6 minutes de lecture 3 févr. 2022
EY‑Hommes en discussion dans une salle de serveurs

Allier protection de la confidentialité et enjeux ESG pour favoriser une réussite plus globale de l’entreprise

Auteurs
Roobi Alam

Leader, Protection des données, EY Canada

Roobi Alam est une professionnelle de la protection des données à caractère personnel ayant à cœur d’aider les organisations et les particuliers à prendre conscience que les données à caractère personnel sont synonymes de pouvoir.

Carlos Perez Chalico

Cybersécurité et protection des renseignements personnels, EY Privé, Canada

J’ai plus de 23 ans d’expérience en cybersécurité, en gestion des risques liés aux TI et en protection des renseignements personnels. Dans mes temps libres, je lis, j’écris, je fais du vélo et du bénévolat.

6 minutes de lecture 3 févr. 2022

Pour dégager un avantage concurrentiel dans un monde de plus en plus numérique, votre entreprise doit absolument harmoniser ses impératifs de protection de la confidentialité avec sa stratégie ESG.

En bref
  • Pour dégager un avantage concurrentiel dans un monde de plus en plus numérique, les entreprises doivent allier leurs impératifs de protection de la confidentialité avec leur stratégie environnementale, sociale et de gouvernance (ESG).
  • Pour hisser les impératifs de protection de la confidentialité au rang d’une priorité ESG, une entreprise doit se faire championne de la protection de la confidentialité, en reconnaissant qu’il s’agit d’un droit de la personne et en appliquant un cadre de gouvernance en la matière qui figure au cœur de sa raison d’être organisationnelle.
  • Il est essentiel que votre entreprise harmonise son approche en matière de protection de la confidentialité avec ses initiatives de décarbonisation, de façon à favoriser la réalisation de progrès mesurables à l’égard des priorités ESG.

L'évolution du contexte dynamique dans lequel évoluent les clients donne aux entreprises l’occasion unique de se démarquer. Intégrez dès maintenant les impératifs de protection de la confidentialité à la stratégie ESG de votre entreprise, de sorte qu’elle puisse dégager un avantage concurrentiel lui permettant de bénéficier d’un capital de marque reposant sur la confiance et les résultats obtenus.

Pourquoi? La prolifération des expériences virtuelles offertes génère un volume inédit d’échange de données, de sorte que les entreprises se trouvent désormais exposées à des risques d’atteinte à la confidentialité qui peuvent finir par leur coûter cher, mais leur donnent également l’occasion de faire preuve de leadership en protection de la confidentialité. Par suite de la conversion accélérée au numérique induite par la pandémie de COVID‑19, les consommateurs ont commencé à jeter un regard neuf sur la valeur qui leur est offerte, en accordant une plus grande importance aux mesures de protection de la confidentialité et aux cibles ESG. Les parties prenantes cherchent à savoir comment votre entreprise traite ces questions et prennent des décisions en fonction de sa performance à cet égard.

C’est en saisissant l’occasion de tirer parti de cette dynamique que votre entreprise peut dégager des avantages financiers, ainsi que d’autres types d’avantages, sur un marché où les inducteurs de valeur historiques ne sont plus les mêmes qu’auparavant et où la concurrence s’avère féroce.

À quel point la confidentialité et les enjeux ESG revêtent‑ils une importance primordiale?

Bien que les entreprises canadiennes investissent dans la cybersécurité, une étude d’EY révèle que leurs dépenses à ce chapitre sont bien en deçà des investissements dont elles ont besoin pour protéger efficacement leur organisation, leurs ressources humaines et leur marque. Dans le contexte actuel, cet écart pourrait s’accentuer davantage. Même avec le recul de la pandémie, la conversion au numérique des espaces voués au travail, à l’apprentissage, aux achats et à la socialisation va prendre un caractère plus permanent, l’accès à ces espaces s’effectuant le plus souvent à partir du domicile ou d’autres points d’accès que ceux utilisés auparavant. C’est ainsi que les entreprises font face au nouveau défi d’avoir à assurer la protection de données qui résident désormais surtout dans une infrastructure distante.

