéquats.

4. Les dangers de la souveraineté numérique

La tendance à la fragmentation de l’internet, qui veut que chaque pays développe son propre réseau, devrait se poursuivre, selon les experts. La « souveraineté numérique » a toutefois des avantages (limités) et des inconvénients majeurs. Si elle peut permettre aux communautés locales de mieux définir leur sécurité numérique, elle peut également provoquer un Far West de désinformation, de surveillance et de cyberattaques plus puissantes émanant d’États voyous qui seraient isolés de l’internet mondial.

5. L’efficacité de la réglementation n’est pas encore prouvée

La réglementation en matière de protection de la vie privée, telle que le Règlement général sur la protection des données (RGPD) adopté par le Parlement européen, pourrait atteindre ses objectifs politiques d’ici 2030.

Cependant, l’efficacité des méthodes de gestion des données personnelles reste incertaine. Selon les experts, nous pourrions vivre dans un monde où les notions contemporaines de protection de la vie privée auront été abandonnées.

6. Incertitude du métavers

Les avis sont partagés quant à savoir si le métavers sera pleinement réalisé d’ici 2030. Certains estiment que les nouveaux problèmes de protection de la vie privée et de sécurité que poseraient un métavers nécessitent une accélération de l’innovation politique. D’autres prévoient un futur dystopique où les gens fuiraient le monde réel pour un monde virtuel, devenant des consommateurs passifs. L’éducation à la pensée critique est considérée comme essentielle pour éviter cette dystopie.

7. Souveraineté et évolution de la dynamique du pouvoir

Les frontières entre les gouvernements et les entreprises privées risquent de s’effacer davantage, ce qui pourrait permettre aux grandes entreprises technologiques de prendre une place plus importante dans les décisions politiques, y compris au Conseil de sécurité des Nations unies. Une crainte exprimée par des participants à des ateliers organisés par les chercheurs.

Aux États-Unis, la tendance à la souveraineté numérique, les divergences réglementaires internationales et l’absence d’un cadre pratique pour déterminer les compromis à faire en matière de conformité sont des sources de préoccupation. Le secteur public est considéré comme un acheteur et un investisseur clé dans la mise en place de garde-fous pour la cybersécurité.

Ces tendances soulignent la nécessité pour les décideurs de rester vigilants et de s’adapter constamment aux évolutions du paysage numérique. Les progrès technologiques et les vulnérabilités de la sécurité numérique sont en constante évolution, et il est crucial de prendre les mesures nécessaires pour renforcer la résilience et la capacité de récupération face aux cybermenaces, ont souligné les auteurs.

L’article Sept tendances clés pour l’avenir de la cybersécurité d’ici 2030 est apparu en premier sur Finance et Investissement.

La nécessité d’une plus grande clarté réglementaire dans le secteur des cryptomonnaies a fait l’unanimité parmi les quelque 2 500 participants à l’événement, principalement des experts de l’industrie, des investisseurs et des entrepreneurs, selon un compte-rendu publié par Pitchbook, une firme américaine de recherche sur les marchés financiers mondiaux.

Les défaillances en cascades, dont celle de FTX en novembre 2022, ont largement alimenté les discussions. Lors d’une table ronde intitulée « What’s next after the FTX crash ? », certains panélistes ont fait valoir que les réglementations n’auraient pas atténué la fraude financière qui s’est produite. Un représentant de PitchBook, qui était également présent, a plutôt soutenu que si des réglementations avaient été en place, l’ampleur de l’effondrement aurait été plus modérée.

Les participants ont toutefois convenu que la mise en place d’une réglementation est essentielle pour l’adoption à grande échelle de la blockchain qui se développe à un rythme rapide. Des règles claires et cohérentes seront nécessaires pour assurer la sécurité des investisseurs et rétablir la confiance des utilisateurs de la technologie.

Les participants étaient également d’avis que les régulateurs se devront de trouver un équilibre entre l’innovation et la protection des consommateurs. Pour y arriver, il leur faudra travailler en étroite collaboration avec les acteurs de l’industrie pour développer une réglementation équilibrée et efficace. Plusieurs juridictions ont d’ailleurs amorcé le travail en édictant des règles et des directives plus rigoureuses pour les marchés de cryptomonnaies, souligne Pitchbook.

La confidentialité des données

Un autre sujet de préoccupation pour les acteurs du secteur des cryptomonnaies a été la confidentialité des données des utilisateurs. L’une des technologies qui a le plus attiré l’attention dans les derniers mois est celle des preuves à connaissance zéro (ZKP), des méthodes de vérification cryptographique qui permettent de vérifier l’emplacement géographique d’un utilisateur sans avoir besoin de connaître son adresse personnelle. Les ZKP sont également utiles pour authentifier l’accès sans qu’il soit nécessaire de saisir un mot de passe ou de fournir des informations personnelles, telles qu’un nom ou une adresse électronique.

