Confidentialité des données des clients
Objectifs Souligner les effets positifs de la confidentialité des données pour une IF et pour le client. Connaître les bonnes pratiques mises en œuvre par une IF concernant la sécurité et la confidentialité des données. Nouvelle diapositive – revoir le contenu. Ces objectifs sont-ils les bons ? NOUVEAU
Le principe en pratique : L’IF respecte toutes les lois locales sur la confidentialité des données. Elle n’utilise les informations des clients que de la façon convenue lorsque ces données ont été recueillies. A retenir : Les clients confient aux prestataires de services financiers des données personnelles et financières très sensibles. Voici la définition de la Smart Campaign pour le principe « Confidentialité des données des clients ». Une institution met ce principe en pratique lorsqu’elle respecte toutes les lois locales concernant la confidentialité des données ; et seulement si elle utilise les informations des clients comme il a été convenu lorsque ces données ont été recueillies. A retenir, la responsabilité qui va de pair avec la confiance des clients. Les clients confient aux prestataires de services financiers des données personnelles et financières très sensibles.
PPC n°6 : Normes appropriées Les données du client sont gardées en sécurité et restent confidentielles. Les clients sont informés du caractère confidentiel de leurs données et donnent leur consentement pour leur utilisation. Discussion – 12 mn. Présenter ces 2 normes appropriées – 7 critères de conformité et indicateurs. 4 mn. Poser deux questions aux participants : 2 mn chacune, discussion 2 mn chacune Q : Que faut-il faire pour respecter la première norme ? 1) Politique – doit être écrite ; 2) des systèmes, pour les données quantitatives et qualitatives ; 3) des sanctions pour ceux qui ne respectent pas cette politique et ces systèmes. (Note : la confidentialité des données quantitatives est aussi importante que celle des données qualitatives.) Q : Que faut-il faire pour respecter la seconde norme ? 1) Formation du personnel – point à discuter, ateliers initiaux/de recyclage, etc. ; 2) divulgation aux clients – contrat de prêt, lecture à voix haute en particulier pour les clients illettrés, consentement écrit, notification aux bénéficiaires etc. L’IF vérifie la formation du personnel et des tiers.
PPC n°6 : Normes appropriées ✔ Politique / processus de confidentialité – par écrit ✔ Sanctions en cas de violation ✔ Contrat avec les tiers ✔ Processus de contrôle quand le personnel quitte l’IF ✔ Système pour protéger les données des clients ✔ Reprise d’activité en cas de crise / plan de poursuite ✔ Dossiers sécurisés – physiques/électroniques ✔ Mots de passe informatiques changés fréquemment ✔ Sauvegardes quotidiennes ✔ Utilisation des fichiers hors du bureau contrôlée Les données du client sont gardées en sécurité et restent confidentielles. Lecture et discussion : 7 mn 6.1.0.0 Les données du client sont gardées en sécurité et restent confidentielles. 6.1.1.0 Une politique et un processus documenté sont mis en place pour préserver la confidentialité, la sécurité et la validité des informations personnelles, transactionnelles et financières des clients. Ceci inclut la collecte, le traitement, l'utilisation, la diffusion et le stockage des données des clients. 6.1.1.1 Des pénalités sont prévues en cas de divulgation des données du client aux tiers (y compris au garant et aux membres de la famille qui ne sont pas des signataires autorisés du compte) sans le consentement préalable du client. 6.1.1.2 Le contrat de l’IF avec les tiers qui ont accès aux données des clients indique que ces derniers préserveront la sécurité et la confidentialité des données des clients. L’IF veille au respect de l'exécution de ce contrat et prend des mesures lorsque des problèmes sont identifiés. 6.1.1.3 L’IF dispose d'un processus explicite visant à protéger les données des clients lorsque le personnel démissionne ou s'il est licencié. 6.1.2.0 Le système de le prestataire protège contre le vol ou l'utilisation abusive des données ou de l'identité des clients, contre la violation de la sécurité et l'accès frauduleux. 6.1.2.1 Un plan de reprise après les catastrophes et des temps d'arrêt est mis en place, y compris un plan de continuité des activités. 6.1.2.2 Les dossiers sont conservés dans un système sécurisé, sur un support électronique ou physique, et sont protégés contre les accès inappropriés, le vol et les dommages. 6.1.2.3 Des mesures visant la sécurité des données sont en place pour assurer la protection contre l'accès non autorisé aux données (par exemple, des mots de passe, des niveaux d'accès, des infrastructures logicielles). Les mots de passe des TI sont changés périodiquement avec différents niveaux d'accès en fonction du poste occupé par le personnel qui a accès aux données. 6.1.2.4 L’IF effectue au moins une sauvegarde quotidienne des données de ses clients. 6.1.2.5 L'utilisation des dossiers par les employés en dehors du bureau est contrôlée (par exemple, ils ne peuvent pas emporter les dossiers ni les documents de prêt des clients à leur domicile ni avoir accès au SIG depuis leur domicile), et le prestataire conserve les registres des noms du personnel qui demande l'accès aux dossiers des clients.
