Les conseillers qui sont actuellement en télétravail en raison de la pandémie doivent continuer de respecter toutes leurs obligations usuelles de protéger les renseignements personnels de leurs clients.
Pour ce faire, ils doivent utiliser les bons outils, suivre les règles de conformité de leur cabinet ou de leur courtier et s’assurer que leur espace de travail à domicile ne risque pas de contrevenir à leurs obligations.
C’est entre autres ce qu’a indiqué Annik Bélanger-Krams, avocate aux affaires juridiques et réglementaires de la Chambre de la sécurité financière (CSF), lors du webinaire «La conformité à l’ère du numérique»qui était organisé par la CSF le 15 décembre dernier.
Voici quelques astuces pour protéger les renseignements personnels de vos clients qu’elle a énoncées à cette occasion.
Votre espace de travail à domicile est-il sécurisé ?
D’abord, un conseiller a l’obligation d’empêcher des tiers, y compris des membres de sa famille, d’utiliser ses outils de travail, par exemple son ordinateur portable.
«Dans un contexte de télétravail, parfois les lignes deviennent moins claires entre la vie personnelle et la vie professionnelle. Si, sur votre iPad, vous avez accès à vos courriels, c’est inadéquat de laisser votre enfant jouer à des jeux si c’est facile de voir les courriels», a indiqué Annik Bélanger-Krams.
L’avocate a aussi rappelé qu’aucun tiers ne doit voir l’écran du conseiller, ni le visage de ses clients, ni ses dossiers clients:«Cette obligation s’applique à vos proches. Vous devez vous assurer que votre espace de travail ne fait pas face à vos proches. Même chose si vous travaillez près d’une fenêtre:vous devez vous assurer que votre écran ne peut pas être vu par des passants ou par des voisins.»
Vos outils sont-ils adéquats ?
La connexion WI-FI du conseiller ainsi que son routeur doivent être sécurisés, a-t-elle souligné. En clair, la connexion doit être privée, sécurisée, bien configurée et protégée par un mot de passe convenable.
«Vous pouvez utiliser le mot de passe qui est fourni par le fournisseur de service internet et qui est mis sur le routeur. Par contre, il faut s’assurer de garder ça dans un endroit inaccessible à des tiers et si vous mettez votre propre mot de passe, c’est important qu’il soit adéquat», a noté l’avocate.
D’ailleurs, concernant le routeur, il est prudent de vérifier si la protection en matière de sécurité est appropriée et mise à jour, qu’il s’agisse d’un appareil fourni par le fournisseur de services de communications ou non.
Par ailleurs, utiliser un réseau ouvert, comme celui d’un café ou d’un aéroport, n’est jamais recommandé pour consulter les documents de vos clients, a souligné Annik Bélanger-Krams.
Elle a ajouté que les connexions Bluetooth sont généralement plus vulnérables aux cyberattaques et devraient donc être désactivées. Tout en rappelant que les fichiers partagés avec le client devraient être cryptés ou chiffrés, l’avocate a souligné que les clés USB comportent de nombreux risques, même si elles ne sont pas interdites par son cabinet ou son institution financière.
«C’est important que la clé USB soit cryptée et protégée par un mot de passe. Malgré cela, ce n’est pas un bon outil pour conserver vos dossiers, parce que si vous perdez la clé, vous avez enfreint vos obligations de conservation et de protection de ces dossiers. Il faut faire attention et autant que possible éviter les clés USB», a-t-elle soutenu.
En outre, bien que l’infonuagique offre de nombreux avantages, Annik Bélanger-Krams a observé que le recours à cette technologie a pour résultat que le conseiller perd le contrôle des données personnelles de ses clients, car elles sont hébergées chez un tiers.
«Il faut s’assurer que ce prestataire de services respecte les mêmes normes que vous en matière de confidentialité. La première chose à faire est de vérifier auprès de votre cabinet ou de votre courtier pour voir s’il a des fournisseurs à vous recommander ou s’il vous impose d’utiliser certains fournisseurs», a-t-elle dit.
Tant pour un conseiller que pour son cabinet, il importe de faire une analyse de risque et de s’assurer que le fournisseur d’infonuagique garantit que les renseignements personnels sont conservés adéquatement.
«Il faut faire affaire avec un fournisseur situé au Québec ou du moins au Canada. Parce que l’enjeu est que si le fournisseur est à l’étranger, ce sont les lois étrangères qui l’encadrent. Le problème est que vous devez respecter les lois du Québec et il y a des lois étrangères qui sont inférieures aux lois du Québec», a noté l’avocate.
Vous adressez-vous réellement à votre client ?
Depuis mars, il y a eu une recrudescence du nombre de cas d’hameçonnage, d’où l’importance de s’assurer que la personne qui communique avec un conseiller est bien celle qu’elle prétend être, a fait valoir l’avocate.
Pour ce faire, il suffit de poser au client les trois questions dont lui seul connaît les réponses et qui ont été préalablement consignées au dossier. En cas de première rencontre en vidéoconférence avec un client, il est pertinent de lui demander de présenter une pièce d’identité avec photo à la caméra, puis de placer cette pièce d’identité à côté de son visage afin que le conseiller puisse authentifier la personne.
Le point sur l’enregistrement de la vidéoconférence
Le conseiller peut-il enregistrer la vidéoconférence ? La réponse est:«ça dépend». Certains assureurs l’encouragent, d’autres l’interdisent. Donc, il importe de vérifier quelle est la politique interne avant de procéder.
Ensuite, la réglementation n’oblige pas l’enregistrement de ces séances. Et le faire ne dispense pas le conseiller de ses obligations déontologiques. «Vos obligations sont les mêmes», a dit l’avocate.
En plus de bien connaître son client et de lui offrir un produit qui convient, le conseiller doit continuer de prendre des notes et de les consigner au dossier. «Parce qu’on ne voit pas tout le langage corporel, il ne faut pas hésiter à poser plus de questions», a-t-elle souligné.
Le client devra avoir consenti à l’enregistrement de la rencontre. Cette autorisation devrait être recueillie soit dans un courriel confirmant la rencontre, ou avant de commencer l’enregistrement, et ce, afin de conserver une trace de ce consentement.
«Par exemple, au début de la rencontre, obtenez le consentement de votre client à l’enregistrement de celle-ci. S’il accepte, vous pourrez alors commencer l’enregistrement et lui demander de confirmer à nouveau son consentement afin de conserver une trace dans vos dossiers», a-t-elle précisé.