TJX Winners s’est fait dérober les informations de carte de crédit de plus de 45 millions de clients en 2007. (Photo: 123RF)
ASSURANCES COLLECTIVES. Les régimes de retraite recueillent une grande quantité de données personnelles ou confidentielles et administrent des actifs importants par le truchement des technologies de l’information. Leurs dirigeants doivent donc bien gérer les risques de cybercriminalité.
Les cyberrisques inquiètent de plus en plus les employeurs qui offrent des régimes de retraite et ceux qui les gèrent. Ils ont bien raison de s’en soucier. L’an dernier, la firme Ernst & Young rappelait dans une note que les fournisseurs de services engagés par les promoteurs de régimes de retraite publics ont tendance à être des cibles de choix pour les cybercriminels. Les sociétés financières qui gèrent les placements sont aussi à risque.
Par ailleurs, le partage des responsabilités manque de clarté aux yeux des administrateurs. « Les comités de retraite sont fiduciaires des régimes de retraite à prestations déterminées et à cotisations déterminées, donc ils veulent savoir dans quelles mesures ils sont responsables de la protection des données et quelles autres parties prenantes partagent cette responsabilité », explique Stacy Beaulieu, associée, solutions pour le patrimoine chez Aon.
Or, un certain flou subsiste. Au Québec, la loi sur les régimes complémentaires de retraite ne mentionne pas les cyberrisques. Quant à la loi 25, qui resserre les règles en matière de protection des renseignements personnels, elle ne s’applique qu’aux entreprises.
« Ce n’est pas clair en ce moment si les régimes de retraite sont considérés comme des entreprises au sens de la loi, souligne Me Antoine Aylwin, associé et cochef de la pratique vie privée et cybersécurité de Fasken. Mais, dans les faits, ces régimes mandatent des entreprises, tels des cabinets d’actuaires, pour gérer les renseignements personnels qu’ils recueillent. Et la loi s’applique à ces entreprises, tout comme aux employeurs qui offrent les régimes. »
Des lignes directrices
L’Association canadienne des organismes de contrôle des régimes de retraite (ACOR), dont fait partie Retraite Québec, consacre toute une section aux cyberrisques dans sa nouvelle ligne directrice sur la gestion des risques. Celle-ci pourrait entrer en vigueur plus tard en 2024 et s’appliquera à tous les régimes de retraite au Canada.
Dans la version publiée en mai 2023, la future ligne directrice prescrit notamment l’adoption de mesures de contrôle appropriées pour gérer les cyberrisques, et l’attribution de rôles et de responsabilités clairement définies en matière de gestion de la cybersécurité. Des lignes directrices ont aussi été présentées par les autorités réglementaires financières en Colombie-Britannique et en Ontario. Le Bureau du surintendant des institutions financières a de son côté communiqué ses attentes quant au signalement d’un incident lié à la technologie ou à la cybersécurité pour les régimes de retraite sous juridiction fédérale.
Sécurité, confidentialité, consentement
Les régimes de retraite sont clairement soumis aux règles de base en protection des renseignements personnels. Cette obligation n’en est pas une de résultat, mais de moyens. « Les lois ne prescrivent pas de moyens précis, parce que la technologie évolue trop rapidement, mais exige que l’entreprise prenne des mesures raisonnables pour protéger ces renseignements », explique-t-il.
Il donne l’exemple de TJX Winners, qui s’est fait dérober les informations de carte de crédit de plus de 45 millions de clients en 2007. La commissaire à la vie privée du Canada, Jennifer Stoddart, a jugé que l’entreprise avait collecté trop d’informations, qu’elles les avaient conservées trop longtemps et surtout qu’elle utilisait un protocole de cryptage faible et dépassé.
Les exigences légales sont basées sur trois piliers : la sécurité, la confidentialité et le consentement initial des personnes concernées. « La sécurité dépend beaucoup de la bonne gouvernance des données, estime Me Aylwin. Le régime doit savoir quelles données il a en sa possession, en contrôler l’accès et bien gérer les contrats de fournisseurs externes. »
Les régimes de retraite doivent en effet accorder une attention particulière au transfert de données à des fournisseurs de services tiers. Le contrat doit être bien défini et très explicite. Les administrateurs doivent savoir où leurs données sont hébergées et qui y a accès, et s’assurer qu’elles ne seront utilisées que pour les fins du régime.
« On doit garder en tête que même avec de grandes précautions, il y a de bonnes chances qu’un incident de cybersécurité se produise, souligne pour sa part Stacy Beaulieu. Alors on doit se préparer. »
Me Aylwin abonde dans son sens. Il rappelle que les premières heures après avoir pris connaissance d’un incident sont cruciales et peuvent déterminer l’étendue des dégâts. « Donc, on doit avoir un plan, conseille-t-il. Si vous commencez à élaborer un plan parce qu’il y a un incident, c’est déjà trop tard. »