The better the question. The better the answer. The better the world works. У вас есть вопрос? У нас есть ответ. Решая сложные задачи бизнеса, мы улучшаем мир. У вас є запитання? У нас є відповідь. Вирішуючи складні завдання бізнесу, ми змінюємо світ на краще. Meilleure la question, meilleure la réponse. Pour un monde meilleur. 問題越好。答案越好。商業世界越美好。 问题越好。答案越好。商业世界越美好。

Votre société est-elle prête à se transformer?

La mise sur pied de programmes efficaces de protection et de confidentialité des données est au cœur de la transformation de votre entreprise et de sa conformité à la réglementation la plus récente

Pourquoi votre organisation devrait-elle se soucier de la protection et de confidentialité des données (PCD)?

Les exigences législatives en évolution, comme tout récemment le Règlement général sur la protection des données de l’Union européenne (RGPD), la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et les lois de la Californie, conjointement aux attentes plus élevées des consommateurs, entraînent des difficultés croissantes pour les sociétés.

La confidentialité des données peut vous donner un avantage concurrentiel et la transparence est essentielle pour gagner et conserver la confiance de vos clients à cette époque de sensibilisation croissante des consommateurs et d’interconnectivité. La mise sur pied d’une stratégie de protection des données de premier ordre et durable, qui intègre les droits des consommateurs et l’utilisation éthique des données respectueuses des obligations juridiques et de conformité, peut permettre l’atteinte de ces buts.

Download report
Téléchargez
Votre société est-elle prête à se transformer?
en version imprimable

Quels sont les risques et les conséquences pour votre organisation d’une mauvaise gestion de la protection et de la confidentialité des données?

Conséquences d’une mauvaise gestion de la protection et la confidentialité des données

  • Partage à outrance et traitement excessif des renseignements personnels
  • Incapacité à répondre efficacement à des demandes de personnes concernées ou à une violation des données
  • Incapacité à démontrer la responsabilisation et la conformité
  • Bonnes intentions, mais mauvaise utilisation des données
  • Vulnérabilité d’un fournisseur de services tiers
  • Perte de matériel électronique
  • Fuite de données sur le site Web
  • Communications marketing abusives
  • Transactions frauduleuses
  • Ingénierie sociale, y compris l’hameçonnage

La mauvaise gestion des données peut entraîner…

  • Un vol d’identité, par un client ou un employé
  • Une atteinte à la marque et la réputation de votre société
  • Une perte financière directe
  • Une perte de confiance des consommateurs et des partenaires d’affaires
  • Une perte de valeur marchande
  • Des litiges ou des mesures réglementaires
  • Devenir un exemple de ce qui peut mal tourner pour tout le secteur

Heureusement, ces problèmes peuvent être réglés avant d’atteindre un niveau catastrophique en mettant sur pied un programme durable de protection et de confidentialité des données afin de faciliter la mise en place de mesures de protection appropriées et d’assurer la conformité à la nouvelle réglementation.

EY : Transformation des programmes de protection des données

La protection et la confidentialité des données n’est pas qu’une question de conformité, c’est aussi une question de stratégie! Grâce à une approche à quatre étapes, comprendre, évaluer, définir et mettre en œuvre, nous pouvons vous aider à mettre sur pied un programme durable de protection et de confidentialité des données en intégrant aux processus courants de votre société des composantes liées à la protection des données qui sont adaptés aux objectifs de protection et de confidentialité des données de votre organisation.

Un programme durable de PCD est construit autour de trois grands piliers : la gouvernance, l’utilisation des données et la validation.

Gouvernance

Atelier sur la PCD

Dans le cadre de notre atelier, nos conseillers en protection et en confidentialité des données discutent des pratiques de pointe et des leçons apprises, et ils approchent la PCD sous plusieurs angles afin de vous aider à bien comprendre son incidence sur votre organisation et de mieux naviguer dans cet environnement complexe.

Évaluation et feuille de route

Nos évaluations de la protection de la confidentialité et des données facilement accessibles vous aideront à déterminer les écarts entre l’état actuel de votre organisation et son état souhaité.

En vérifiant des aspects importants, tels que les rôles actuels en traitement des données, les responsabilités, les procédures en cas de fuite de données, les flux de données et l’utilisation de données, nous comparons les résultats aux pratiques courantes du marché ainsi qu’aux obligations juridiques.

