Guide des dirigeants de bénévoles sur la confidentialité et la sécurité des données

Au cours des trois à quatre dernières décennies, notre façon de diriger et de soutenir nos bénévoles a changé du tout au tout. Ce qui a commencé par un travail tirant de la créativité à tisser des liens avec des personnes prêtes à consacrer gratuitement leur temps a évolué en une profession comportant de nouvelles priorités qui nécessitaient l’acquisition de nouvelles compétences.

Selon Andy Fryar, cette « évolution » a compté deux étapes importantes :

• Les années 1970 et le début des années 1980 considéraient la direction des bénévoles comme une « fonction axée sur les gens », où les liens de personne à personne représentaient la plus importante qualité qu’un gestionnaire de bénévoles pouvait posséder.
• Vers la fin des années 1980 et au début des années 1990, les priorités de nombreux organismes ont changé, où les termes comme « risque », « responsabilité » et « litige » sont de plus en plus courants. Cette réalité a fait en sorte que la fonction de dirigeant de bénévoles représentait beaucoup plus qu’une « profession-papier ».

À cette époque, l’engagement de bénévoles se concentrait surtout sur la politique et les procédures, et la gestion des données des bénévoles a connu une transition, passant du papier au numérique. Au cours des 20 années qui ont suivi, d’autres changements ont eu lieu, où aujourd’hui la plupart des organisations adoptent un système quelconque de base de données électroniques pour diriger, soutenir et recruter leurs équipes de bénévoles.

Afin de suivre cette évolution, les dirigeants de bénévoles ont dû acquérir un tout nouvel ensemble de compétences à l’avènement du recrutement de bénévoles en ligne; de la réservation des quarts vacants par les bénévoles sur un site Web ou une appli mobile; et de la communication à distance avec les membres de l’équipe.

En qualité de fournisseur de logiciels en gestion de bénévoles, nous occupons une place de choix pour travailler quotidiennement avec des organisations de toute forme et de toute taille. En outre, dans la plupart des cas, les organismes qui retiennent la contribution de bénévoles et choisissent d’adopter un logiciel de gestion des bénévoles sont conscients que la sécurité des données confiées par leurs bénévoles leur est critique. Ils savent que des renseignements peuvent être volés et que le traitement de renseignements confidentiels comporte de grandes responsabilités. Au sein des organisations de grande taille, il est réconfortant de constater que nombre d’entre elles ont accès à une équipe de la TI ou à un agent de la protection de la vie privée qui peut les aider à prendre des décisions éclairées en traitement et stockage de données.

À l’inverse, nous avons également vu de piètres pratiques ! Celles-ci, dans le pire scénario, pourraient se traduire par des actions en justice et une perte possible et catastrophique de la réputation de l’organisation où travaille le dirigeant de bénévoles.

Voilà à quoi veut en venir cet article !

Même si c’est bien beau d’être conscient de l’importance de la confidentialité et d’un traitement délicat des données, dans quelle mesure les dirigeants de l’engagement bénévole connaissent-ils et comprennent-ils réellement le traitement et l’intégrité des données, ainsi que leurs tenants et leurs aboutissants ? Nous en remettons-nous trop à autrui pour obtenir des conseils judicieux ?

Dans l’intérêt de fournir une « évolution » soutenue des connaissances, nous vous offrons les pensées et les observations suivantes afin de vous aider à réfléchir sur vos propres pratiques et à déterminer s’il y a lieu à des améliorations.

Sélection de système

Cet article ne porte pas uniquement sur le logiciel de gestion de bénévoles actuel ou à venir; les éléments que nous mettons en lumière ici s’appliquent à tout logiciel ou système que vous choisissez d’utiliser pour gérer les renseignements sensibles.

Coûts et conditions

D’un côté, le vieux dicton selon lequel « qu’on en a pour son argent » peut se révéler vrai à l’achat de tout logiciel et, plus souvent qu’autrement, tout produit offert gratuitement inclura sans doute une tromperie. Bien que ce ne soit pas toujours le cas, il importe de passer en revue et de peser le contrat de licence de tout logiciel avant l’achat et de ne pas s’en tenir uniquement au prix.

Voici quelques questions à se poser à cette première étape :

• Qui possède vos données ?
• Qu’arrive-t-il à vos données si vous désirez vous retirer du contrat ?
• Vos données pourraient-elles être partagées avec de tierces parties à toutes autres fins que celles de vous fournir le service pour lequel vous avez payé ?
• Que se passe-t-il en cas d’une atteinte à la protection des données ?
• Quel soutien après achat est fourni, s’il y a lieu ?
• Y a-t-il des frais additionnels que vous devez considérer après l’achat ?

Il faut surtout ne pas oublier que peu importe la solution choisie, elle renfermera les données personnelles et privées de votre équipe de bénévoles entière. Par conséquent, mesurer les quelques dollars que vous sauverez comparativement à des conséquences catastrophiques d’une atteinte à vos données constitue une première étape importante.

De plus, songez que les entreprises qui demandent des frais pour leurs services auront probablement plus de moyens pour réinvestir dans des niveaux de sécurité plus élevés afin de protéger vos données.

Certification

Dans le domaine de la confidentialité des données et tous les éléments liés à l’internet, il existe de nombreuses certifications en matière de sécurité et de confidentialité des données que peuvent obtenir les entreprises de logiciels. Certaines sont importantes, tandis que d’autres le sont moins.

On trouve plusieurs certifications assurant que leur détenteur met tout en œuvre en matière de confidentialité et de sécurité des données. Une certification qui se démarque des autres par sa réputation mondiale est la Certification ISO, il s’agira donc du premier élément à rechercher.

N’hésitez pas non plus à demander à tout vendeur possible d’expliquer ce que signifie leur certification si ce n’est pas clair pour vous. Après tout, vous être dirigeant de bénévoles et non pas un expert en TI ou en confidentialité. Alors demandez-lui de donner des explications en termes simples.

Dans un même temps, un vendeur potentiel qui ne détient aucune certification peut être une indication qu’il ne consacre beaucoup d’efforts à l’amélioration soutenue de son entreprise, ni aux données qu’il stocke pour sa clientèle.

Chiffrement

Le terme « chiffrement » est une autre notion que vous devez connaître.

Essentiellement, le chiffrement détermine comment vos données peuvent être vues et interprétées si elles sont interceptées par des pirates. En somme, les données chiffrées apparaissent « brouillées » à tout pirate et lui sont inutiles. Saviez-vous qu’il existe deux types de chiffrement?

Tandis que la majorité des sites Web et des logiciels offrent un chiffrement pendant que les données sont en transit – c’est-à-dire lorsqu’elles sont déplacées d’un lieu à un autre en ligne – il y a un second type de chiffrement tout aussi important appelé chiffrement en stockage. Ce terme signifie simplement que si votre base de données était infiltrée pendant que vos données n’étaient pas en transit, celles-ci continueront d’être brouillées et illisibles.

Engagement à des pratiques et des formations de sécurité évolutives

Nous avons déjà souligné comment les entreprises de logiciel réputées pourront démonter rapidement et facilement que vos données seront sûres et sécurisées, et qu’elles s’engagent de façon soutenue et transparente à améliorer sans cesse ces éléments.

Alors, pourquoi n’en serait-il pas de même pour vous, votre programme de bénévolat et l’organisme où vous travaillez ou êtes bénévole ?

Nous aborderons maintenant les politiques et les procédures que vous pourriez considérer mettre en place. Toutefois, celles-ci peuvent se révéler quasiment inutiles si vous n’avez pas un engagement fondamental envers le développement de vos pratiques en matière de sécurité, et la formation connexe.

Malheureusement, lorsqu’il s’agit de sécurité et de confidentialité, ce n’est pas une question à discuter une seule fois avec votre équipe de TI, ni une solution à perpétuité.

À la venue de nouvelles technologies, de nouvelles menaces de piratage, de nouvelles certifications et nouvelles lois locales, et de nouvelles rumeurs, nous devons nous engager à continuellement améliorer et communiquer les pratiques que nous avons en place pour notre programme de bénévolat et au sein de l’ensemble de notre organisation.

Un énoncé d’engagement sur notre mode de traitement des données de nos bénévoles – et sa pérennisation dans notre culture organisationnelle, nos manuels, notre initiation et formation de nos bénévoles, est d’une importance capitale pour notre succès soutenu.

Soyez proactif !

Un élément clé de tout engagement fondamental en vue de mieux sécuriser les données confidentielles que vous possédez sur les membres de votre équipe de bénévoles consiste à être proactif et à planifier à l’avance, dans la plus grande mesure du possible. Assistez à des séminaires ou rencontrez régulièrement vos conseillers en TI afin de prendre connaissance des dernières menaces, et des pratiques que vous pouvez établir afin d’améliorer constamment vos processus.

Esprit en paix pour tous !

Tous ces éléments servent à vous mettre davantage l’esprit en paix en qualité de dirigeant de l’engagement bénévole !

