Sécurité des données et protection des renseignements personnels

La gestion du risque au service de la sécurité des données et des systèmes

Tandis que de nouvelles cybermenaces continuent de surgir, nous devons explorer le paysage en constante évolution de la protection des données pour perpétuer notre résilience organisationnelle. Nous utilisons les données dans le but de concrétiser notre raison d’être. Ce faisant, nous avons l’obligation de protéger les renseignements personnels des Clients et des employés, et d’être transparents et responsables. Nous devons repérer les menaces et prévenir les attaques avant qu’elles ne surviennent. Ces engagements nécessitent l’évolution continue de nos meilleures pratiques.

Notre approche

La formation et la vigilance de nos employés sont essentielles pour assurer la protection des données de nos Clients. Chaque année, les employés suivent un cours obligatoire sur la sécurité et la protection des renseignements personnels. Cette formation les aide à comprendre leurs responsabilités, les règles applicables et la façon de protéger les données et les renseignements personnels des Clients.

De plus, nous fournissons des conseils et proposons des programmes de sensibilisation qui aident les employés à approfondir leurs connaissances. Par exemple, notre équipe de la sécurité effectue des simulations d’hameçonnage interactives. Grâce à ces exercices, les employés apprennent à repérer les vraies cybermenaces.

La cybersécurité est une préoccupation grandissante pour le public – et une priorité pour la Sun Life. Les organisations du monde entier font face à de plus en plus d’attaques contre leurs systèmes informatiques perpétrées par des groupes sophistiqués.

Notre vice-président principal et premier directeur de la sécurité informatique est chargé de surveiller, à l’échelle mondiale, la mise en place de notre programme de sécurité informatique et de nos Principes directeurs en matière de gestion du risque de sécurité. Il dirige une équipe de plus de 200 personnes hautement qualifiées. Son mandat englobe les activités de développement, de mise en place et de gestion opérationnelle de la Sun Life pour tout ce qui concerne la stratégie de sécurité, l’évaluation des risques, les contrôles de sécurité, la surveillance, l’intervention en cas d’incident et la conformité. Il dirige aussi l’équipe de gestion de crise à l’échelle mondiale et est responsable de signaler les risques technologiques.

Nous continuons de faire évoluer nos mesures de cyberdéfense pour qu’elles demeurent efficaces contre les menaces émergentes. Par exemple :

  • Meilleures pratiques de défense – Nos programmes de sécurité intègrent les principales normes, comme le cadre de cybersécurité du National Institute of Standards and Technology. Ce cadre décrit les meilleures pratiques que les entreprises peuvent adopter pour gérer et réduire les risques liés à la cybersécurité.
  • Mécanismes de contrôle multiples – Nous utilisons un modèle à trois lignes de défense pour gérer les risques de sécurité (voir la section Gestion du risque). Nous appliquons une « stratégie de défense évoluée » qui prévoit plusieurs mécanismes de contrôle pour protéger les données. En voici quelques exemples : pare-feu pour les applications Web, protection contre les logiciels malveillants, chiffrement des données, surveillance contre les intrusions et protection contre les menaces par courriel.
  • Vérification de la sécurité – Nous vérifions et testons périodiquement la sécurité de nos systèmes et de nos pratiques liés aux données des Clients. L’équipe de la sécurité évalue l’efficacité de nos mécanismes de sécurité et contribue activement à leur amélioration. Nous utilisons des solutions de sécurité fondées sur l’intelligence artificielle et l’apprentissage automatique. Ces technologies aident nos analystes de la sécurité à évaluer les menaces et à répondre aux cyberattaques. Chaque trimestre, nous produisons un rapport sur les cyberrisques et la cybersécurité pour le comité d’examen des risques du conseil d’administration.
  • Cyberrenseignements – Nous utilisons des services de cyberrenseignements pour nous aider à déterminer et à évaluer les meilleures solutions, et pour mettre à jour notre défense contre les plus récentes cybermenaces.

