Passer à l'ouverture d'une session Passer au contenu principal Passer au pied de page

Sécurité des données et protection des renseignements personnels

L’hypervigilance au service de la sécurité des données et des systèmes

Tandis que de nouvelles cybermenaces continuent de surgir, l’augmentation du télétravail et des services financiers en ligne crée des risques additionnels pour les données. Nous utilisons les données dans le but de concrétiser notre raison d’être. Ce faisant, nous avons l’obligation de protéger les renseignements personnels des Clients et des employés, et d’être transparents et responsables. Nous devons repérer les menaces et prévenir les attaques avant qu’elles ne surviennent. Ces engagements nécessitent l’évolution continue de nos meilleures pratiques.

Notre approche

La formation et la vigilance de nos employés sont essentielles pour assurer la protection des données de nos Clients. Chaque année, les employés suivent des cours obligatoires sur la sécurité et la protection des renseignements personnels. Cette formation les aide à comprendre leurs responsabilités, les règles applicables et la façon de protéger les données et les renseignements personnels des Clients.

De plus, nous fournissons des conseils et proposons des programmes de sensibilisation qui aident les employés à approfondir leurs connaissances. Par exemple, notre équipe de la sécurité effectue des simulations d’hameçonnage interactives. Grâce à ces exercices, les employés apprennent à repérer les vraies cybermenaces.

La cybersécurité est une préoccupation grandissante pour le public – et une priorité pour la Sun Life. Les organisations du monde entier font face à de plus en plus d’attaques contre leurs systèmes informatiques perpétrées par des groupes sophistiqués.

Notre vice-président principal et premier directeur de la sécurité informatique est chargé de surveiller, à l’échelle mondiale, la mise en place de notre programme de sécurité informatique et de nos Principes directeurs en matière de gestion du risque de sécurité. Il dirige une équipe de plus de 200 personnes hautement qualifiées dont le mandat englobe les activités de développement, de mise en place et de gestion opérationnelle de la Sun Life pour tout ce qui concerne la stratégie de sécurité, l’évaluation des risques, les contrôles de sécurité, la surveillance, l’intervention en cas d’incident et la conformité. Il dirige aussi l’équipe de gestion de crise à l’échelle mondiale et est responsable de signaler les risques technologiques.

Nous continuons de faire évoluer nos mesures de cyberdéfense pour qu’elles demeurent efficaces contre les menaces émergentes. Par exemple :

  • Meilleures pratiques de défense : Nos programmes de sécurité intègrent les principales normes, comme le cadre de cybersécurité du National Institute of Standards and Technology. Ce cadre décrit les meilleures pratiques que les entreprises peuvent adopter pour gérer et réduire les risques liés à la cybersécurité.
  • Mécanismes de contrôle multiples : Nous utilisons un modèle à trois lignes de défense pour gérer les risques de sécurité (voir la section Gestion des risques). Nous appliquons une « stratégie de défense évoluée » qui prévoit plusieurs mécanismes de contrôle pour protéger les données. En voici quelques exemples : pare-feu pour les applications Web, protection contre les logiciels malveillants, chiffrement des données, surveillance contre les intrusions et protection contre les menaces par courriel. 
  • Vérification de la sécurité : Nous vérifions et testons périodiquement la sécurité de nos systèmes et de nos pratiques liés aux données des Clients. L’équipe de la sécurité évalue l’efficacité de nos mécanismes de sécurité et contribue activement à leur amélioration. Nous utilisons des solutions de sécurité fondées sur l’intelligence artificielle et l’apprentissage automatique. Ces technologies aident nos analystes de la sécurité à évaluer les menaces et à répondre aux cyberattaques. Chaque trimestre, nous produisons un rapport sur les cyberrisques et la cybersécurité pour le comité d’examen des risques du conseil d’administration.
  • Cyberrenseignements : Nous utilisons des services de cyberrenseignements pour nous aider à déterminer et à évaluer les meilleures solutions pour améliorer nos mesures de défense contre les cybermenaces.