PPC n°6 : Normes appropriées Les clients sont informés du caractère confidentiel de leurs données et donnent leur consentement pour leur utilisation. ✔ Consentement écrit – tiers / vérification centrale des risques etc. ✔ Clause de confidentialité dans les contrats des produits ✔ Bénéficiaires notifiés ✔ Programme de formation du personnel ✔ Formation des chefs de groupe ✔ Clients informés pour protéger les codes PIN ✔ L’IF vérifie que le personnel des tiers est formé sur la politique/le processus de confidentialité des données Lecture et discussion : 7 mn 6.2.0.0 Les clients sont informés du caractère confidentiel de leurs données et donnent leur consentement pour leur utilisation. 6.2.1.0 Au début du processus, lors de la demande, les clients donnent leur consentement avant que le prestataire ne communique leurs informations personnelles à une audience externe (y compris les centrales de risques, les membres de la famille, les garants, les assureurs, les compagnies de recouvrement), ou pour la documentation commerciale ou d'autre contenu public. Le personnel doit mettre en évidence le texte de consentement signé par un client.) (Certificateur : le consentement du client doit être donné au moment de la demande, puisque la vérification auprès de la centrale des risques sera faite avant approbation du prêt et signature du contrat.) 6.2.2.0 Les contrats comportent une explication claire et concise sur le mode de protection des données des clients et les modalités d'utilisation ou de partage, y compris le partage avec une centrale de risques. 6.2.3.0 Les clients désignent des bénéficiaires pour les polices d'assurance vie, et on leur rappelle d'aviser les personnes désignées en tant que tels. 6.2.4.0 L’IF a mis en place un programme de formation efficace pour s'assurer que le personnel a une bonne compréhension des politiques et procédures relatives à la confidentialité des données des clients et possède les compétences pour les appliquer. 6.2.4.1 Les chefs de groupe sont formés pour protéger les informations des membres, en particulier les soldes des comptes d'épargne, les dates de décaissement de prêt, et les informations sur les problèmes de remboursement. 6.2.4.2 Le personnel informe les clients sur l'importance de protéger les numéros d'identification personnelle et leur montre comment s'y prendre. 6.2.5.0 L’IF vérifie que les tiers (gestionnaires de réseaux d'agents, etc.) assurent la formation de leurs représentants sur les politiques et procédures relatives à la confidentialité des données des clients.
Services financiers digitaux et confidentialité La hausse rapide de l’utilisation du téléphone portable augmente les « empreintes numériques » du client. Les partenariats entre IF, opérateurs de téléphonie, réseaux d’agents, plateformes technologiques, etc., compliquent la question de la responsabilité envers le client. Dans votre institution, les pratiques et systèmes de gestion des données ont-ils évolué depuis que vous y travaillez ? De quelle manière ?
Bonnes pratiques – confidentialité et sécurité Demander aux employés de signer un accord de confidentialité en même temps que leur contrat d’embauche. Etablir une « hiérarchie des accès utilisateurs » clairement définie, pour tout employé pouvant accéder à des données sensibles. Faire des campagnes régulières auprès des clients pour mettre à jour leurs données, et les inciter à participer. Ne pas permettre que les informations disponibles sur l‘intranet soient imprimées ou téléchargées, pour tout usage ne relevant pas du bureau. Voici des exemples de bonnes pratiques que les participants peuvent prendre en compte lorsqu’ils définissent des politiques et systèmes pour assurer la confidentialité et la sécurité des données des clients. Établir une « hiérarchie des accès utilisateurs » clairement définie, pour tout employé pouvant accéder à des données sensibles. Cela restreint l’accès à la base de données, en fonction du poste de l’employé. Pour la base de données il est toujours nécessaire qu’au moins deux personnes, souvent d’autres employés de différents départements, autorisent l’accès ou les modifications aux personnes qui entreront ou modifieront les données des clients. Il faut aussi changer les mots de passe fréquemment. Toute personne accédant à la base de données utilise un identifiant et mot de passe personnel. Les utilisateurs doivent modifier leurs mots de passe tous les quatre mois, sans pouvoir réutiliser un mot de passe précédent. A chaque fois qu’un employé accède à la base de données, son nom, l’information recherchée, et le moment de la requête, doivent être enregistré dans un fichier. Les employés du siège qui entrent et sortent du bâtiment principal utilisent un scanner d’empreintes digitales et s’identifient, pour éviter tout accès non autorisé aux données des clients conservées dans ce lieu. Campagnes régulières : les IMF aident leurs clients qui ont besoin de corriger/mettre à jour leurs informations personnelles ou financières. Cela suppose, non seulement d’aider les clients à corriger les données enregistrées par l’IMF, mais aussi de s’assurer que les centrales des risques et agences gouvernementales disposent aussi des informations correctes sur le client.
Bonnes pratiques – confidentialité et sécurité Vérifier ponctuellement la sécurité des dossiers physiques dans les agences (par ex. par les auditeurs internes). Former les clients pour qu’ils puissent maintenir la confidentialité des données du groupe. Décrire dans le règlement du personnel les sanctions en cas d’utilisation abusive des données des clients. Voici des exemples de bonnes pratiques que les participants peuvent prendre en compte lorsqu’ils définissent des politiques et systèmes pour assurer la confidentialité et la sécurité des données des clients. AUDITER LA SECURITE PHYSIQUE Une IMF exige de son département d’audit interne qu’il vérifie la sécurité physique des systèmes d’archivage des dossiers au siège, en agence, et dans les succursales des correspondants bancaires. Ces audits de sécurité assurent que les dossiers des clients sont conservés en sécurité et que seul les employés autorisés peuvent y accéder. Autres idées : Avoir recours à un « hacker » interne, dont le rôle est de tester en continu l’intégrité du système, en tentant de s’introduire dans le système de l’extérieur.
Outils disponibles auprès de la Smart Campaign Ces outils, et des dizaines d’autres, sont disponibles gratuitement sur le site Internet de la Campaign. www.smartcampaign.org.