Confidentialité dès la conception

En élaborant une méthodologie de confidentialité dès la conception, vous pouvez intégrer efficacement la protection et la confidentialité des données dès l’étape de la conception et incorporer les questions de confidentialité dans l’ensemble du cycle de vie d’un projet.

Nous pouvons également vous aider à évaluer les processus et systèmes actuels afin de déterminer ceux qui présentent un risque en matière de confidentialité des données et les correctifs à mettre en œuvre.

Mappage des flux de données

Les activités de mappage des données sont souvent réalisées dans un état d’esprit typique des TI, c’est-à-dire en mettant l’accent sur des domaines techniques précis, plutôt que sur les types de données utilisés par les processus d’affaires. Les flux de données identifiés peuvent être utilisés pour satisfaire aux exigences en matière de conformité et pour la protection des données.

En mettant l’accent sur les bonnes priorités et en faisant appel à des outils de découverte des données et à une gouvernance des données solide, il est possible d’améliorer de façon importante l’efficacité de l’exercice.

Évaluation de l’incidence sur la confidentialité

Les évaluations de l’incidence sur la confidentialité sont obligatoires au Canada et sont essentielles pour le RGPD comme  analyses d’impact relatives à la protection des données.

Notification de violation des données et gestion des incidents

Les changements récents apportés à la réglementation resserrent les exigences auxquelles doivent se conformer les organisations afin de s’assurer que leurs procédures de notification de violation des données et de gestion des incidents sont efficaces.

Nous pouvons vous aider à mettre en place un programme de notification de violation des données et de gestion des incidents qui comprend des processus sur la notification et l’évaluation des incidents et des violations, ainsi que sur des mesures à prendre, les rôles et responsabilités, les signalements, etc.

Cliquez ici pour en savoir plus.

Programme de gestion de la confidentialité et de responsabilité

Un bon programme de PCD doit pouvoir répondre aux besoins opérationnels et être adopté par l’ensemble de l’organisation au moyen de la responsabilisation. Les dirigeants d’une organisation doivent être conscients de leur responsabilité de soutenir du programme de confidentialité et doivent être tenus responsables des mesures d’appui à la conformité.

Utilisation des données

Anonymisation et pseudonymisation permettant l’analyse de données

En analysant chaque étape du processus d’analyse des données, il est possible de déterminer s’il est nécessaire d’anonymiser les données ou d’attacher des pseudonymes aux données étiquetées. En raison de la flexibilité des outils de données existants, les données peuvent être facilement combinées avec de nouvelles sources, ce qui peut entraîner des possibilités d’identification imprévues. Nos services peuvent vous aider à éviter un usage inapproprié des données enrichies sans pour autant réduire l’utilité de l’analyse de données.

Gestion des identités et des accès (GIA)

La mise en œuvre de la PCD commence par la restriction de l’accès aux données confidentielles d’une organisation aux seules personnes autorisées.

Notre expérience de la PCD et de la cybersécurité nous permet d’avoir une vue d’ensemble de la définition d’un programme de GIA et de mettre l’accent sur la facilitation des affaires, aidant ainsi les organisations à gérer continuellement et efficacement l’accès au système et à atténuer les risques relatifs à la confidentialité, à l’intégrité et à l’accessibilité des données essentielles.

Gestion transfrontalière de données

Le transfert de données personnelles d’un état à un autre exige une compréhension des différentes réglementations.

Nous pouvons vous aider à mettre en place des mécanismes comme des règles d’entreprise contraignantes, des ententes intragroupe et la surveillance des transferts de données internes et externes. En outre, nous pouvons mettre en conformité ces mécanismes auprès de l’autorité de surveillance, officialiser une procédure, nommer une personne responsable de la gestion du transfert des données et mettre en place un processus, une procédure ou des outils afin de faciliter le transfert approprié des données d’un état à l’autre.

Conservation des données et gestion des dossiers

Les données doivent être conservées pour la période minimale prévue par les lois, les règlements, le champ d’activité et les politiques et lignes directrices locales applicables.

