Votre équipe RH laisse fuir des NAS chaque semaine et personne ne vérifie
Les équipes RH canadiennes manipulent quotidiennement des NAS, des coordonnées bancaires et des dossiers médicaux. La plupart n'ont aucune détection automatisée des renseignements personnels en place — et l'exposition se produit en ce moment même.
Le problème des NAS dont personne ne parle
Chaque fois qu'un employé canadien est intégré, son numéro d'assurance sociale passe par au moins quatre ou cinq mains — le gestionnaire d'embauche qui l'a recueilli sur le formulaire TD1, l'administrateur de la paie qui l'a saisi dans le système, le coordonnateur RH qui a classé la copie papier, le fournisseur d'avantages sociaux qui en a besoin pour l'inscription. Dans une entreprise de 50 personnes, cela représente des centaines de manipulations de NAS par année, par courriel, par lecteurs partagés, par formulaires imprimés et par exportations de logiciels de paie.
Les directives du Commissariat à la protection de la vie privée du Canada sur les NAS sont claires : vous ne devriez les recueillir que lorsque la loi l'exige, vous devriez les conserver de façon sécuritaire et vous ne devriez pas les conserver plus longtemps que nécessaire. Ce que les directives ne vous disent pas, c'est comment réellement faire respecter tout cela lorsque votre équipe RH fonctionne avec un mélange d'Outlook, de Google Drive, de BambooHR et d'un classeur.
La plupart des organisations savent qu'elles ont un problème de NAS. Presque aucune ne sait à quel point il est grave.
À quoi ressemble une véritable fuite de données RH
Voici un scénario qui se répète régulièrement dans les organisations canadiennes. Un coordonnateur de la paie envoie un chiffrier à un nouveau courtier en avantages sociaux. Le chiffrier a été conçu pour un usage interne — il contient les noms des employés, les dates d'embauche, les fourchettes salariales et les NAS parce que quelqu'un a ajouté cette colonne il y a trois ans et qu'elle n'a jamais été retirée. Le courtier le reçoit, traite ce dont il a besoin et le stocke sur ses propres systèmes. Personne n'a signalé la colonne des NAS. Personne n'a demandé si le courtier avait besoin de ces numéros. Le transfert n'a pas été documenté.
C'est une violation de la LPRPDE. Les renseignements ont été divulgués à un tiers sans autorisation, à une fin dépassant celle pour laquelle ils avaient été recueillis, sans aucune protection contractuelle en place. L'organisation ne savait pas que c'était arrivé parce qu'aucun système automatisé ne cherchait les NAS circulant dans son infrastructure de partage de fichiers.
Le même schéma se répète avec les renseignements bancaires recueillis pour le dépôt direct. Avec la documentation d'invalidité ou médicale soumise pendant un congé. Avec les adresses et les coordonnées d'urgence qui se retrouvent dans des trousses d'intégration transmises à des gestionnaires qui n'en avaient pas besoin.
Pourquoi les processus manuels ne peuvent pas détecter cela
Le problème avec le fait de se fier au jugement humain pour détecter l'exposition de renseignements personnels, c'est qu'il évolue dans la mauvaise direction. À mesure que votre organisation grandit, le nombre de documents contenant des renseignements personnels croît plus vite que le nombre de personnes qui y prêtent attention. Une entreprise de 10 personnes peut raisonnablement s'attendre à ce que le fondateur sache où résident les renseignements sensibles. Une entreprise de 75 personnes ne le peut pas.
Le personnel RH n'est pas constitué de spécialistes de la vie privée. Ses membres sont bons en embauche, en administration des avantages sociaux et en organisation des gens. Leur demander de vérifier manuellement chaque document sortant pour y détecter des NAS, des coordonnées bancaires, des renseignements de santé et des adresses de domicile en plus de leur travail réel crée du ressentiment et une conformité sélective. Ils attraperont les évidents et rateront les intégrés — le NAS dans une pièce jointe PDF, l'adresse intégrée dans un formulaire numérisé, les coordonnées bancaires reconnues par OCR dans un format interrogeable.