Dans un contexte où un tiers des entreprises canadiennes indiquent que

70 %

des atteintes à la sécurité de leurs données découlent du laxisme de certains de leurs employés, la nature de plus en plus virtuelle du monde dans lequel nous vivons est une source de préoccupations sur le plan de la protection de la confidentialité.

Parallèlement, les grands organismes de réglementation soulignent que la protection de la confidentialité et la sécurité des données comptent parmi les grandes questions ESG. Qu’il s’agisse du SASB (Sustainability Accounting Standards Board) ou d’agences de notation ESG telles que Morgan Stanley Capital International, qui publie notamment l’indice MSCI, de nombreux organismes en sont à revoir les notions de confidentialité et de sécurité des données dans le contexte des enjeux ESG. Ces organismes évaluent désormais les entreprises en fonction de tout un éventail de paramètres en évolution, qui vont du volume de données à caractère personnel qu’elles collectent à la probabilité qu’elles soient victimes d’une atteinte à la sécurité de leurs données.

Un tel virage se produit dans un contexte où les consommateurs attachent de plus en plus d’importance à la transparence de l’information, à la reddition de comptes et à la confiance, autant de questions qui se juxtaposent de plus en plus aux impératifs de protection de la confidentialité. La génération Z — la plus grande cohorte générationnelle de l’histoire – est en mesure de définir en quoi consistera la nouvelle normalité. Âgés de 18 à 23 ans, les membres de cette génération s’attendent à ce que les entreprises traitent les questions de développement durable avec sérieux et qu’elles se penchent délibérément sur les inégalités socioéconomiques, tout en suivant l’évolution de la société dans le traitement de ces enjeux.

Comme les cadres ESG visent à rendre compte du niveau de mobilisation des entreprises en vue de la réalisation de telles priorités, le fait d’intégrer la protection de la confidentialité à un pareil cadre peut les aider à quantifier clairement leurs efforts en la matière, avec cohérence. Lorsque votre entreprise montre à ses parties prenantes qu’elle comprend suffisamment cette dynamique pour accorder la priorité à la protection de la confidentialité dans son cadre ESG, elle leur envoie clairement le message qu’elle renforce son environnement de protection de la confidentialité, en lui accordant toute l’attention et la rigueur qu’il mérite, de même qu’en produisant les rapports requis. C’est ainsi que votre entreprise peut en arriver plus facilement à se démarquer. 

Comment votre entreprise peut‑elle agir maintenant pour que la protection de la confidentialité devienne une priorité ESG? 

1. Faites en sorte que votre entreprise devienne une championne de la protection de la confidentialité, en reconnaissant qu’il s’agit d’un droit de la personne et en la traitant en tant que tel. 

Selon les résultats du sondage de cette année, au chapitre de la transmission de données, la sécurité de l’information reste la principale source de préoccupations des clients des services bancaires aux particuliers. Peu importe la façon d’analyser les résultats de ce sondage, les clients des services bancaires aux particuliers ont indiqué, dans une proportion écrasante, que la sécurité de l’information figure à l’avant‑plan de leurs préoccupations et que les institutions financières doivent absolument se montrer à la hauteur de leurs promesses à cet égard. Nous nous attendons à ce que les consommateurs continuent d’accorder une grande importance à la sécurité de l’information, dans un contexte où les propositions de valeur reposant sur le renforcement des modalités de partage de données continuent d’émerger.

La protection de la confidentialité n’est pas négociable. Depuis 1950 déjà, les Nations Unies reconnaissent que la protection de la confidentialité est un droit de la personne fondamental. Même ainsi, de nouvelles préoccupations en matière de protection de la confidentialité continuent d’émerger à mesure que les technologies évoluent. 

Dans le cadre de la recherche d’EY,

54 %

des participants affirment que la pandémie de COVID‑19 les a amenés à prendre davantage conscience de la nature sensible des données à caractère personnel échangées au sein de leur organisation. C’est exactement pour cela que la protection de la confidentialité doit être clairement et expressément traitée dans le volet social du cadre ESG de votre entreprise.

