Les régimes de retraite face aux cyberrisques

Publié le 08/05/2024 à 09:35

Les régimes de retraite face aux cyberrisques

Publié le 08/05/2024 à 09:35

Par Jean-François Venne

TJX Winners s’est fait dérober les informations de carte de crédit de plus de 45 millions de clients en 2007. (Photo: 123RF)

ASSURANCES COLLECTIVES. Les régimes de retraite recueillent une grande quantité de données personnelles ou confidentielles et administrent des actifs importants par le truchement des technologies de l’information. Leurs dirigeants doivent donc bien gérer les risques de cybercriminalité. 

Les cyberrisques inquiètent de plus en plus les employeurs qui offrent des régimes de retraite et ceux qui les gèrent. Ils ont bien raison de s’en soucier. L’an dernier, la firme Ernst & Young rappelait dans une note que les fournisseurs de services engagés par les promoteurs de régimes de retraite publics ont tendance à être des cibles de choix pour les cybercriminels. Les sociétés financières qui gèrent les placements sont aussi à risque. 

Par ailleurs, le partage des responsabilités manque de clarté aux yeux des administrateurs. « Les comités de retraite sont fiduciaires des régimes de retraite à prestations déterminées et à cotisations déterminées, donc ils veulent savoir dans quelles mesures ils sont responsables de la protection des données et quelles autres parties prenantes partagent cette responsabilité », explique Stacy Beaulieu, associée, solutions pour le patrimoine chez Aon. 

Or, un certain flou subsiste. Au Québec, la loi sur les régimes complémentaires de retraite ne mentionne pas les cyberrisques. Quant à la loi 25, qui resserre les règles en matière de protection des renseignements personnels, elle ne s’applique qu’aux entreprises. 

« Ce n’est pas clair en ce moment si les régimes de retraite sont considérés comme des entreprises au sens de la loi, souligne Me Antoine Aylwin, associé et cochef de la pratique vie privée et cybersécurité de Fasken. Mais, dans les faits, ces régimes mandatent des entreprises, tels des cabinets d’actuaires, pour gérer les renseignements personnels qu’ils recueillent. Et la loi s’applique à ces entreprises, tout comme aux employeurs qui offrent les régimes. »

 

Des lignes directrices 

L’Association canadienne des organismes de contrôle des régimes de retraite (ACOR), dont fait partie Retraite Québec, consacre toute une section aux cyberrisques dans sa nouvelle ligne directrice sur la gestion des risques. Celle-ci pourrait entrer en vigueur plus tard en 2024 et s’appliquera à tous les régimes de retraite au Canada. 

Dans la version publiée en mai 2023, la future ligne directrice prescrit notamment l’adoption de mesures de contrôle appropriées pour gérer les cyberrisques, et l’attribution de rôles et de responsabilités clairement définies en matière de gestion de la cybersécurité. Des lignes directrices ont aussi été présentées par les autorités réglementaires financières en Colombie-Britannique et en Ontario. Le Bureau du surintendant des institutions financières a de son côté communiqué ses attentes quant au signalement d’un incident lié à la technologie ou à la cybersécurité pour les régimes de retraite sous juridiction fédérale.

 

Sécurité, confidentialité, consentement 

Les régimes de retraite sont clairement soumis aux règles de base en protection des renseignements personnels. Cette obligation n’en est pas une de résultat, mais de moyens. « Les lois ne prescrivent pas de moyens précis, parce que la technologie évolue trop rapidement, mais exige que l’entreprise prenne des mesures raisonnables pour protéger ces renseignements », explique-t-il.

Il donne l’exemple de TJX Winners, qui s’est fait dérober les informations de carte de crédit de plus de 45 millions de clients en 2007. La commissaire à la vie privée du Canada, Jennifer Stoddart, a jugé que l’entreprise avait collecté trop d’informations, qu’elles les avaient conservées trop longtemps et surtout qu’elle utilisait un protocole de cryptage faible et dépassé. 

Les exigences légales sont basées sur trois piliers : la sécurité, la confidentialité et le consentement initial des personnes concernées. « La sécurité dépend beaucoup de la bonne gouvernance des données, estime Me Aylwin. Le régime doit savoir quelles données il a en sa possession, en contrôler l’accès et bien gérer les contrats de fournisseurs externes. »

Les régimes de retraite doivent en effet accorder une attention particulière au transfert de données à des fournisseurs de services tiers. Le contrat doit être bien défini et très explicite. Les administrateurs doivent savoir où leurs données sont hébergées et qui y a accès, et s’assurer qu’elles ne seront utilisées que pour les fins du régime. 

« On doit garder en tête que même avec de grandes précautions, il y a de bonnes chances qu’un incident de cybersécurité se produise, souligne pour sa part Stacy Beaulieu. Alors on doit se préparer. » 

Me Aylwin abonde dans son sens. Il rappelle que les premières heures après avoir pris connaissance d’un incident sont cruciales et peuvent déterminer l’étendue des dégâts. « Donc, on doit avoir un plan, conseille-t-il. Si vous commencez à élaborer un plan parce qu’il y a un incident, c’est déjà trop tard. »

Sur le même sujet

Des prestations de santé partiellement satisfaisantes

14/05/2024 | Avantages

Les prestations de santé offertes par les employeurs ne répondent pas aux besoins de plus de 50% des employés.

L'âge de la retraite aligné sur l'espérance de vie

13/05/2024 | Avantages

Le gouvernement tchèque dit vouloir empêcher un effondrement du système de retraite.

OPINION Occasion générationnelle dans les titres à revenu fixe
10/05/2024 | Avantages
Les employeurs en quête de gestion des coûts et des risques
08/05/2024 | Jean-François Venne
L'inflation pèse sur les avantages sociaux
08/05/2024 | Jean-François Venne

À la une

Le Québec pâtira-t-il de la guerre commerciale verte avec la Chine?

17/05/2024 | François Normand

ANALYSE. Les producteurs d’acier craignent que la Chine inonde le marché canadien, étant bloquée aux États-Unis.

Bourse: Wall Street finit en ordre dispersé, le Dow Jones clôture au-dessus des 40 000 points

Mis à jour le 17/05/2024 | lesaffaires.com, AFP et Presse canadienne

REVUE DES MARCHÉS. La Bourse de New York a terminé en ordre dispersé.

À surveiller: AtkinsRéalis, Boralex et Lightspeed

17/05/2024 | Charles Poulin

Que faire avec les titres AtkinsRéalis, Boralex et Lightspeed? Voici des recommandations d’analystes.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024