Chers employés, vos données ont été divulguées

Publié le 15/03/2023 à 07:30

Chers employés, vos données ont été divulguées

Publié le 15/03/2023 à 07:30

Par Catherine Charron

Le 8 mars dernier, on apprenait par exemple que les informations récoltées par les cybercriminels chez Indigo, qui a décidé de ne pas payer la rançon demandée, étaient bien plus sensibles que précédemment escompté. (Photo: 123RF)

RHéveil-matin est une rubrique quotidienne où l’on présente aux gestionnaires et à leurs employés des solutions inspirantes pour bien commencer leur journée. En sirotant votre breuvage préféré, découvrez des astuces inédites pour rendre vos 9@5 productifs et stimulants.


RHÉVEIL-MATIN. Au cours des dernières semaines, les géants canadiens Sobeys et Indigo ont été contraints d’annoncer à leurs employés — et à ceux qui les avaient quittées — que des pirates informatiques avaient potentiellement mis la main sur leurs données personnelles.

Au-delà des lois qui obligent les patrons à contacter les victimes rapidement à la suite d’un tel incident, cette délicate opération doit être exécutée avec compassion, car l’annonce d’une telle nouvelle peut créer son lot de détresse chez les individus concernés.

Ce que la loi prescrit

La Loi sur la protection des renseignements personnels et les documents électroniques est on ne peut plus claire quant au moment où une entreprise doit contacter un employé dont les données lui ont été dérobées.

L’«avis aux intéressés doit être remis dès que possible après que vous avez déterminé qu’une atteinte aux mesures de sécurité impliquant un risque réel de préjudice grave a eu lieu», est-il écrit.

Elle énumère aussi le genre de précisions que l’entreprise doit apporter dans cette communication, tout comme ce que l’organisation compte faire pour minimiser les risques des préjudices.

Le 8 mars dernier, on apprenait par exemple que les informations récoltées par les cybercriminels chez Indigo, qui a décidé de ne pas payer la rançon demandée, étaient bien plus sensibles que précédemment escompté.

La librairie a donc alerté directement les personnes visées, précisant au passage le genre d’informations dérobées et qui pourraient circuler sur le «dark-web», peut-on lire dans un article écrit par La Presse canadienne.

À moins que l’envoi d’un tel avis puisse «causer un préjudice accru à l’intéressé», «représenter une difficulté excessive pour l’organisation», ou que celle-ci n’ait pas les coordonnées de la personne, elle doit lui envoyer un avis direct.

 

À faire, et ne pas faire

Peu importe le genre de mauvaise nouvelle qu’une entreprise doit transmettre à ses employés, la conférencière en leadership, gestion et communication Annie Boilard recommande de suivre un canevas bien précis pour en minimiser les répercussions négatives.

Ainsi, après avoir informé les personnes directement touchées de la brèche de sécurité, l’organisation doit rapidement donner l’heure juste au reste de son équipe. «Idéalement on essaye de se voir. Certains vont passer par le téléphone, mais on évite de l’annoncer par courriel. On le fait suivre après», conseille l’experte.

Les premières phrases du message doivent faire preuve d’humanité. «“Ça ne nous fait pas plaisir’’, “on est mal à l’aise de vous dire…’’ on fait preuve d’émotion, tout en étant authentique et sincère. Ensuite, on va droit au but. On explique la raison de cette rencontre […] et on évite à tout prix de tourner autour du pot», précise la fondatrice du Réseau Annie RH.

Après avoir annoncé que des données sensibles ont été compromises, l’entreprise doit expliquer l’impact de ce malheureux événement sur les employés, mais aussi sur les clients qui pourraient être concernés. Elle doit clore son allocution par les ressources mises à la disposition de ses équipes pour en réduire les conséquences.

L'entreprise doit aller au-delà de la simple offre de protection d'Equifax ou TransUnion, selon Eric Provencher d'HUMANA conseil. «La qualité des mesures de rattrapage et le degré d'accompagnement offert aux employés sont très importants», écrit-il.

Elle peut par exemple «identifier un responsable à contacter et des accompagnements personnalisés au besoin. Elle démontre son sérieux dans la situation et ne se contente pas de déléguer» à une tierce partie.

La règle d’or ici, estime Annie Boilard, c’est la transparence. L’entreprise doit s’en tenir aux faits, et indiquer ce qu’elle connaît ou non dans les circonstances actuelles.

«Il ne faut pas attendre le moment parfait ou d’avoir toutes les informations en main pour en faire l’annonce. Quand je le sais, je passe à l’action quitte à dire “la prochaine étape, c’est…’’.»

Tous les salariés ne seront pas ébranlés de la même façon par la divulgation de leurs informations personnelles, rappelle l’experte. Le deuil d’un sentiment de sécurité pourrait se manifester très tôt chez certains, alors que d’autres pourraient prendre un peu de temps avant de digérer la nouvelle. L’entreprise devra donc demeurer alerte à tout signe de détresse dans les jours voire les semaines qui suivront.

«C’est reconnaître qu’on a eu une faille dans le processus, qu’on a failli à notre obligation légale, on met à risque nos employés, souligne Annie Boilard. Ça crée de l’insécurité et de l’anxiété.»

Eric Provencher est d'avis qu'une entreprise qui aura démontré par le passé le sérieux de ses mesures de sécurité mises en place devrait mieux s'en tirer qu'une autre qui au contraire semble «faire preuve de négligence».

Néanmoins, rappelle le psychologue organisationnel, «un lien de confiance, ça se construit sur le long terme, mais c'est fragile».

 

Pour ne plus rater ce rendez-vous, recevez votre RHéveil-matin dans votre boîte de courriels!



Sur le même sujet

Ottawa investira 50M$ pour aider les travailleurs touchés par l'IA

Mis à jour le 22/04/2024 | La Presse Canadienne

Cette somme figurait dans le budget fédéral présenté mardi passé.

Quand l’IA prédit la démission des salariés

19/04/2024 | AFP

L’outil analyse les données sur les anciens salariés qui ont quitté l’entreprise.

OPINION Technologistes médicaux: une pénurie silencieuse qui crée des retards dans le réseau
19/04/2024 | La Presse Canadienne
Lion Électrique supprime 120 emplois dans le cadre d’une restructuration
18/04/2024 | La Presse Canadienne
Emploi au Québec en mars: le secteur public sort gagnant
05/04/2024 | La Presse Canadienne

À la une

Chaînes d'approvisionnement durables: comment rallier vos fournisseurs à la cause?

Il y a 15 minutes | Magali Depras

EXPERTE INVITÉE. Les chaînes d’approvisionnement sont plus que jamais sous les feux des projecteurs!

«La productivité de l’entreprise a augmenté au bas mot de 50%»

Mis à jour il y a 6 minutes | lesaffaires.com

POUR OU CONTRE LE TÉLÉTRAVAIL. «Il est déplorable qu’on y associe un élément de paresse et de non-productivité.»

Faire preuve de prudence sur les réseaux sociaux après un licenciement

Il y a 12 minutes | La Presse Canadienne

Les employés des nouvelles générations filment l’expérience émotionnelle et la diffusent sur les réseaux sociaux.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024