La détection automatisée des renseignements personnels ne remplace pas le bon jugement RH. Elle le complète en attrapant ce que les humains ratent à grande échelle.
Les types précis de renseignements personnels qui circulent dans les RH
Un service RH réaliste manipule régulièrement la plupart de ce qui suit :
Documents d'identité : NAS, numéros de permis de conduire, numéros de passeport recueillis lors de vérifications des antécédents ou de vérification équivalente, numéros de carte de résident permanent.
Données financières : numéros de compte et d'acheminement bancaires pour le dépôt direct, historique salarial d'employeurs précédents, montants de cotisation aux avantages sociaux, détails de saisie de salaire.
Renseignements de santé : certificats d'invalidité, notes du médecin, documentation de réclamation d'assurance, demandes d'accommodement décrivant des conditions médicales.
Résultats de vérification des antécédents : vérifications du casier judiciaire (lorsque légalement permis), notes de vérification de références pouvant inclure des détails personnels, résultats de vérification de crédit pour certains postes.
Contacts d'urgence : adresses de domicile, numéros de téléphone personnels, détails sur des membres de la famille qui n'ont consenti à aucune collecte de données.
Chacun de ces éléments a des niveaux de sensibilité différents et des exigences de manipulation différentes aux termes de la LPRPDE. Le NAS en particulier devrait déclencher le plus haut niveau de vigilance — le CPVP a publié des directives précises selon lesquelles les NAS ne devraient être recueillis que lorsque la loi l'exige, et que leur collecte inutile constitue en soi une violation.
Ce que la LPRPDE exige réellement des employeurs
La LPRPDE s'applique aux renseignements sur les employés dans les milieux de travail sous réglementation fédérale. Pour les entreprises sous réglementation provinciale au Québec, en Alberta et en Colombie-Britannique, ce sont plutôt les lois provinciales sur la vie privée qui s'appliquent — et la Loi 25 du Québec, en particulier, impose des exigences plus strictes que la LPRPDE sur plusieurs points.
L'obligation fondamentale aux termes de la LPRPDE est la responsabilité. Votre organisation est responsable des renseignements personnels qu'elle détient, y compris de la façon dont ils sont recueillis, conservés, utilisés et divulgués. Le principe de responsabilité ne se soucie pas qu'une fuite soit survenue à cause d'un fournisseur de traitement de la paie tiers ou d'un courriel négligent. L'obligation demeure celle de votre organisation.
Les dispositions sur les atteintes aux mesures de sécurité entrées en vigueur en 2018 ajoutent une autre couche. Si une atteinte à la protection des données crée un « risque réel de préjudice grave » pour les employés, vous devez la signaler au commissaire à la protection de la vie privée et aviser les personnes touchées. Le seuil de « préjudice grave » inclut le préjudice financier — ce que la fuite d'un NAS ou de coordonnées bancaires satisfait clairement.
Commencer à comprendre votre exposition
La première étape n'est pas d'acheter un logiciel. C'est de faire un inventaire honnête des endroits où résident actuellement les renseignements personnels des employés dans votre organisation. Un exercice utile consiste à cartographier le cycle de vie d'un NAS : où est-il recueilli, quels systèmes le stockent, qui y a accès, où a-t-il été envoyé à l'externe et comment est-il détruit lorsqu'un employé quitte.
La plupart des organisations qui font cet exercice découvrent des renseignements personnels dans des endroits inattendus : vieux fils de courriels, dossiers Google Drive partagés à accès trop large, rapports RH exportés et oubliés, systèmes de sauvegarde non vérifiés depuis des années.
L'analyse automatisée — exécuter la détection sur vos stockages de fichiers, archives de courriels et lecteurs partagés — vous donne une image de l'exposition réelle, et non de l'exposition hypothétique. C'est là qu'un outil comme Shielk change la conversation de « nous pensons être conformes » à « voici exactement où résident nos NAS et qui les a manipulés ».
Les organisations qui prennent cela au sérieux avant un incident sont celles qui évitent les obligations de signalement. Celles qui découvrent leur exposition lors d'une enquête sur une plainte au CPVP sont celles qui apprennent ce que la conformité coûte réellement.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra