Confidentialité des données et sécurité de l’information

Notre clientèle, les membres de notre équipe et les investisseurs s’attendent à ce que nous fassions la preuve que nous recueillons les données de façon appropriée, les utilisons à des fins qui servent leurs intérêts et en assurons la protection. Notre approche de gouvernance des données englobe la protection et l’utilisation appropriée des données tout au long de leur cycle de vie, et nous considérons la gouvernance active des données comme un facteur primordial à prendre en compte dans toutes nos décisions relatives aux initiatives commerciales et aux technologies.

Le conseil d’administration de BCE Inc. a adopté en 2020 une politique plus rigoureuse en matière de gouvernance des données, laquelle réunit les multiples politiques et programmes que nous avons mis en place dans les domaines interreliés de la protection de la vie privée, de la sécurité de l’information, de la gestion de l’accès aux données et de la gestion des dossiers. Nous avons institué une formation obligatoire en matière de gouvernance des données pour tous les membres du personnel dans le cadre de notre programme de formation bisannuelle sur le Code de conduite. Nous avons également créé pour les membres de l’équipe un site interne de gouvernance des données afin de centraliser les ressources et de répondre aux questions fréquemment posées.

Confidentialité

Notre clientèle est de plus en plus sensible à l’importance de protéger ses renseignements personnels et s’intéresse plus que jamais aux questions de confidentialité entourant l’utilisation de nos services. Le sujet a retenu l’attention des législateurs et des organismes de réglementation. Par ailleurs, la surveillance réglementaire dont font l’objet l’utilisation, la collecte et la divulgation des renseignements personnels s’est intensifiée au Canada. Nos efforts constants dans ce domaine s’inscrivent dans notre impératif stratégique visant à promouvoir l’expérience client.

Nous attachons une grande valeur à la confiance que nous accordent nos clients et nos clientes quand ils nous communiquent leurs renseignements personnels. Nous nous engageons à rendre des comptes quant à la façon dont nous recueillons, utilisons et divulguons des renseignements personnels. Notre politique de confidentialité définit les informations que nous collectons, comment et pourquoi nous les collectons, les utilisons et parfois les communiquons, comment et quand nous demandons le consentement éclairé de nos clients et de nos clientes, comment ces derniers peuvent accéder à leurs informations personnelles et comment ils peuvent nous contacter s’ils ont des questions ou des préoccupations.

Chaque année, chaque membre de l’équipe Bell doit relire et signer le Code de conduite de Bell, qui souligne l’importance de protéger les renseignements relatifs à la clientèle et de les utiliser uniquement d’une façon conforme à notre politique de protection de la vie privée.

Consentement de l’utilisateur et objectif de la collecte de données

La politique de Bell sur la protection de la vie privée explique comment et quand nous recueillons, utilisons et divulguons des renseignements personnels, y compris la façon dont nous échangeons des renseignements personnels au sein du groupe d’entreprises Bell. Nous ne conservons ces renseignements qu’aussi longtemps que nécessaire ou que la loi l’exige. De plus, Bell ne divulgue pas les renseignements confidentiels d’un client à des organismes gouvernementaux, à moins que ce ne soit requis ou autorisé par la loi (comme lorsqu’il est nécessaire d’enquêter sur la violation d’une loi ou de prévenir la fraude et de sécuriser nos réseaux) ou en cas d’urgence, s’il y a un danger imminent pour la vie ou la propriété.

Formation des membres de l’équipe et outils de protection de la vie privée

Nous fournissons aux membres de notre équipe des renseignements et une formation continue sur l’importance de respecter la confidentialité des renseignements personnels de notre clientèle et des membres de l’équipe. Nous publions des renseignements sur notre site intranet qui définissent clairement les rôles, les processus, la formation offerte et plus encore. En 2021, nous avons mis en place une formation obligatoire en matière de gouvernance des données pour tous les membres du personnel dans le cadre de notre programme de formation bisannuelle sur le Code de conduite.

