Sécurité des données et protection des renseignements personnels

Faire évoluer nos mesures de défense pour gérer les risques en constante évolution

Tandis que de nouvelles cybermenaces continuent de surgir, l’augmentation du télétravail et des services financiers en ligne crée des risques différents pour les données. Nous devons repérer les menaces et prévenir les attaques avant qu’elles ne surviennent. Ce travail nécessite l’évolution continue de nos meilleures pratiques.

Notre approche

La formation et la vigilance de nos employés sont essentielles pour assurer la protection des données de nos Clients. Chaque année, les employés suivent des cours obligatoires sur la sécurité et la protection des renseignements personnels. Cette formation les aide à comprendre leurs responsabilités, les règles applicables et la façon de protéger les données et les renseignements personnels des Clients.

De plus, nous fournissons des conseils et disposons de programmes de sensibilisation qui aident les employés à approfondir leurs connaissances. Par exemple, notre équipe de la sécurité effectue des simulations d’hameçonnage interactives. Grâce à ces exercices, les employés apprennent à repérer les vraies cybermenaces.

La cybersécurité est une préoccupation grandissante pour le public – et une priorité pour la Sun Life. Les organisations du monde entier font face à de plus en plus d’attaques contre leurs systèmes informatiques perpétrées par des groupes sophistiqués.

Notre vice-président principal et premier directeur de la sécurité informatique est chargé de surveiller, à l’échelle mondiale, la mise en place de notre programme de sécurité informatique et de nos Principes directeurs en matière de gestion du risque de sécurité. Il dirige une équipe de plus de 200 personnes hautement qualifiées. Son mandat englobe le développement, l’exécution et la gestion opérationnelle des activités de la Sun Life liées à la stratégie en matière de sécurité, aux évaluations des risques, aux contrôles de sécurité, à la surveillance, aux réponses aux incidents et au contrôle de la conformité. Il dirige aussi l’équipe de gestion de crise à l’échelle mondiale et est responsable de signaler les risques technologiques.

Nous continuons de faire évoluer nos mesures de cyberdéfense pour qu’elles demeurent efficaces contre les menaces émergentes. Par exemple :

  • Meilleures pratiques de défense – Nos programmes de sécurité intègrent les principales normes, comme le cadre de cybersécurité du National Institute of Standards and Technology. Ce cadre décrit les meilleures pratiques que les entreprises peuvent adopter pour gérer et réduire les risques liés à la cybersécurité.
  • Mécanismes de contrôle multiples – Nous utilisons un modèle à trois lignes de défense pour gérer les risques de sécurité (voir la section Gestion des risques). Nous appliquons une « stratégie de défense évoluée » qui prévoit plusieurs mécanismes de contrôle pour protéger les données. En voici quelques exemples : pare-feu pour les applications Web, protection contre les logiciels malveillants, chiffrement des données, surveillance contre les intrusions et protection contre les menaces par courriel.
  • Vérification de la sécurité – Nous vérifions et testons périodiquement la sécurité de nos systèmes et de nos pratiques liés aux données des Clients. L’équipe de la sécurité évalue l’efficacité de nos mécanismes de sécurité et contribue activement à leur amélioration. Nous utilisons des solutions de sécurité fondées sur l’intelligence artificielle et l’apprentissage automatique. Ces technologies aident nos analystes de la sécurité à évaluer les menaces et à répondre aux cyberattaques. Chaque trimestre, nous produisons un rapport sur les cyberrisques et la cybersécurité pour le comité d’examen des risques du conseil d’administration.
  • Cyberrenseignements – Nous utilisons plusieurs services de cyberrenseignements pour nous aider à déterminer et à évaluer les meilleures solutions pour améliorer nos mesures de défense contre les cybermenaces.