Nous élaborons une structure globale — processus, routines, calendrier et soutien du système — pour la suppression, l’anonymisation ou la pseudonymisation des données personnelles selon les périodes de conservation obligatoires et les politiques internes.

Prévention de la fuite de données et intervention en cas d’incident

La compréhension des flux de données aidera une organisation à saisir comment les données se répartissent, quand elles sont immobiles et quand elles sont en mouvement. Les données peuvent être à risque à toutes les étapes du flux.

Nous pouvons vous aider à cerner ces risques et à définir des contrôles efficaces permettant de les atténuer. Ces contrôles peuvent être appuyés par des processus ou des outils qui préviendront, détecteront ou corrigeront les fuites de données.

Validation

Services gérés de PCD

Notre portefeuille de services gérés de PCD a été conçu spécialement pour répondre aux exigences particulières de toute organisation d’une manière flexible et personnalisable. Quelles que soient vos préoccupations et vos priorités relativement à la conformité au RGPD, nous pouvons vous aider à y répondre.

Gestion des tiers et des fournisseurs

Nos services de gestion des fournisseurs comprennent des processus de contrôle préalable couvrant les activités de tiers relatives à la sécurité de l’information, à l’approvisionnement, aux contrats, à la PCD et à l’indépendance.

Nous utilisons des évaluations de la sécurité conformes aux normes du secteur pour évaluer le risque inhérent et le risque résiduel en matière de PCD et de cybersécurité, de conformité et d’autres catégories de risques liés aux tiers comme le classement de données, l’emplacement des données et l’accès aux données et leur transmission.

Rapports SOC2 sur la sécurité et la confidentialité

Les examens SOC 2 sont conçus pour étudier les contrôles d’une organisation pertinents pour les systèmes qu’elle utilise pour traiter les données des utilisateurs. Le rapport en résultant aide les utilisateurs des données à comprendre l’efficacité des contrôles de l’organisation et la façon dont ils s’intègrent aux contrôles de l’entité de l’utilisateur.

Notre équipe examine les contrôles de système établis dans les critères de services Trust de l’AICPA et fait un rapport sur ceux-ci.

Exercices sur maquettes

En raison du nombre croissant d’incidents relatifs à la PCD et de leur incidence possible sur les systèmes financiers, la continuité des activités et la planification de la gestion de crise comportant des simulations d’incidents informatiques précis sont plus importantes que jamais.

Les exercices sur maquettes d’EY comprennent la planification, la conception et l’élaboration d’une simulation d’incident de PCD à l’intention de votre équipe d’intervention en cas de crise qui simule l’incidence d’une attaque importante.

Pour nous joindre

EY - Yogen Appalraju

Yogen Appalraju

Associé et leader, Cybersécurité – Canada
+1 416 943 5902
EY - Carlos Perez Chalico

Carlos Perez Chalico

Chef d’équipe senior, Protection et confidentialité des données
+1 416 943 5338
EY - Nicola Vizioli

Nicola Vizioli

Associé délégué, Protection et confidentialité des données
+1 514 879 8046
EY - David Witkowski

David Witkowski

Chef d’équipe, Droit de l’emploi et Protection et confidentialité des données
+1 416 932 5841

Leadership éclairé

La conformité peut-elle vous rendre plus concurrentiel?

Aller au-delà de la conformité, en matière de confidentialité, peut servir de catalyseur à la stratégie des données

Observation du RGPD : comment l’analyse de données peut-elle vous aider?

Les techniques d’analyse de données évoluées peuvent-elles aider les organisations à faire la transition vers une nouvelle ère de protection et de confidentialité des données?

Réduire le fardeau de la conformité aux règlements sur la confidentialité des données

Stratégie du programme en matière de services gérés à l’égard du Règlement général sur la protection des données de l’Union européenne

Règlement général sur la protection des données

Le RGPD confère aux résidents de l’UE de nouveaux droits étendus concernant leurs données personnelles, et les organisations ont la possibilité d’adopter une approche stratégique à l’égard du RGPD.

IAPP-EY Annual Privacy Governance Report 2018 (rapport annuel sur la gouvernance de la confidentialité des données 2018)

Est-il réellement possible de créer un programme de confidentialité flexible à l’échelle mondiale, permettant de relever les défis et d’inspirer la confiance partout dans le monde? Le moment est venu de le savoir.