La gestion et le transfert des données constituent un domaine de risque clé pour les promoteurs de régimes de retraite, car la vulnérabilité liée à l’engagement avec des tiers crée des opportunités pour les cybercriminels.
Les prestataires de services tiers engagés par les promoteurs de régimes de retraite publics ont tendance à être des cibles de choix pour les cybercriminels, selon une note d’information en ligne publiée l’année dernière par Ernst & Young. Les vulnérabilités peuvent être trouvées dans les sites web des promoteurs de plans et les portails des membres, indique le rapport, notant que les organisations d’investissement sont également à risque en raison de la gestion des opérations d’investissement effectuée par leur personnel.
En effet, la pandémie de coronavirus a mis en lumière la nécessité d’une maintenance des données en ligne au Canada, les entreprises cherchant à collecter des informations plus complètes, souligne Jillian Kennedy, associée chez Mercer.
À mesure que les promoteurs de régimes recueillent davantage de données sur le comportement des affiliés en matière d’épargne, de participation au régime ou d’investissements, ils reconnaissent de plus en plus la responsabilité qui découle de la gestion de toutes ces informations et les dommages potentiels d’une mauvaise gestion des pools de données modernes, explique Mme Kennedy.
« Aujourd’hui, une compagnie d’assurance canadienne serait en mesure de recueillir des données sur le salaire, la date de naissance, des données extérieures au régime de retraite [et] des données sur le conjoint [de l’affilié] – en gros, un profil complet d’une personne – et d’utiliser ces données pour orienter cette personne dans une direction ou dans une autre. »
Les promoteurs de régimes améliorent les politiques relatives aux risques de cybersécurité afin de protéger les affiliés, mais la route est encore longue. Mme Kennedy estime qu’il faut davantage d’instructions sur la distinction des responsabilités et prévoit que d’autres provinces adopteront des lois améliorées et renforcées sur la protection de la vie privée.
Ces politiques seront probablement continues, ce qui signifie qu’il y aura des itérations des lignes directrices initiales, car les menaces dans le domaine de la cybersécurité continuent d’évoluer rapidement. « Il existe déjà une base [pour] la confiance au Canada. [À l’avenir, les lignes directrices porteront sur les risques liés aux nouveaux processus et aux nouvelles façons d’utiliser les informations et les données que nous devrons protéger. Tel est l’esprit des règles qui seront adoptées au Canada. »
Selon elle, les promoteurs de régimes mettent également en œuvre des évaluations des risques liés aux données plus fréquemment qu’auparavant afin d’examiner les normes en vigueur avec leurs partenaires. « Ils le font régulièrement, même si le tiers ne change pas. »
Ils rédigent également des politiques sur les risques liés aux données qui précisent les rôles et les responsabilités de chaque partie pendant la transition des données entre les partenaires, explique Mme Kennedy, en soulignant que ces contrats obligent toutes les parties prenantes à s’asseoir à la table et à s’engager dans la protection des participants au régime et facilitent l’identification des lacunes en matière de sécurité par les promoteurs de régime lorsque les choses tournent mal.
Ce texte a été publié initialement sur Benefits Canada.