Nous sommes tenus de protéger les données qui nous sont confiées. Et notre réputation en dépend. Voici quelques-unes des mesures que nous prenons pour remplir cette obligation :

  • Engagement à respecter les normes –  Notre programme mondial de protection des renseignements personnels s’insère dans le cadre de gestion des risques à l’échelle de l’entreprise. Il comprend des processus rigoureux et des normes strictes, dont notre  déclaration mondiale pour la protection des renseignements personnels. Celle-ci décrit comment nous recueillons et utilisons, de façon respectueuse et conforme à la loi, les renseignements personnels des Clients et des autres personnes avec qui nous interagissons.
  • Surveillance et communication de l’information – La première directrice, protection des renseignements personnels assure la supervision du programme mondial de protection des renseignements personnels et détermine l’orientation de la conformité en la matière à l’échelle de l’entreprise. Plus de 30 responsables de la protection des renseignements personnels aident les divisions à prendre des décisions touchant la confidentialité des données. Chaque trimestre, nous faisons part au conseil d’administration de toute question importante touchant ce domaine.
  • Protection des renseignements personnels dès la conception – Les principes de protection des renseignements personnels font partie intégrante de la conception de nos produits. Pour tout nouveau projet ou changement important, nous effectuons une évaluation des répercussions sur la protection des renseignements personnels, ce qui nous aide à repérer et à gérer les risques. Nous ajoutons également des clauses particulières dans nos contrats avec les tiers fournisseurs de services qui gèrent des renseignements personnels pour nous.

La Sun Life participe à plusieurs groupes de l’industrie et discussions sur les politiques publiques. On y échange des renseignements et des meilleures pratiques pour renforcer les programmes de protection des données et des renseignements personnels. Par exemple :

  • le Financial Services Information Sharing and Analysis Center;
  • le groupe de spécialistes de l’Association des banquiers canadiens;
  • le groupe de travail de l’Association canadienne des compagnies d’assurances de personnes;
  • l’Échange canadien des menaces cybernétiques;
  • le Canadian Anonymization Network;
  • l’American Council of Life Insurers;
  • le Life Insurance Council of New York, Inc.;
  • l’Information Accountability Foundation;
  • le comité sur les données et la protection des renseignements; personnels de l’Association canadienne du marketing;
  • l’Alliance pour la protection de la vie privée et l'innovation au Canada.

Pour une gestion responsable des données

Les données des Clients contribuent grandement à la concrétisation de notre raison d’être. Nos Principes directeurs pour la protection des données des Clients illustrent cet engagement et nous aident à être une entreprise fiable et responsable. Ils constituent les bases de notre approche, y compris comment nous utilisons les données et qui en est responsable.

Nous utilisons les données de nos Clients uniquement pour concrétiser notre raison d’être.

Nous ne vendons jamais les données de nos Clients.

Nous informons nos Clients des raisons qui motivent la collecte et l’utilisation de leurs données.

Faits saillants de 2022

  • 91 % des employés ont suivi la formation sur la sécurité et la protection des renseignements personnels1,2
  • 30 tests d’hameçonnage effectués auprès des employés, des contractuels et des conseillers au Canada2. Ces tests utilisent des situations réelles pour aider à repérer et à éviter tous les types de courriels d’hameçonnage.
  • 511 évaluations des répercussions sur la protection des renseignements personnels effectuées avant le lancement de services, programmes et produits nouveaux ou modifiés2.

Apprenez-en plus sur nos progrès et notre rendement dans notre Rapport sur la durabilité 2022 et nos Tableaux des résultats ESG.

La Sun Life : chef de file dans la protection du droit à la vie privée

Avant de lancer un produit, un service ou une initiative à la Sun Life, nous procédons à une évaluation des répercussions sur la protection des renseignements personnels. Cela nous permet de gérer les risques de façon proactive et de protéger le droit à la vie privée de nos Clients.  

En savoir plus

Les taux d’achèvement des formations sont au 15 janvier, car les formations annuelles attribuées pendant l’année visée par le rapport peuvent être suivies après la fin de l’année.

2 Voir la section Portée des données sur la durabilité – Note 6.

Voir la section Portée des données sur la durabilité.