Nous sommes tenus de protéger les données qui nous sont confiées. Et notre réputation en dépend. Voici quelques-unes des mesures que nous prenons pour remplir cette obligation :

  • Engagement à respecter les normes – Notre programme mondial de protection des renseignements personnels s’insère dans le cadre de gestion des risques à l’échelle de l’entreprise. Il comprend des processus rigoureux et des normes strictes, dont notre déclaration mondiale pour la protection des renseignements personnels. Celle-ci décrit comment nous recueillons et utilisons, de façon respectueuse et conforme à la loi, les renseignements personnels des Clients et des autres personnes avec qui nous interagissons. Les déclarations et principes directeurs locaux en matière de confidentialité fournissent plus de précision sur les droits individuels liés à l’accès et à la correction de renseignements personnels, ou à l’obtention d’une copie de ces renseignements.
  • Surveillance et communication de l’information – La première directrice, protection des renseignements personnels assure la supervision du programme mondial de protection des renseignements personnels et détermine l’orientation de la conformité en la matière à l’échelle de l’entreprise. Plus de 30 responsables de la protection des renseignements personnels aident les divisions à prendre des décisions touchant la confidentialité des données. Nos programmes internes d’audit et de contrôle de la conformité évaluent le risque lié à la protection des renseignements personnels. Chaque trimestre, nous rendons compte à la haute direction et au conseil d’administration de toute question importante touchant la vie privée, y compris les incidents avérés signalés par l’entremise de notre ligne éthique.
  • Protection des renseignements personnels dès la conception – Les principes de protection des renseignements personnels font partie intégrante de la conception de nos produits. Nous effectuons des évaluations des répercussions sur la protection des renseignements personnels pour les nouveaux projets ou pour tout changement important apporté aux processus existants qui concernent les renseignements personnels. Ces évaluations nous aident à repérer et à gérer les risques. Nous ajoutons également des clauses particulières dans nos contrats avec les tiers fournisseurs de services qui gèrent des renseignements personnels pour nous.

La Sun Life participe à plusieurs groupes de l’industrie et discussions sur les politiques publiques. On y échange des renseignements et des pratiques exemplaires sur la façon de renforcer les programmes de protection des données et des renseignements personnels. Entre autres :

  • Financial Services Information Sharing and Analysis Center
  • Groupe de spécialistes de l’Association des banquiers canadiens
  • Groupe de travail de l’Association canadienne des compagnies d’assurances de personnes
  • Échange canadien des menaces cybernétiques
  • Canadian Anonymization Network (CANON)
  • American Council of Life Insurers
  • Life Insurance Council of New York, Inc.
  • Information Accountability Foundation
  • Comité sur les données et la protection des renseignements personnels de l’Association canadienne du marketing
  • Institut Vector pour la recherche sur l’intelligence artificielle
  • Philippine Life Insurance Association (PLIA)
  • Alliance pour la protection de la vie privée et l’innovation au Canada

Pour une gestion responsable des données

Les données des Clients contribuent grandement à la concrétisation de notre raison d’être. Nos Principes directeurs pour la protection des données des Clients illustrent cet engagement et nous aident à être une entreprise fiable et responsable. Ils constituent les bases de notre approche, y compris comment nous utilisons les données et qui en est responsable.

Nous utilisons les données de nos Clients uniquement pour concrétiser notre raison d’être.

Nous ne vendons jamais les données de nos Clients.

Nous informons nos Clients des raisons qui motivent la cueillette et l’utilisation de leurs données.

Faits saillants de 2023

  • 98 % des employés ont suivi la formation sur la sécurité et la protection des renseignements personnels1
  • Nous avons effectué 36 simulations d’hameçonnage auprès des employés, des contractuels et des conseillers au Canada2
  • 584 évaluations des répercussions sur la protection des renseignements personnels effectuées pour des services, programmes et produits nouveaux ou modifiés

Apprenez-en plus sur nos progrès et notre rendement dans notre Rapport sur la durabilité 2023 et nos Tableaux des résultats ESG

Autres ressources

1 Les taux d’achèvement des formations sont au 15 janvier, car les formations annuelles attribuées pendant l’année visée par le rapport peuvent être suivies après la fin de l’année. Voir la section Portée des données sur la durabilité – Note 5.

Voir la section Portée des données sur la durabilité – Note 5.

Voir la section Portée des données sur la durabilité.

La Financière Sun Life est l’une des 100 sociétés les plus engagées en développement durable dans le monde en 2020.