Les conseillers qui sont actuellement en télétravail en raison de la pandémie doivent continuer de respecter toutes leurs obligations usuelles de protéger les renseignements personnels de leurs clients.
Pour ce faire, ils doivent utiliser les bons outils, suivre les règles de conformité de leur cabinet ou de leur courtier et s’assurer que leur espace de travail à domicile ne risque pas de violer leurs obligations.
C’est entre autres ce qu’a indiqué Annik Bélanger-Krams, avocate aux affaires juridiques et réglementaires de la Chambre de la sécurité financière (CSF), lors du webinaire La conformité à l’ère du numérique, qui était organisé par la CSF le 15 décembre dernier.
Voici quelques astuces pour protéger les renseignements personnels de vos clients qu’elle a énoncées à cette occasion.
Votre espace de travail à domicile est-il sécurisé?
D’abord, un conseiller a l’obligation d’empêcher des tiers, y compris des membres de sa famille, d’avoir accès à ses outils de travail, par exemple son ordinateur portable.
« Dans un contexte de télétravail, parfois les lignes deviennent moins claires entre la vie personnelle et la vie professionnelle. Si, sur votre iPad, vous avez accès à vos courriels, c’est inadéquat de laisser votre enfant jouer à des jeux si c’est facile d’avoir accès aux courriels », a indiqué Annik Bélanger-Krams.
L’avocate a aussi rappelé qu’aucun tiers ne doit voir l’écran du conseiller, ni le visage de ses clients, ni ses dossiers clients : « Cette obligation s’applique à vos proches. Vous devez vous assurer que votre espace de travail ne fait pas face à vos proches. Même chose si vous travaillez près d’une fenêtre: vous devez vous assurer que votre écran ne puisse pas être vu par des passants ou par des voisins. »
Vos outils sont-ils adéquats?
La connexion wifi du conseiller ainsi que son routeur doivent être sécurisés, a-t-elle souligné. En clair, la connexion doit être privée, sécurisée, bien configurée et protégée par un mot de passe adéquat.
« Vous pouvez utiliser le mot de passe qui est fourni par le fournisseur de service internet et qui est mis sur le routeur. Par contre, il faut s’assurer de garder ça à un endroit inaccessible à des tiers et si vous mettez votre propre mot de passe, c’est important d’utiliser un mot de passe adéquat », a noté l’avocate.
D’ailleurs, par rapport au routeur, il est prudent de vérifier si la protection en matière de sécurité est adéquate et mise à jour, qu’il s’agisse d’un routeur fourni par le fournisseur de services de communications ou non.
Par ailleurs, utiliser un réseau ouvert, comme celui d’un café ou de l’aéroport, n’est jamais adéquat pour consulter les documents de vos clients, a souligné Annik Bélanger-Krams. Elle a ajouté que les connexions Bluetooth sont généralement plus vulnérables aux cyberattaques et devraient donc être désactivées.
Tout en rappelant que les fichiers partagés avec le client devraient être cryptés ou chiffrés, l’avocate a noté que les clés USB comportent de nombreux risques, même s’ils ne sont pas interdits par son cabinet ou son institution financière.
« C’est important que la clé USB soit cryptée et ait un mode passe. Malgré cela, ce n’est pas un bon outil pour conserver vos dossiers parce que si vous perdez la clé, vous avez enfreint vos obligations de conservation et de protection de ces dossiers. Il faut faire attention et autant que possible éviter les clés USB », a-t-elle soutenu.
En outre, bien que l’infonuagique offre de nombreux avantages, Annik Bélanger-Krams a soutenu que cette technologie fait qu’un conseiller perd le contrôle des données personnelles de ses clients, car elles sont hébergées chez un tiers.
« Il faut s’assurer que ce prestataire de services respecte les mêmes normes que vous en matière de confidentialité. La première chose à faire est de vérifier auprès de votre cabinet ou de votre courtier pour voir s’ils ont des fournisseurs à vous recommander ou s’ils vous imposent d’utiliser certains fournisseurs », a-t-elle dit.
Que ce soit un conseiller ou son cabinet, il importe de faire une analyse de risque et s’assurer que le fournisseur d’infonuagique puisse garantir que les renseignements personnels soient conservés adéquatement.
« Il faut faire affaire avec un fournisseur qui est situé au Québec ou du moins au Canada. Parce que l’enjeu est que si le fournisseur est à l’étranger, ce sont les lois étrangères qui vont l’encadrer. Le problème est que vous devez respecter les lois du Québec et il y a des lois étrangères qui sont inférieures aux lois du Québec », a noté l’avocate.
Vous adressez-vous réellement à votre client?
Depuis mars, il y a eu une recrudescence du nombre de cas d’hameçonnage, d’où l’importance de s’assurer que la personne qui communique avec un conseiller est bien celle qu’elle prétend être, a fait valoir l’avocate.
Pour ce faire, il suffit de poser au client les trois questions dont lui seul connaît les réponses et qui ont été préalablement consignées au dossier. En cas de première rencontre en vidéoconférence avec un client, il est pertinent de lui demander de présenter une pièce d’identité avec photo à la caméra, puis de lui demander de placer cette pièce d’identité à côté de son visage afin que le conseiller puisse authentifier la personne.
Le point sur l’enregistrement de la vidéoconférence
Un client peut-il enregistrer la vidéoconférence? La réponse est : « ça dépend ». Certains assureurs l’encouragent, d’autres l’interdisent. Donc, il importe de vérifier quelle est la politique interne avant de procéder.
Ensuite, la réglementation n’oblige pas l’enregistrement de ces séances. Et le faire ne dispense pas un conseiller de ses obligations déontologiques. « Vos obligations sont les mêmes », a dit l’avocate.
En plus de bien connaître son client et lui offrir un produit qui convient, un conseiller doit continuer de prendre des bonnes notes et de les consigner au dossier. « Parce qu’on ne voit pas tout le langage corporel, il ne faut pas hésiter à poser plus de questions », a-t-elle souligné.
Le client devra avoir consenti à l’enregistrement de la rencontre. Cette autorisation devrait être soit recueillie lors d’un courriel confirmant la rencontre ou avant de débuter de l’enregistrement de la rencontre afin de conserver une trace de ce consentement.
« Par exemple, au début de la rencontre, obtenez le consentement de votre client à l’enregistrement de celle-ci. S’il accepte, vous pourrez alors débuter l’enregistrement et lui demander de confirmer à nouveau son consentement afin de conserver une trace dans vos dossiers », a-t-elle précisé.