Comment assurer la sécurité de votre pratique fiscale - Plan d'urgence en cas d'atteinte à la protection des données

Dans la première partie de cette série, nous avons vu comment la lettre de mission pouvait s'avérer un outil indispensable pour protéger votre pratique fiscale. Dans la seconde partie, nous verrons comment vous pouvez sécuriser de manière appropriée les données de vos clients.

Liste de vérification des mesures de sécurité

La liste de vérification suivante s'inspire du document 4557, Safeguarding Taxpayer Data (« La protection des données des contribuables »), publié par l'IRS, l'administration fiscale américaine. Ce document fournit 7 listes de vérification à passer en revue afin de sécuriser vos données de manière appropriée. Nous résumerons les 7 listes de vérification ci-dessous.

1 - Activités administratives

Vous devez réaliser une étude d'évaluation des risques et identifier les risques d'une atteinte à la sécurité des données de vos clients. Sur la base de cette évaluation, rédigez un plan de sécurité qui traite de ces risques et comment répondre à chacun d'eux. Ce plan de sécurité devrait être revu et révisé périodiquement si nécessaire.  

2 - Sécurité des installations

Vous devez assurer la sécurité physique des données de vos clients et les mettre à l'abri de tout événement imprévu (vol, inondations, etc.). Assurez-vous de ne pas laisser les données de vos clients sans surveillance au bureau, par exemple sur des bureaux ou des photocopieurs, surtout si elles sont accessibles à d'autres personnes qui ne sont pas vos collègues de travail. Vous devez également prévoir des dispositifs d'élimination sécuritaire des renseignements des clients, tels que des déchiqueteuses ou la destruction des disques durs. Vous pouvez le faire vous-même ou embaucher des sociétés de sécurité de l'information spécialisées dans la destruction de documents.

3 - Sécurité du personnel

Créez un document de code de conduite décrivant les responsabilités de vos employés et le comportement qu'on attend d'eux en ce qui concerne les systèmes informatiques, les documents papier et l'utilisation des données des contribuables. Demandez à tous les employés de votre bureau de remplir, de signer et de soumettre une entente attestant qu'ils ont lu, compris et accepté de se conformer au code de conduite. Demandez au personnel qui aura accès à l'information des contribuables de signer des ententes de non-divulgation sur l'utilisation des renseignements confidentiels des contribuables. Mettez en œuvre des procédures pour annuler immédiatement les identifiants de connexion et les mots de passe, et pour récupérer les cartes d'accès des anciens employés.
 
4 - Information Systems Security

Il est essentiel d'effectuer régulièrement des copies de sauvegarde des données de votre client (tous les jours pendant la saison des impôts). Stockez l'information dans un endroit sûr qui se trouve à l'extérieur du bureau; cela vous évitera la perte ou la destruction des copies de sauvegarde en même temps que les données d'origine. Un plan d'urgence devrait être mis en place en cas de perturbation des activités. Ce plan devrait être testé périodiquement.

5 - Sécurité des systèmes informatiques

Une politique relative aux mots de passe est, bien sûr, essentielle; vous devez mettre en œuvre une politique nécessitant des mots de passe forts et qui exige que ces mots de passe soient modifiés périodiquement. Il est important de rappeler aux employés de ne pas partager leurs mots de passe. Investissez dans un logiciel de sécurité robuste qui inclut un pare-feu et des programmes anti-logiciels malveillants et antivirus régulièrement mis à jour. Il ne suffit pas de surveiller les logiciels de sécurité simplement; des analyses régulières de vos disques durs avec ce logiciel sont nécessaires.

Tout échange de fichiers confidentiels concernant vos clients doit s'effectuer par l'entremise de serveurs sécurisés, comme DT Portail-Client ou Onvio.

6 - Sécurité des médias

Entreposez tous les disques d'ordinateur, les supports amovibles, les bandes, les disques compacts et les disques à mémoire flash dans un endroit sécurisé. Sécurisez cet emplacement au moyen de verrous ou d'un accès par clé.

7 - Certification des systèmes d'information aux fins d'utilisation

Prenez la bonne habitude de procéder à un audit externe de vos procédures et de vos systèmes de sécurité. Cet audit devrait vous informer des lacunes de vos systèmes, s'il y a lieu. Établissez des plans d'action selon les résultats de cet audit afin de corriger ces lacunes.

Éduquez vos clients

Un autre aspect à ne pas négliger en ce qui a trait à la protection de votre pratique fiscale consiste à éduquer vos clients sur les procédures appropriées à adopter concernant les interactions entre vous et eux. Assurez-vous de leur faire comprendre les risques potentiels auxquels ils font face s'ils ne sécurisent pas correctement leurs renseignements confidentiels de leur côté. La mise en œuvre d'une politique d'échange de fichiers par le biais des serveurs sécurisés mentionnés ci-dessus est une étape cruciale pour sécuriser les données de vos clients de part et d'autre de la chaîne de communication.