Sécurité de l’information

Notre secteur, comme beaucoup d’autres, est constamment la cible de cybermenaces. Nous devons être en mesure d’identifier et de contrer les risques de sécurité de l’information en temps opportun afin de protéger les systèmes et les renseignements et de contribuer à la réalisation de notre impératif stratégique pour promouvoir l’expérience client. Éviter des incidents liés à la sécurité de l’information peut également limiter l’augmentation des dépenses associées aux mesures correctives et aux responsabilités juridiques, ce qui sert bien notre impératif stratégique de mener nos activités avec agilité et selon une structure de coûts efficace.

Nous nous efforçons de protéger la sécurité de nos systèmes et des données de notre clientèle. Pour ce faire, nous mettons en place des programmes de prévention, de détection et d’intervention liés aux menaces à la sécurité. Nous offrons de la formation continue aux membres de l’équipe sur la protection des données et nous continuons de contribuer à définir les pratiques du secteur en matière de sécurité et de gestion des risques.

Chez Bell, nous cherchons à protéger nos réseaux, nos systèmes, nos applications, ainsi que les renseignements personnels qu’ils contiennent contre toute menace, notamment les cyberattaques, les accès non autorisés et les dommages causés par les incendies et les catastrophes naturelles. Nous nous efforçons de protéger la compétitivité des entreprises canadiennes qui utilisent les services de Bell en nous efforçant de maintenir la sécurité et la stabilité du réseau. Nous procédons à des investissements continus pour améliorer la performance et la disponibilité de nos services et de nos réseaux, et nous déployons des couches de contrôles de sécurité pour nous protéger contre les cybermenaces. Les menaces à la cybersécurité continuent d’évoluer au fur et à mesure que de nouvelles technologies comme la 5G, l’informatique en nuage et l’IdO apparaissent. Le programme de sécurité de l’information de Bell porte sur la confidentialité, l’intégrité et la disponibilité des technologies existantes et émergentes. L’intégration d’une attitude axée sur la sécurité et de protections appropriées dans tout ce que nous faisons sert de fondement à l’approche de sécurité dès la conception de Bell.

Surveillance

Tous les membres du conseil d’administration de BCE ont la responsabilité de cerner et de surveiller les principaux risques auxquels notre entreprise est exposée et d’assurer l’existence de processus qui visent à repérer, à contrôler et à gérer les risques de façon efficace. Bien que le conseil assume la responsabilité pleine et entière à l’égard du risque, il délègue la responsabilité de certains éléments du programme de surveillance des risques à des comités du conseil. De cette façon, ces éléments (qui sont rapportés au conseil régulièrement) sont traités avec l’expertise, l’attention et la diligence appropriées.

Le comité du risque et de la caisse de retraite de BCE est responsable de la surveillance des risques et de la stratégie liés à la sécurité de l’information de Bell. Les dirigeants des unités d’affaires opérationnelles jouent un rôle central dans l’identification et la gestion proactives des risques au quotidien. Les dirigeants des unités d’affaires ont accès à plusieurs groupes de soutien de l’entreprise qui offrent une expertise indépendante pour renforcer la mise en œuvre des méthodes de gestion des risques.

Le groupe Sûreté de l’entreprise est responsable de tous les aspects de la sécurité. Nos professionnels de la Sûreté de l’entreprise ont une compréhension approfondie de l’entreprise, de l’environnement de gestion des risques et de l’environnement des intervenants externes; ils établissent les normes pour l’entreprise dans nos politiques de sécurité et surveillent le rendement de l’entreprise par rapport aux exigences ainsi définies. Ils collaborent également avec les dirigeants des unités d’affaires opérationnelles pour élaborer des stratégies et des plans d’action visant à atténuer les risques.