Étant donné que les bénévoles d’aujourd’hui détiennent plus de compétences en technologies et sont conscients de leurs droits liés à la confidentialité et à la sécurité des données, le choix de systèmes qui vous permettent de répondre clairement et précisément à leurs questions et à leurs préoccupations à ce sujet est un aspect important dont vous devez tenir compte.

Politiques et procédures internes

La sauvegarde des renseignements confidentiels que vous détenez sur vos bénévoles comporte de nombreux éléments. Voici une liste de point de départ de composants que vous voudrez absolument considérer ou instaurer pour votre équipe.

• Mots de passe – Réfléchissez attentivement aux mots de passe que vous utilisez pour accéder à vos données. Assurez-vous qu’ils sont longs, compliqués et contiennent une bonne variété de lettres majuscules et minuscules qui sont difficiles à prévoir (p. ex., le nom de votre animal de compagnie !) La variété compte aussi ! N’utilisez pas le même mot de passe pour tout et songez à utiliser des phrases secrètes. La longueur et la complexité du mot de passe prolongent le temps requis pour un logiciel de déceler votre mot de passe. Lorsque vous avec une foule de mots de passe dont vous devez vous souvenir, l’abonnement à une voûte de mots de passe (comme 1Password) peut représenter un excellent investissement.

• Authentifiant à deux facteurs ou multifactorielle (2FA/MFA) – Il s’agit du nouveau mot qui fait fureur en sécurité que vous entendrez souvent. Il signifie que lors de votre connexion au système, vous devrez confirmer votre identifiant sur un second dispositif auquel vous seul avez accès (comme un téléphone mobile/cellulaire). Cette mesure complique la vie des personnes qui, ayant obtenu votre mot de passe, tentent de se connecter, car elles ne disposent pas du second appareil. Nous recommandons de toujours utiliser l’identifiant à deux facteurs quand cette option est disponible.

• Protection de force brute – Il s’agit d’une autre mesure de sécurité dont vous avez sûrement entendu parler, et qui devrait faire partie de votre système. La force brute en lien aux mots de passe consiste en un logiciel qui passe tous les mots de passe possible jusqu’à ce qu’il trouve le vôtre. Comme le tableau ci-dessus illustre, si vous utilisez un mot de passe de sept caractères seulement avec des lettres majuscules et minuscules, un ordinateur moderne ne prendra que 22 secondes pour déceler votre mot de passe. La protection force brute fait obstacle à cette manœuvre en limitant le nombre d’essais de mots de passe avant de verrouiller temporairement le compte. Dans certains cas, le système peut verrouiller complètement le compte et un administrateur doit alors le déverrouiller.

• Accès au système – Choisissez prudemment qui a accès à vos données :

  Combien de personnes ? Tout comme le proverbe « trop de cuisiniers gâchent la sauce », trop d’administrateurs dans votre base de données peuvent engendrer une foule de problèmes. L’une des difficultés que nous constatons de temps à autres est un accès accordé à un large nombre d’administrateurs qui, invariablement, passent à d’autres fonctions – et leur accès au logiciel n’est jamais retiré. En théorie, cela signifie qu’elles ont encore accès aux données confidentielles de votre équipe. Évaluer soigneusement qui devrait avoir un accès, minimiser ce nombre, et utiliser un processus de retrait fiable constituent de simples étapes importantes.

  En revanche, un trop petit nombre d’administrateurs peut également susciter des difficultés. Nous avons tous vu des contrôleurs d’accès qui empêchent l’accès à tous sauf eux, créant ainsi un risque pour le programme de bénévolat et l’organisme si cette personne tombe malade, prend congé ou est victime d’un accident fatal ! Une politique désignant au moins deux personnes se révélera plus judicieuse.

  Niveaux d’accès – Les administrateurs ne sont pas tous égaux. Assurez-vous que vos administrateurs ont uniquement accès aux éléments du logiciel dont ils ont besoin. La situation peut être grave lorsque les administrateurs, qui se croient des expert en TI, décident soudainement de jouer avec la configuration et les paramètres de votre logiciel et apportent des changements spontanés qui entraînent des répercussions sur tous les utilisateurs.

• Minimisation des données – Le principe de minimisation des données est sain et juste. Nombre de dirigeants de bénévoles ont le désir de conserver absolument tout  ce qu’ils veulent savoir sur les candidats bénévoles dès la première étape de la postulation ! Ce recueil d’information non seulement prolonge et complique le processus, mais il peut enfreindre les lois locales et la politique organisationnelle.

  Par minimisation des données, on entend uniquement recueillir et conserver des renseignements sur les bénévoles qui sont nécessaires afin qu’ils puissent commencer à œuvrer pour nous – et nous devrions seulement compiler les renseignements au moment où nous en avons besoin. De plus, nous devrions les supprimer lorsque nous n'avons plus besoin de les conserver.

