Renforcer la confidentialité et la sécurité des données

Tandis que de nouvelles cybermenaces continuent de surgir, nous devons explorer le paysage en constante évolution de la protection des données pour perpétuer notre résilience organisationnelle. Il est de notre devoir de protéger les renseignements personnels des Clients et Clientes et du personnel, et d’être transparents et responsables. Nous devons collaborer pour repérer les menaces et prévenir les attaques avant qu’elles ne surviennent, et faire évoluer les meilleures pratiques.

Notre approche

Nous privilégions une approche globale et proactive en matière de confidentialité et de sécurité des données. Nous renforçons ainsi la confiance des Clients et Clientes, qui peuvent utiliser nos produits et services numériques de santé et de finances sans hésitation, au moment et à l’endroit où ils ont en besoin.

Chaque année, les membres du personnel suivent un cours obligatoire sur la sécurité et la protection des renseignements personnels. Cette formation les aide à comprendre leurs responsabilités, les règles applicables et la façon de protéger les données et les renseignements personnels des Clients et Clientes.

De plus, nous fournissons des conseils et des programmes de sensibilisation pour approfondir les connaissances. Par exemple, notre équipe de la sécurité effectue des simulations d’hameçonnage interactives. Grâce à ces exercices, les membres du personnel apprennent à repérer les vraies cybermenaces.

La cybersécurité est une préoccupation grandissante pour le public – et une priorité pour la Sun Life. Les organisations du monde entier font face à de plus en plus d’attaques par des groupes sophistiqués.

Le premier directeur de la sécurité informatique est chargé de surveiller, à l’échelle mondiale, la mise en place du programme de sécurité informatique et des principes directeurs en matière de gestion du risque de sécurité de la Sun Life. Il dirige une équipe de plus de 200 personnes hautement qualifiées. Son mandat englobe les activités de développement, de mise en place et de gestion opérationnelle de la Sun Life pour tout ce qui concerne la stratégie de sécurité, l’évaluation des risques, les contrôles de sécurité, la surveillance, l’intervention en cas d’incident et la conformité. Il dirige aussi l’équipe de gestion de crise à l’échelle mondiale et est responsable de signaler les risques technologiques.

Nous continuons de faire évoluer nos mesures de cyberdéfense pour qu’elles demeurent efficaces contre les menaces émergentes. Par exemple :

  • Meilleures pratiques de défense – Nos programmes de sécurité suivent les principales normes, comme le cadre de cybersécurité du National Institute of Standards and Technology. Ce cadre décrit les meilleures pratiques que les entreprises peuvent adopter pour gérer et réduire les risques liés à la cybersécurité.
  • Mécanismes de contrôle multiples – Nous utilisons un modèle à trois lignes de défense pour gérer les risques de sécurité (voir la section Gestion du risque et résilience). Nous appliquons une « stratégie de défense évoluée » qui prévoit plusieurs mécanismes de contrôle pour protéger les données. En voici quelques exemples : pare-feu pour les applications Web, protection contre les logiciels malveillants, chiffrement des données, surveillance contre les intrusions et protection contre les menaces par courriel.
  • Vérification de la sécurité – Nous vérifions et testons périodiquement la sécurité de nos systèmes et de nos pratiques liés aux données des Clients et Clientes. L’équipe de la sécurité évalue l’efficacité de nos mécanismes de sécurité et contribue activement à leur amélioration. Nous utilisons des solutions de sécurité fondées sur l’intelligence artificielle et l’apprentissage automatique. Ces technologies aident nos analystes de la sécurité à évaluer les menaces et à répondre aux cyberattaques. Chaque trimestre, nous produisons un rapport sur les cyberrisques et la cybersécurité pour le comité d’examen des risques du conseil d’administration.
  • Cyberrenseignements – Nous utilisons des services de cyberrenseignements pour nous aider à déterminer et à évaluer les meilleures solutions, et pour mettre à jour notre défense contre les plus récentes cybermenaces.

Nous sommes tenus de protéger de manière responsable les données personnelles et sensibles qui nous sont confiées. Notre réputation en dépend. Pour remplir cette obligation, nous devons respecter des pratiques rigoureuses, nous assurer que les données sont protégées tout au long de leur cycle de vie et favoriser la confiance et la transparence auprès des gens dont nous gérons les renseignements.