En présentant les mesures mises de l’avant pour assurer le respect du droit à la confidentialité à toutes les étapes de sa chaîne de valeur, y compris par les tiers avec lesquels vous travaillez, en évaluant les progrès accomplis en ce sens et en faisant état des améliorations apportées en la matière, votre entreprise témoigne éloquemment des retombées sociales qu’elle génère. En intégrant la protection de la confidentialité à son cadre ESG, elle signifie à ses parties prenantes qu’elle les outille de façon à leur permettre de faire de véritables choix à l’égard de leurs données.

Pour que votre entreprise puisse parvenir à ses fins efficacement, vous devez vous poser des questions comme celles‑ci :

  • Avons-nous bien saisi toute l’importance que revêt la protection de la confidentialité dans notre secteur en général, et au sein de mon entreprise en particulier?
  • Disposons-nous d’objectifs et de paramètres d’évaluation transparents à l’appui de l’évaluation de nos progrès?
  • Dans quelle mesure mon entreprise met elle de l’avant les moyens grâce auxquels elle peut aller au‑delà de ses obligations légales minimales et équitables, en favorisant l’offre d’une expérience utilisateur plus sécuritaire à ses clients, ainsi qu’à ses principales parties prenantes?
  • Mon entreprise outille‑t‑elle ses clients, les collectivités où elle est présente, ses employés et ses autres parties prenantes concernées de sorte qu’ils puissent exercer suffisamment de contrôle sur leurs propres données et activités?
2. Faites en sorte que la gouvernance des questions de confidentialité figure au cœur de la raison d’être de votre entreprise. 

Désormais, vos parties prenantes s’attendent assurément à ce que votre entreprise s’appuie sur une raison d’être allant au‑delà de la quête de bénéfices. Elles veulent connaître les solutions aux enjeux socioéconomiques et environnementaux qu’elle a à leur proposer. 

Tandis que plus de

40 %

des entreprises canadiennes affirment n’avoir jamais été aussi préoccupées que maintenant quant à leur capacité de gérer les cybermenaces, on peut judicieusement avancer que la protection de la confidentialité et sa gouvernance efficace constituent des enjeux vitaux pour les entreprises et les infrastructures critiques sur lesquelles repose la stabilité économique.

La raison d’être, la gouvernance et la reddition de comptes sont désormais étroitement associées aux paramètres d’évaluation dont s’est doté le Forum économique mondial pour évaluer la capacité des entreprises à générer de la valeur à long terme. À n’en pas douter, les questions de conformité sont importantes. À mesure que la loi C‑11 du Canada, le Règlement général sur la protection des données de l’Union européenne et d’autres cadres législatifs continuent de créer des précédents et de générer des points de données, les autorités de réglementation disposent de nouveaux moyens pour comparer comment une entreprise donnée traite les questions de protection de la confidentialité. Toutefois, à mesure de l’évolution de la façon dont les consommateurs, les marchés et les investisseurs définissent la génération de valeur à long terme, les entreprises doivent assurer leur pérennité, sans se limiter à se conformer à un cadre législatif fragmenté. Si elle en venait à déroger à ses obligations de conformité, votre entreprise pourrait devoir payer des millions de dollars en frais et pénalités. En revanche, si elle ne savait pas se montrer à la hauteur des nouvelles attentes de ses clients en matière de protection de la confidentialité, elle pourrait tout simplement se trouver hors jeu.

Pour que votre entreprise puisse parvenir à ses fins efficacement, vous devez vous poser des questions comme celles‑ci :

  • À quelle fréquence mon entreprise réexamine‑t‑elle son cadre de gouvernance de la confidentialité?
  • Le conseil d’administration de mon entreprise possède‑t‑il une connaissance suffisante des questions de protection de la confidentialité et est-il en mesure de jouer un rôle plus actif dans la gouvernance de celles‑ci?
  • Dans quelle mesure le retour progressif au travail dans les installations de mon entreprise aura‑t‑il une incidence sur ses contrôles de protection de la confidentialité, dans un contexte où une partie du personnel reste en télétravail?
  • Mon entreprise dispose-t-elle des bons outils de gouvernance pour démontrer et qualifier la mesure dans laquelle les questions de cybersécurité et de confidentialité sont imbriquées dans ses valeurs et sa raison d’être organisationnelles? 
3. Faites en sorte que l’approche de votre entreprise en matière de protection de la confidentialité soit harmonisée avec ses initiatives de décarbonisation énergétique. 