Cadre, politiques et certification

Afin de protéger les actifs existants, nous avons élaboré un cadre fondé sur les pratiques exemplaires et les normes du secteur, y compris, mais sans s’y limiter, celles du Forum de la sécurité informatique, de l’Organisation internationale de normalisation (ISO) et du National Institute of Standards and Technology (NIST), ainsi que les Normes de sécurité des données du secteur des cartes de paiement (SCP). Ce cadre comprend 10 piliers stratégiques en matière de sécurité de l’information et est soutenu par une série de politiques, de directives et de normes qui définissent les contrôles de sécurité pour protéger nos actifs et nos données. En 2021, nous avons fait réaliser une évaluation externe de la stratégie et du système de gestion de la sécurité de l’information (SGSI) de Bell, consolidant ainsi notre conformité aux pratiques exemplaires et notre position de leadership dans le secteur. Nous avons évalué et harmonisé l’ensemble de notre SGSI par rapport à la norme ISO. Cette norme est désormais à la base de notre système de gestion de la sécurité de l’information, et elle nous servira de cadre de référence pour le renforcer et l’entretenir. Nous procédons déjà à des vérifications de contrôle de l’organisme de services (SOC 1 et 2) sur certains services à l’échelle de Bell afin de donner à notre clientèle une assurance indépendante relativement à la sécurité, à la disponibilité et aux contrôles de confidentialité. Nous nous appuyons sur un processus d’assurance robuste pour évaluer les projets, cerner les risques et établir des plans d’action pour que les systèmes soient déployés avec le niveau de sécurité approprié. En raison du caractère évolutif et de la sophistication toujours plus grande des menaces à la sécurité de l’information partout dans le monde, nous adaptons rapidement nos politiques et procédures de sécurité.

Les piliers de sécurité de l’information de Bell

Menaces et incidents

Nous avons une équipe interne de renseignements sur les cybermenaces qui détecte les menaces auxquelles Bell et sa clientèle sont exposés et qui complète les renseignements que nous recueillons d’autres sources du secteur. Par exemple, Bell est un membre fondateur de l’Échange canadien de menaces cybernétiques (ECMC), un forum national multisectoriel sur les menaces où les professionnels de la sécurité échangent des renseignements sur les menaces concrètes et des mesures d’atténuation avec leurs pairs.

La sensibilisation et la formation sur la sécurité de l’information ont toujours fait partie du processus d’intégration des membres de l’équipe et de la formation obligatoire chez Bell. Le programme de formation sur la sécurité de l’information de Bell s’intitule Soyez cyberavisé. Il comprend l’accès à notre plateforme spécialisée de sensibilisation à la cybersécurité, une formation annuelle et des simulations mensuelles d’hameçonnage, de même qu’une grande variété d’autres sources de renseignements comme des webinaires, des articles, des balados et une conférence virtuelle annuelle. Au 31 décembre 2023, 95 % des membres de l’équipe inscrits ont terminé la formation de base, ce qui nous a permis d’attendre notre objectif de participation à la formation d’au moins 90 %. Le taux de signalement des simulations d’hameçonnage se chiffre à 33 %; nous avons observé que les membres du personnel entièrement formés rapportaient 142 % plus de simulations d’hameçonnage que ceux non formés. Ces initiatives favorisent le renforcement d’une culture de cybersécurité et l’accroissement de la sensibilisation aux risques liés à la cybersécurité.

Clientèle

Conformément à la position de Bell en tant que chef de file de longue date en matière de prestation de services de sécurité aux entreprises et organisations canadiennes, notre service géré de sécurité de l’IdO fournit une sécurité complète pour protéger les réseaux et les systèmes de nos clients et de nos clientes lorsqu’ils adoptent les technologies IdO. Notre gamme de services de sécurité est surveillée par le Centre de gestion de la sécurité de Bell. Le personnel du Centre assure une gestion des incidents et des politiques en tout temps et produit des rapports sur tous les incidents liés à la sécurité.

