Page précédante | Menu | Page suivante
Que faire en cas d'intrusion
Mesures à prendre lorsque des renseignements sont compromis
Mettez en place un plan d'action pour réagir en cas de vol ou de disparition de renseignements.
Agissez rapidement peut aider à réduire les dommages potentiels et éviter à votre organisation d'être tenue responsable dans une poursuite civile.
Pour réagir à une intrusion, vous devez suivre deux pistes à la fois :
- mener une enquête interne et
- élaborer un plan pour informer les personnes à l'extérieur de l'organisation qu'il y a eu intrusion.
Enquêter sur l'incident
Vous devez comprendre ce qui s'est passé. Il faut donc déterminer :
- Quels renseignements ont été volés?
- Quand ont-ils été volés?
- Comment l'intrusion s'est-elle produite?
- Quels dossiers ont été touchés?
- Quelles mesures faut-il prendre pour faire en sorte qu'aucune autre donnée ne soit volée ou perdue?
- Y a-t-il lieu de chercher conseil auprès de votre avocat et/ou comptable?
Informer les clients et les organisations externes
Lorsqu'il y a intrusion, vous devez agir rapidement pour informer les clients touchés. Si vous ne gérez pas la situation de façon adéquate, les dommages causés à votre entreprise pourraient être énormes et permanents.
Le temps de réaction est important. Le fait d'avertir rapidement les clients de l'intrusion peut aider à prévenir le vol d'identité ou à en limiter les conséquences.
Personnalisez la lettre que vous enverrez aux personnes concernées. Assurez-vous qu'elle est préparée sur le papier à en-tête de votre entreprise et signée par un représentant de niveau supérieur. N'oubliez pas de mettre le logo ou le nom de l'entreprise sur l'enveloppe.
Si le nombre d'individus tpuchés est restreint, avisez-les immédiatement. S'il s,agit plutôt d'un grand nombre de personnes (plus de 100), vous pourriez discuter de la façon la plus efficace d'informer les victimes potentielles en consultant d'abord les organisations suivantes :
- Les agences d'évaluation du crédit du Canada :
- Equifax
(1-866-779-6440); - TransUnion Canada
1-877-525-3823 (au Québec :1-877-713-3393); et - les Bureaux de crédit du Nord
(1-800-532-8784)
- Equifax
- Les autorités policières
- Les personnes ou les entreprises touchées
- Les Commissaires à la protection de la vie privée
- Agences d'évaluation du crédit.
- Communiquez avec les spécialistes de la fraude d'Equifax, de TransUnion et, selon le cas, des Bureaux de crédit du Nord, pour discuter du type d'avertissement et d'aide nécessaire pour veiller au traitement adéquat de la fraude. Les agences d'évaluation du crédit vous aideront à déterminer s'il y a lieu de lancer un avis de fraude.
- Un avis de fraude indique aux créanciers de communiquer avec la personne touchée avant d'approuver un nouveau compte ou de modifier les comptes existants; ce qui peut être un outil efficace pour protéger vos clients contre le vol.
- Lors des discussions avec les agences d'évaluation du crédit, vous devriez demander un numéro d'atteinte de sécurité de l'information, et informer les clients touchés d'utiliser ce numéro lors de toutes leurs communications avec les ARC.
- Autorités policières.
- Vous devriez téléphoner au service de police de votre localité pour l'informer de l'intrusion et, si on vous le recommande, faites un rapport de vol. Vous devez également signaler l'intrusion au centre d'appel national PhoneBusters, le centre d'appel antifraude du Canada
(1 888 495-8501) ou faire un rapport électronique sur le site Web de la GRC pour signaler les crimes économiques (RECOL.ca). - Personnes et entreprises touchées.
- Déterminez comment informer les personnes touchées par l'intrusion. Vous devez les informer de la nature de l'incident, du type de renseignements volés, de la probabilité qu'ils soient utilisés à mauvais escient et des conséquences éventuelles du vol d'identité.
- Donnez-leur les renseignements nécessaires pour communiquer avec la personne-ressource au sein de votre organisation, avec les agences d'évaluation du crédit et, le cas échéant, avec la police.
- Fournissez-leur également les renseignements à jour sur le vol d'identité. Le site Web du CMC contient des renseignements pour aider les gens à se protéger contre le vol d'identité et ce qu'il faut faire s'ils en sont victimes.
- Commissaires à la protection de la vie privée.
- Indépendant du gouvernement, le commissaire fédéral cherche à promouvoir la protection des renseignements personnels et s'assure du respect de la LPRPDE. Communiquez avec le bureau du commissaire pour obtenir des conseils sur les questions touchant la protection de la vie privée en cas d'intrusion.
- Veuillez noter que le Québec, la Colombie Britannique et l'Alberta ont des lois distinctes sur la protection des renseignements personnels, qui sont très similaires à la LPRPDE.
- Par conséquent, si vous exploitez votre entreprise dans l'une de ces provinces, veuillez communiquer avec le commissaire provincial compétent. Vous pouvez joindre le commissaire fédéral au
1 800 282-1376 ou à www.privcom.gc.ca où vous trouverez également des liens vers les commissaires des provinces.
Communiquer avec les médias
Selon la nature de l'intrusion et le nombre de personnes touchées, il est possible que vous deviez répondre à des appels des médias. Il serait judicieux de préparer également une réponse à l'intention des médias lorsque vous rédigez les lettres destinées aux personnes touchées.
Soyez franc et mettez l'accent sur les mesures que vous prenez pour régler la situation. Diffuser de l'information dans les médias peut permettre de faire peur au voleur et l'empêcher d'utiliser les renseignements dérobés puisqu'il comprendra que les agences d'évaluation du crédit et la police attendent qu'il s'en serve.