Le traitement des données induit une hausse de la consommation énergétique. À mesure que des technologies émergentes telles que la chaîne de blocs ou des jetons non fongibles tels que le Bitcoin gagnent en popularité, l’utilisation des sources d’énergie requises pour assurer la protection de la confidentialité des données connexes risque d’exploser, ce qui aurait pour effet de miner les efforts de décarbonisation. Cette situation est aggravée sous l’effet de notre virage vers un monde de plus en plus sans papier, qui se traduit par la prolifération toujours grandissante des données à caractère personnel accessibles en ligne, ainsi que des risques d’atteinte à la confidentialité. L’adhésion au cadre de décarbonisation RSIO (Reduce, Switch, Innovate, Offset) peut aider votre entreprise à intégrer la protection de la confidentialité à ses initiatives globales de réduction de sa consommation énergétique. Ce cadre peut se décliner sous diverses formes, notamment par des mesures novatrices axées sur la réduction au minimum des volumes de données recueillies et stockées à l’aide de solutions durables nécessitant une puissance de traitement informatique moindre. 

Pour que votre entreprise puisse parvenir à ses fins efficacement, vous devez vous poser des questions comme celles‑ci :

  • Comment mon entreprise décarbonise‑t‑elle son profil énergétique?
  • Quels sont les volets de la stratégie de protection de la confidentialité de mon entreprise qui présentent le plus de potentiel de réduction, de conversion, d’innovation ou de compensation en termes de consommation énergétique?
  • Selon les lignes directrices du cadre RSIO, comment mon entreprise peut‑elle mettre à niveau ses systèmes de protection de la confidentialité numérique de façon à réduire sa consommation énergétique globale?
  • De quelles cibles de réduction et d’élimination de données mon entreprise peut‑elle se doter pour montrer qu’elle dispose d’un processus bien établi et agile à l’égard des demandes formulées par les personnes concernées, dans une optique de protection de l’environnement?

Que faut‑il en conclure? 

Les risques d’atteinte à la confidentialité évoluent tout aussi rapidement que les attentes des clients et que les cadres législatifs et réglementaires en place. En faisant des questions de protection de la confidentialité un levier essentiel qui favorise l’obtention de progrès mesurables en vue de la réalisation des priorités ESG, votre entreprise montre à ses parties prenantes qu’elle accorde autant d’importance qu’elles à la confidentialité de leurs données. Une telle prise de position peut lui permettre de se démarquer sur un marché de l’après‑pandémie où de nouveaux inducteurs de valeur ont d’ores et déjà une incidence sur son chiffre d’affaires et son résultat net. En matière de gouvernance de la confidentialité, votre entreprise doit faire preuve de la même rigueur que celle qu’elle applique aux fins de la conformité à n’importe quelle autre exigence, de façon à bénéficier du plus essentiel de tous les composants du processus de génération de valeur à long terme, soit la confiance.

Résumé

Dans un monde de plus en plus numérique, il est primordial que votre entreprise intègre la protection de la confidentialité à sa stratégie ESG. Vous pouvez faire en sorte qu’elle améliore sa situation en hissant la protection de la confidentialité au rang de ses priorités ESG et qu’elle se prépare à faire face à l’avenir, notamment en devenant une championne de la protection de la confidentialité, en reconnaissant qu’il s’agit d’un droit de la personne, en appliquant un cadre de gouvernance en la matière qui figure au cœur de sa raison d’être organisationnelle et en harmonisant celui‑ci avec ses initiatives de décarbonisation.

À propos de cet article

Auteurs
Roobi Alam

Leader, Protection des données, EY Canada

Roobi Alam est une professionnelle de la protection des données à caractère personnel ayant à cœur d’aider les organisations et les particuliers à prendre conscience que les données à caractère personnel sont synonymes de pouvoir.

Carlos Perez Chalico

Cybersécurité et protection des renseignements personnels, EY Privé, Canada

J’ai plus de 23 ans d’expérience en cybersécurité, en gestion des risques liés aux TI et en protection des renseignements personnels. Dans mes temps libres, je lis, j’écris, je fais du vélo et du bénévolat.