  Nous voyons souvent les organismes retenant la participation de bénévoles recueillir les coordonnées de contact en cas d’urgence de nouveaux postulants avant même la fin de l’évaluation de leur candidature et la décision quant à retenir leurs services ou non ! Lorsqu’un bénévole quitte votre organisation, ces champs devraient être supprimés du dossier du bénévole, car ces renseignements ne sont plus nécessaires et ne devraient pas être conservés par votre organisation.

• Transfert de données - Les courriels ne sont tout simplement pas un façon sécuritaire de transférer des renseignements personnels, mais c’est pourtant l’erreur la plus commune ! Nous avons même vu des renseignements personnels partagés dans des forums de médias sociaux ! Assurez-vous de toujours transmettre les données de façon sécurisée par l’entremise de fichiers partagés sécurisés, comme Dropbox, ou demandez à votre fournisseur de logiciel de vous recommander une méthode sûre– car bon nombre d’entre eux disposent d’un mécanisme interne permettant le transfert de données sans risque.

• Utilisation de chiffriers – Lorsque vous accéder à des feuilles de chiffrier qui renferment des données personnelles et les utilisez, assurez-vous qu’elles sont sauvegardées dans des fichiers sécurisés et ne traînent pas sur votre bureau. Au moment où vous n’aurez plus besoin cette feuille, supprimez tout le contenu de la feuille, puis sauvegarder le fichier avant de l’envoyer dans votre corbeille. Si vous tentez de protéger vos feuilles électroniques par un mot de passe, rappelez-vous qu’il existe des produits commerciaux qui peuvent contourner la protection par mot de passe sur une feuille de chiffrier.

• Connexion à distance – En raison de la pandémie, bon nombre d’entre nous travaillons non seulement de la maison, mais également du café du coin, de la bibliothèque ou d’un restaurant ! Lors de l’accès à votre base de données sécurisée dans ces endroits, n’utilisez pas les réseaux Wi-Fi dits « publics et gratuits », car ils sont beaucoup moins sûrs que celui de votre maison et de votre bureau. Si vous tenez à travailler à distance ainsi, nous recommandons de vous connecter par l’entremise de votre téléphone cellulaire, qui contient les paramètres de sécurité nécessaires.

• Pratiques relatives aux pauses – Un autre élément important à considérer est l’accès public de vos données lorsque vous vous éloigner de votre bureau pour un certain temps et n’interrompez pas l’accès aux données. Fermer tout accès à des renseignements confidentiels lorsque vous vous éloignez de votre ordinateur ou utiliser des paramètres de votre logiciel pour mettre votre ordinateur en veille après quelques minutes d’inactivité sont deux bons moyens de sauvegarder vos renseignements confidentiels.

• Plan et politique en cas d’incident  – Malheureusement, même avec une planification exceptionnelle, une atteinte aux données ou à la sécurité peut se produire. Ces jours-ci, il existe un si grand nombre de logiciels malveillants que vous devez aussi dresser un plan pour cette éventualité. Si vous gérez une équipe de bénévoles au sein d’un organisme de grande envergure, il est fort probable qu’un tel plan existe déjà – mais en connaissez-vous le contenu ou les mesures à prendre pour renseigner vos bénévoles dans ces circonstances ? Dans le cas des lecteurs dont l’organisme est de plus petite taille, cette question n’a peut-être jamais été soulevée – mais étant donné que les équipes bénévoles de nombreux organismes sans but lucratif forment la grande majorité de l’effectif de ces organisations, l’heure est peut-être venue de réfléchir à un plan d’action possible – et d’être prêt à le communiquer à qui s’en informe.

• Voies de communication protégées  – L’établissement d’une voie de communication exclusive est une autre stratégie utile permettant aux bénévoles de vous aviser de tout problème de sécurité potentiel qu’ils ont remarqué pendant leur travail. Cette voie offre un moyen de communication rapide et sans entraves où des mesures peuvent être prises sans tarder.

• Partage des données – En dernier lieu, même si un bénévole s’est engagé à porter appui à votre organisation, cela ne signifie pas forcément que vous devriez partager son adresse, son numéro de téléphone, ni son adresse courriel avec d’autres membres de l’équipe avec lesquels il travaille. Il en va de même pour son nom complet ! Songez bien à la façon dont vous partagez les calendriers et les tableaux de service avec votre équipe, et obtenez les permissions voulues avant de procéder.