Nous sommes tenus de protéger les données qui nous sont confiées. Et notre réputation en dépend. Voici quelques-unes des mesures que nous prenons pour remplir cette obligation :

  • Engagement à respecter les normes – Notre programme mondial de protection des renseignements personnels s’insère dans le cadre de gestion des risques à l’échelle de l’entreprise. Il comprend des processus rigoureux et des normes strictes, dont notre Déclaration mondiale pour la protection des renseignements personnels. Celle-ci décrit comment nous recueillons et utilisons, de façon respectueuse et conforme à la loi, les renseignements personnels des Clients et des autres personnes avec qui nous interagissons. Les déclarations et principes directeurs locaux en matière de confidentialité fournissent plus de précision sur les droits individuels liés à l’accès, à la correction, à la suppression ou au transfert de renseignements personnels, ou à l’obtention d’une copie de ces renseignements.
  • Surveillance et communication de l’information – La vice-présidente, première directrice, vie privée et éthique des données assure la supervision du programme mondial de protection des renseignements personnels et détermine l’orientation de la conformité en la matière à l’échelle de l’entreprise. Plus de 30 directeurs et directrices responsables de la protection des renseignements personnels de l’ensemble de l’entreprise aident nos divisions à prendre des décisions en matière de protection de la vie privée. Nos programmes internes d’audit et de contrôle de la conformité évaluent le risque lié à la protection des renseignements personnels. Chaque trimestre, nous rendons compte à la haute direction et au conseil d’administration de toute question importante touchant la vie privée, y compris les incidents avérés signalés par l’entremise de notre ligne éthique.
  • Protection des renseignements personnels dès la conception – Les principes de protection des renseignements personnels font partie intégrante de la conception de nos produits et de nos processus. Nous effectuons des évaluations des répercussions sur la protection des renseignements personnels pour les nouveaux projets ou pour tout changement important apporté aux processus existants qui impliquent des renseignements personnels. Ces évaluations nous aident à repérer et à gérer les risques. Nous ajoutons également des clauses particulières dans nos contrats avec les tiers fournisseurs de services qui gèrent des renseignements personnels pour nous.

La Sun Life participe à plusieurs groupes de l’industrie et discussions sur les politiques publiques. On y échange des renseignements et des pratiques exemplaires sur la façon de renforcer les programmes de protection des données et des renseignements personnels. Entre autres :

  • American Council of Life Insurers
  • Canadian Anonymization Network
  • Échange canadien des menaces cybernétiques
  • Groupe de travail de l’Association canadienne des compagnies d’assurances de personnes
  • Comité sur les données et la protection des renseignements personnels de l’Association canadienne du marketing
  • Groupe de spécialistes de l’Association des banquiers canadiens
  • Financial Services Information Sharing and Analysis Center
  • Information Accountability Foundation
  • Life Insurance Council of New York, Inc.
  • Philippine Life Insurance Association
  • Institut Vector pour la recherche sur l’intelligence artificielle

Pour une gestion responsable des données

Les données des Clients contribuent grandement à la concrétisation de notre raison d’être. Nos Principes directeurs pour la protection des données des Clients illustrent cet engagement et nous aident à être une entreprise fiable et responsable. Ils constituent les bases de notre approche, y compris comment nous utilisons les données et qui en est responsable.

Nous utilisons les données de nos Clients uniquement pour concrétiser notre raison d’être.

Nous ne vendons jamais les données de nos Clients.

Nous informons nos Clients des raisons qui motivent la collecte et l’utilisation de leurs données.

Faits saillants 2024

  • 99 % des employés ont suivi la formation sur la sécurité et la protection des renseignements personnels1
  • Mise en place de l’authentification à plusieurs facteurs sur 87 % de nos sites destinés au grand public pour protéger encore davantage les données et les comptes des Clients
  • 662 évaluations des répercussions sur la protection des renseignements personnels effectuées pour des services, programmes et produits nouveaux ou modifiés

Apprenez-en plus sur nos progrès et nos réalisations dans notre Rapport sur la durabilité 2024 et nos Tableaux des résultats de durabilité.

Nos histoires d'impact

La Sun Life : chef de file dans la protection du droit à la vie privée

Avant de lancer un produit, un service ou une initiative à la Sun Life, nous procédons à une évaluation des répercussions sur la protection des renseignements personnels. Cela nous permet de gérer les risques de façon proactive et de protéger le droit à la vie privée de nos Clients. 

Les taux d’achèvement des formations sont au 15 janvier, car les formations annuelles attribuées pendant l’année visée par le rapport peuvent être suivies après la fin de l’année.

Voir Portée des données sur la durabilité.