Exigences contractuelles

Les sous-traitants qui nous fournissent des services de traitement de données sont tenus de mettre en œuvre des mesures adéquates pour assurer la sécurité de l’information. Nous tenons les fournisseurs responsables au moyen de clauses contractuelles qui exigent que les contrôles appropriés soient mis en place pour protéger les données et les systèmes de Bell. Lorsqu’un fournisseur gère des renseignements confidentiels qui appartiennent à une entreprise de Bell, à un client de Bell ou à un des membres de son équipe, il doit respecter toutes les lois applicables sur la protection de la vie privée du territoire où il se trouve, ainsi que les obligations contractuelles énoncées dans l’entente. Bell se réserve le droit d’évaluer et de surveiller les pratiques des fournisseurs en matière de protection de la sécurité de l’information. Les fournisseurs doivent immédiatement aviser Bell d’éventuels incidents de sécurité de l’information, atteintes à la vie privée ou pertes de données de Bell, réels ou suspectés, et aider Bell à gérer les conséquences de tels événements.

Collaboration et partenariats externes

Bell est un membre fondateur de l’Échange canadien de menaces cybernétiques (ECMC), qui vise à aider les organisations publiques et privées à partager de l’information sur les cybermenaces et leur atténuation dans divers secteurs d’activité au Canada. Bell est également un membre fondateur du Comité consultatif canadien pour la sécurité des télécommunications (CCCST), où nous travaillons avec d’autres fournisseurs canadiens de services de télécommunications, ministères et organismes d’application de la loi pour favoriser l’adoption de pratiques exemplaires et améliorer la sécurité et la résilience du monde connecté du Canada.

Bell est reconnue comme un chef de file canadien en matière de sécurité par IDC Canada. IDC Canada évalue les fournisseurs de services de sécurité en fonction de leurs capacités actuelles et de leurs stratégies futures pour la prestation de services de sécurité. Le leadership de Bell a été reconnu dans les rapports d’IDC Canada de 2015, 2016, 2017, 2018, 2019 et 2022.

Santé et sécurité et acceptabilité sociale de nos réseaux

Au Canada, Santé Canada suit de près les études de partout dans le monde et mène ses propres recherches pour établir les lignes directrices sur l’exposition humaine aux radiofréquences (RF). Ces lignes directrices sont documentées dans le Code de sécurité 6 de Santé Canada. Ce code fixe les limites d’exposition sécuritaire aux émissions de RF pour toutes les personnes, y compris les populations vulnérables et les personnes qui travaillent à proximité de sources d’émissions de celles-ci. Ce code indique également les exigences applicables en matière de sécurité relatives à l’installation et au fonctionnement des appareils qui émettent des champs de RF, comme les téléphones mobiles, les technologies WiFi et les antennes de stations de base.

Le ministère de l’Innovation, des Sciences et du Développement économique Canada (ISDE) a rendu la conformité au Code de sécurité 6 obligatoire pour tous les promoteurs et les exploitants d’installations de radiocommunication. ISDE est responsable de l’approbation du matériel qui émet des radiofréquences et de l’évaluation de sa conformité à la norme sur l’exposition aux radiofréquences du Code de sécurité 6 de Santé Canada.

La santé et la sécurité de notre clientèle sont en tête de liste de nos priorités. Bell achète uniquement des téléphones mobiles auprès de fabricants qui satisfont aux exigences du Code de sécurit 6 de Santé Canada en matière d’émissions de RF. Bell s’assure aussi que tous les équipements de réseau sans fil que nous utilisons sur les tours, les bâtiments et les autres structures de soutien sont conformes à ces exigences. Lorsqu’elle choisit l’emplacement de nouvelles installations de télécommunications, Bell tient compte des préoccupations de la communauté. Avant de choisir ou d’acheter des terrains pour tout nouveau site de télécommunications, Bell détermine s’il est possible de placer les antennes sur des structures existantes (bâtiments en hauteur ou tours déjà en place). Bell se conforme en tous points aux directives d’ISDE en matière de consultations publiques et municipales énoncées dans la circulaire des procédures concernant la clientèle CPC-2-0-03, Systèmes d’antennes de radiocommunications et de radiodiffusion .