À l’EBC, des startups ont discuté des défis que représente la construction d’une identité privée sur des blockchains publiques. Bien que la plupart des blockchains sur le marché sont dites pseudonymes (et non anonymes), la tendance semble se diriger vers des chaînes de confidentialité totale.

Parmi les entreprises présentatrices, il y a eu Holonym qui permet aux utilisateurs de créer une identification d’autogardiennage à utiliser sur le Web3 pour prouver l’âge, la résidence ou le statut d’investisseur accrédité sans avoir à fournir de données à l’application finale. De son côté, Aleph Zero a construit une blockchain de niveau 1 évolutive et respectueuse de la vie privée basée sur ZKP. De telles chaînes axées sur la confidentialité permettent des données et des transactions totalement privées, et sont plus susceptibles de gagner la faveur des entreprises.

Après les investisseurs et les entreprises, c’est au tour des institutions de montrer de l’intérêt envers le marché des cryptomonnaies. À l’EBC, les discussions concernant l’adoption institutionnelle ont tourné principalement autour de son infrastructure qui est encore naissante dans l’espace crypto. Elle manque par le fait même de sécurité, de fiabilité et de fonctionnalités de conformité et d’intégration avec les systèmes existants. Avec une meilleure infrastructure en place, les institutions pourront offrir à leurs clients un accès aux actifs cryptographiques par le biais de comptes d’investissement ou de retraite.

Un marché résilient

Plusieurs autres sujets ont été abordés lors de la conférence de deux jours, y compris la finance décentralisée (DeFi), le Web3, la tokenisation des actifs, les stablecoins, les dérivés cryptographiques, les jeux et le Metaverse, et les dépositaires.

Il n’en reste pas moins que, malgré la chute de plus de 2 000 milliards de dollars de capitalisation du marché des cryptomonnaies en 2022, le marché reste résilient avec une capitalisation boursière s’élevant désormais à plus de 1 billion de dollars, selon CoinMarketCab, un fournisseur de données cryptographiques.

Selon Pitchbook, les investissements en capital-risque ont été assez étroitement corrélés aux prix des actifs cryptographiques ces dernières années, et les investissements devraient augmenter lentement en 2023.

Une des conclusions de l’EBC 2023, c’est que l’Europe devrait rester l’un des marchés les plus forts pour l’innovation et le développement des cryptomonnaies.

L’article La réglementation, clé de l’adoption de la blockchain est apparu en premier sur Finance et Investissement.

• Profilage excessif, discrimination non justifiée et surveillance: L’analyse des renseignements personnels des clients dans le processus d’octroi d’un produit de crédit ou d’assurance en vue de déterminer le profil de risque du consommateur pourrait limiter l’accès à certains produits ou services.

• Consentement: Les consommateurs ne lisent pas ou encore ne comprennent pas l’ensemble des conditions, souvent complexes, qu’ils ont acceptées pour accéder à certaines plateformes, ce qui ne leur permet pas de donner un consentement éclairé.

• Réglementation: Les divulgations exigées par les régulateurs sont souvent longues et difficiles à comprendre pour les utilisateurs des diverses plateformes.

• Infobésité: Une quantité d’information trop importante à traiter peut créer «une paralysie décisionnelle» chez les consommateurs.

• Données personnelles: La quantité imposante de données générées lors de l’utilisation des services financiers en ligne rend de plus en plus difficile, voire impossible, pour les clients de garder un contrôle sur leurs données.

• Engagement numérique: Ces pratiques influencent la perception du risque dans les démarches d’achat de produits et services financiers en ligne en exploitant les biais comportementaux et le faible niveau de littératie financière et numérique des consommateurs, souvent sans qu’ils en soient conscients.

Comment limiter ces risques:

• Développer un guide des pratiques d’engagement numérique responsables à l’attention des fournisseurs de services financiers numériques;

• Utiliser les innovations technologiques et les pratiques d’engagement numérique pour favoriser les comportements financiers sains;

• Approfondir les enjeux de propriété des données dans les services financiers numériques;

• Anticiper les enjeux potentiels découlant de l’adoption du métavers pour les consommateurs de produits et services financiers;

• Développer et mettre en oeuvre une stratégie de données;

• Promouvoir le développement des connaissances des consommateurs en matière de cryptoactifs et de finance décentralisée.

Source: «Perspectives sur les risques et bénéfices des services financiers numériques pour les consommateurs», AMF.

L’article Six risques des technos financières est apparu en premier sur Finance et Investissement.