Formation

Bien que de bonnes politiques et pratiques de procédure en place sont importantes, il importe tout autant de songer à la formation à offrir à l’équipe de bénévoles en matière de confidentialité des renseignements personnels – et tout particulièrement aux bénévoles qui assumeront des tâches leur donnant accès à ces renseignements confidentiels, par exemple :

• Soutien administratif / avec la base de données
• Interaction individuelle la clientèle
• Visites à domicile
• Transport
• Membre du conseil

Il existe une panoplie de sujets pouvant être abordés dans une formation, incluant sans s’y limiter :

• Une sensibilisation à l’hameçonnage et à d’autres courriels frauduleux. Leur mode de fonctionnement et comment les éviter
• Une explication générale des lois en matière de protection des renseignements personnels de la province / du territoire et du pays
• Le traitement de tout renseignement sensible dont ils prennent connaissance
• Comment supprimer et transférer de façon sécuritaire les renseignements sensibles qu’ils doivent traiter dans le cadre de leurs fonctions
• Un rappel des politiques de confidentialité de votre organisation et les éléments qu’elles incluent
• Les actions à prendre dans le cas d’une brèche des données

Il ne faut surtout pas présumer que les membres de votre équipe comprennent ces aspects – il s’agit d’un parcours en continu – car les enjeux entourant la sécurité et la confidentialité sont en constante évolution et transformation, la formation que nous offrons doit donc suivre le rythme de ces tendances.

Assurance

Selon la taille et l’envergure de votre organisation, vous pourriez également considérer quelles seraient les répercussions d’une brèche des données pour vous et d’une fuite des renseignements personnels de vos bénévoles. Bref, si vous étiez poursuivi en justice, où se situerait votre organisation en ce qui touche les assurances ?

En cette ère technologique, la cybersécurité est un service offert couramment et il serait à votre avantage de bien comprendre comment elle se jouera au sein de votre organisation.

Vous devriez vous assurer que toute plateforme renfermant des renseignements personnels possède aussi sa propre cyberassurance.

Résumé

Et voilà votre guide des dirigeants de bénévoles sur la confidentialité et la sécurité des données !

Nous espérons que cet article mettra en branle un processus qui vous munira des renseignements nécessaires pour poser des questions judicieuses, identifier les lacunes de vos pratiques et politiques actuelles, et, en bout de ligne, vous permettra de travailler avec votre équipe dans un environnement où les risques sont minimisés.

Andy Fryar travaille à l’échelle de la région de l’Australasie en qualité de directeur national des opérations au sein de l’entreprise de logiciel de gestion des bénévoles Better Impact. M. Fryar est également fondateur et directeur de OzVPM (Australasian Volunteer Program Management) – une entreprise de formation et de ressources spécialisée en bénévolat – qui se concentre particulièrement sur la région de l’Australasie. Comptant plus de 30 ans d’expérience dans le domaine de la gestion de bénévoles, il a travaillé dans divers secteurs qui incluent une action bénévole, notamment le domaine des soins de santé et des services auprès des handicapés. Il a également lancé et dirigé une gamme variée d’entreprises sociales.

Tony Goodrow est le PDG de (Better Impact), créateur du logiciel de gestion des bénévoles Impact Bénévoles – et l’organisateur d’une conférence hybride annuelle sur la gestion des bénévoles. En plus de travailler avec des clients du logiciel pour bénévoles sur cinq continents, M. Goodrow est membre du Rotary Club et a été le président fondateur du centre de soins palliatifs Carpenter, à (Ontario, Canada). Le ministère des Affaires civiques et de la Culture de l’Ontario lui a rendu hommage, et il est récipiendaire du prix June Callwood pour sa contribution bénévole en soins palliatifs. M. Goodrow a fait des présentations traitant de divers thèmes lors de conférences sur le bénévolat au Canada, aux États-Unis, au Royaume-Uni, en Australie, au Brésil, en Colombie, au Guatemala et au Mexique.

Adeyinka Jegede est un analyste d’affaires, un ingénieur en confidentialité des données, et un consultant en GRC (gouvernance, risque et conformité) et en système de gestion de la sécurité de l’information aux multiples talents et très doué, comptant plus de 18 années d’expérience à fournir un leadership aux entreprises du domaine des finances et des services de TI. En qualité de spécialiste de la conformité et des systèmes chez Better Impact, il est en charge des services de gouvernance en TI et de gestion de la sécurité des renseignements à l’échelle de l’Amérique du Nord, de l’Europe, de l’Australie et de la Nouvelle-Zélande. Son expertise en conception de systèmes de gestion de la sécurité de l’information de classe mondiale se démarque chez Better Impact; en 2021, il a dirigé l’organisation afin d’obtenir les certifications mondiales ISO 27001 et ISO 27017.