Sécurité de l’information et télétravail : employeur

Que peuvent faire les organisations pour assurer la protection des renseignements personnels et la sécurité de l’information en situation de télétravail?

Les organismes publics et les entreprises ont l’obligation de mettre en place des mesures de sécurité propres à assurer la protection des renseignements personnels (art. 63.1 de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels; art. 10 de la Loi sur la protection des renseignements personnels dans le secteur privé). Cela vaut également en contexte de télétravail.

Voici des bonnes pratiques pour les organisations en cette matière :

  • établir une politique de sécurité, incluant des éléments liés au télétravail, et la diffuser à tous leurs employés;
  • fournir à leurs employés de l’équipement sécuritaire adapté au télétravail, dans la mesure du possible;
  • faire la surveillance et l’entretien des dispositifs organisationnels, notamment en s’assurant d’installer les dernières mises à jour de sécurité pour tous les logiciels utilisés, incluant les systèmes d’exploitation, les antivirus et les pare-feu;
  • mettre en place un réseau virtuel privé (RVP) si possible;
  • privilégier des outils de communication chiffrés de bout en bout;
  • opter pour des mécanismes d’authentification plus stricts (ex. authentification à deux facteurs) pour les systèmes organisationnels;
  • choisir des fournisseurs de services (ex. : visioconférence, etc.) dont les pratiques en matière de protection des renseignements personnels sont connues et respectent la législation en vigueur;
  • tenir un registre de tout document physique (sur support papier, par exemple) contenant des renseignements personnels et emporté au domicile d’un employé, tout en limitant cette possibilité aux seuls contextes où les documents sont indispensables pour la continuité du travail;
  • offrir des formations sur la protection des renseignements personnels et la sécurité de l’information en situation de télétravail à leurs employés.

Si un incident de sécurité devait néanmoins se produire en raison des circonstances liées à la pandémie, la Commission recommande aux entreprises et aux organismes de le lui déclarer comme ils le feraient en temps normal.

Pour plus d’informations, voir les fiches Problèmes de sécurité liés au télétravail et Facteurs à considérer pour l’utilisation de produits et services de vidéoconférence du Centre canadien pour la cybersécurité.

 

Mise à jour : 1 mai 2020