  • Engagement à respecter les normes – Notre programme mondial de protection des renseignements personnels s’insère dans le Cadre de gestion des risques à l’échelle de l’entreprise. Il comprend des processus rigoureux et des normes strictes, dont notre déclaration mondiale pour la protection des renseignements personnels. Celle-ci décrit comment nous recueillons et utilisons, de façon respectueuse et conforme à la loi, les renseignements personnels des Clients et Clientes et des autres personnes avec qui nous interagissons. Les déclarations et principes directeurs locaux en matière de confidentialité fournissent plus de précision sur les droits individuels liés à l’accès, à la correction, à la suppression ou au transfert de renseignements personnels, ou à l’obtention d’une copie de ces renseignements.
  • Surveillance et communication de l’information – La première directrice, vie privée et éthique des données assure la supervision du programme mondial de protection des renseignements personnels et détermine l’orientation de la conformité en la matière à l’échelle de l’entreprise. Plus de 30 directeurs et directrices responsables de la protection des renseignements personnels de l’ensemble de l’entreprise aident nos divisions à prendre des décisions en matière de protection de la vie privée. Nos programmes internes d’audit et de contrôle de la conformité évaluent le risque lié à la protection des renseignements personnels. Chaque trimestre, nous rendons compte à la haute direction et au comité de gouvernance du conseil d’administration de toute question importante touchant la vie privée.
  • Protection des renseignements personnels dès la conception – Les principes de protection des renseignements personnels font partie intégrante de la conception de nos produits et de nos processus. Nous effectuons des évaluations des répercussions sur la protection des renseignements personnels pour les nouveaux projets ou pour tout changement important apporté aux processus existants qui concernent les renseignements personnels. Ces évaluations sont un excellent moyen de repérer et d’atténuer les risques. Nous ajoutons également des clauses particulières dans nos contrats avec les tiers fournisseurs de services qui gèrent des renseignements personnels pour nous.

La Sun Life participe activement à plusieurs groupes de l’industrie et discussions sur les politiques publiques. On y échange des renseignements et des pratiques exemplaires sur la façon de renforcer les programmes de protection des données et des renseignements personnels. Par exemple :

  • l’American Council of Life Insurers;
  • le Canadian Anonymization Network;
  • l’Échange canadien des menaces cybernétiques;
  • le groupe de travail de l’Association canadienne des compagnies d’assurances de personnes;
  • le comité sur les données et la protection des renseignements personnels de l’Association canadienne du marketing;
  • le groupe de travail sur la sensibilisation des citoyens – cybersécurité, organisé par l’Association des banquiers canadiens;
  • le Financial Services Information Sharing and Analysis Center;
  • le Life Insurance Council of New York, Inc.;
  • la Philippine Life Insurance Association, Inc.;
  • l’Institut Vector pour la recherche sur l’intelligence artificielle.

Utilisation responsable des données

Les données des Clients et Clientes contribuent grandement à la concrétisation de notre raison d’être. Nos principes directeurs pour la protection des données personnelles (voir ci-dessous) illustrent cet engagement et nous aident à être une entreprise fiable et responsable. Ils constituent les bases de notre approche, y compris comment nous utilisons les données et qui en est responsable.

Consultez également la section Utilisation responsable des données et IA.

Nous utilisons les données de nos Clients et Clientes uniquement pour concrétiser notre raison d’être.

Nous ne vendons jamais les données de nos Clients et Clientes.

Nous informons nos Clients et Clientes des raisons qui motivent la cueillette et l’utilisation de leurs données.

Faits saillants de 2025

  • 98 % des membres du personnel ont suivi la formation sur la sécurité de l’information et la protection des renseignements personnels1.
  • Mise en place de l’authentification à plusieurs facteurs sur 95 % de nos sites destinés au grand public pour protéger encore davantage les données et les comptes des Clients et Clientes.
  • 811 évaluations des répercussions sur la protection des renseignements personnels effectuées pour des services, programmes et produits nouveaux ou modifiés.

Apprenez-en plus sur nos progrès et nos réalisations dans notre  Rapport sur la durabilité 2025.

Autres ressources

Autres thèmes de durabilité

Thèmes de durabilité

Nous concentrons nos efforts sur les 16 thèmes de durabilité qui ont le plus d’importance pour nos parties prenantes et qui, selon nous, ont la plus grande incidence sur nos activités.

Revenir aux thèmes de durabilité

Utilisation responsable de l’IA

La Sun Life saisit les occasions que présente l’IA pour créer des expériences personnalisées, améliorer les opérations et accroître la productivité, tout en favorisant l’innovation sécuritaire et responsable.

Prochain thème : Utilisation responsable de l'IA

1 Les taux d’achèvement des formations sont au 15 janvier, car les formations annuelles attribuées pendant l’année visée par le rapport peuvent être suivies après la fin de l’année.