5 façons de préserver la confidentialité des informations sur les membres dans le registre public de votre association

Dans les 2 articles précédents, nous avons parlé de quelques bonnes pratiques dans le domaine du registre public de votre logiciel de gestion d'association (AMS) pour que vos données de membres restent aussi utiles que possible pour l'utilisateur final. Nous avons également parlé de certaines nouvelles fonctionnalités du logiciel AMS pour les organismes de réglementation.

Dans cet article, je vais parler un peu de quelques meilleures pratiques pour garantir que les données de vos membres ne tombent pas entre de mauvaises mains. Ces pratiques incluront certaines options de configuration qui devraient être disponibles dans votre logiciel AMS et discuteront également de quelques options techniques que vous pourrez confirmer auprès de votre fournisseur de logiciel de gestion d'association.

Chaque fois que vous affichez des données sur vos membres dans un espace public comme un registre public, vous avez l'obligation de vous assurer que vous affichez uniquement les éléments de données que le public a le droit de voir. Pour un organisme de réglementation, ce droit est généralement défini par la législation – soit vos propres statuts, soit la législation gouvernementale.

Les suggestions suivantes pourraient aider tout organisme de réglementation à déterminer quelles informations sont affichées au public et contribueront à se prémunir contre tout accès non autorisé.

1. Permettez aux membres de choisir

Il peut y avoir certains éléments de données comme l'adresse personnelle, l'adresse e-mail, le numéro de téléphone et le numéro d'enregistrement qu'un organisme de réglementation peut souhaiter afficher ou non sur les membres. Le logiciel de gestion de votre association doit avoir la capacité d'afficher ou de masquer ces informations de manière globale – c'est-à-dire de masquer les numéros d'enregistrement de tous les membres.

Parfois, cependant, ce choix devrait être laissé au déclarant ou au membre, à condition que leur permettre de ne pas afficher certaines informations ne constitue pas une violation de la législation à laquelle relève votre organisme de réglementation. Souvent, les membres qui travaillent en pratique privée souhaitent que leurs coordonnées fassent partie du registre public afin que les clients potentiels puissent les contacter directement. Donner à vos membres la possibilité de décider s’ils souhaitent que certaines informations soient affichées les aide à rester responsables de leur vie privée.

2. Choisissez les informations sensibles à afficher

Un autre scénario est que vous devez montrer des informations sensibles au public, mais ces informations sont incroyablement sensibles – les cas de plaintes ou de mesures disciplinaires en sont un exemple courant. Étant donné que les cas disciplinaires peuvent souvent contenir des informations qui pourraient être préjudiciables à un inscrit en cas d'erreur, il est important de s'assurer que seuls les cas qui ont été examinés et complétés sont publiés dans le registre public.

De nombreuses juridictions n'affichent pas les cas de plainte au registre, mais tous les organismes de réglementation des soins de santé en Ontario doivent le faire – et d'autres juridictions envisagent cette possibilité.

Le système de gestion de votre association devrait être capable d'activer la publication des cas de plainte, mais d'afficher uniquement les cas que vous ou le directeur des plaintes déterminez qu'ils sont prêts à figurer dans le registre public. Certaines règles métier peuvent également contrôler la publication de ces informations – par exemple, publier uniquement les cas disciplinaires marqués comme « terminés » et également marqués comme « révisés ».

Les conditions et restrictions sur les licences peuvent également être candidates à cela. Bien que l'affichage des conditions puisse être activé de manière globale, il peut y avoir certaines conditions sur une licence que l'Ordre ou l'association souhaite désactiver membre par membre. Par exemple, indiquer qu’un membre doit suivre le programme de maintien de la compétence n’est peut-être pas nécessaire pour le public – mais c’est important à l’interne.

3. Blackout complet pour les particuliers

Malheureusement, il peut parfois être nécessaire de ne pas afficher du tout une personne inscrite dans le registre public – en particulier lorsqu'elle est victime de harcèlement ou d'abus en ligne. Souvent, définir cette option pour un membre est une question de sécurité personnelle et doit être configurable le plus rapidement possible par le personnel de votre Collège ou association afin de minimiser les risques de victimisation. Dans la plupart des cas, votre ordre ou association peut exiger que certains documents soient téléchargés pour justifier la configuration de ce paramètre de confidentialité. Cela vous aide à garantir qu'il existe une réelle exigence de ne pas afficher le membre – et pas seulement que le membre ne veut pas quelque chose d'embarrassant comme un cas de plainte présenté.

Votre logiciel de gestion d'association devrait vous permettre de définir un indicateur sur un membre pour qu'il ne soit plus affiché dans le registre public. Assurez-vous de confirmer auprès de votre fournisseur AMS qu'il suit les conseils de numéro 5!

4. Rendre le vol de vos données plus difficile

Un effet secondaire malheureux de la tenue d’un registre public est que des personnes sans scrupules peuvent vouloir obtenir une copie de toutes les données que vous affichez au public. Vous recevez probablement des appels et des e-mails de leur part tout le temps pour obtenir autant de données que possible. Souvent cependant, plutôt que de recourir à des moyens légitimes pour collecter vos données, ils essaieront d’utiliser une technique courante d’exploration de données appelée « scraping » ou «grattage Web“.

Le Web scraping utilise un programme informatique pour tenter de parcourir toutes les pages d'un site Web et de récolter automatiquement toutes les informations contenues dans les pages. Les registres publics peuvent être des cibles pour ces programmes car ils stockent les données de manière cohérente. Voici quelques idées pour rendre vos données moins vulnérables au web scraping :

un. La seule solution qui fonctionne 100% de l'époque nécessite une connexion pour effectuer une recherche dans le registre public. Exiger une connexion avant de rechercher dans le registre rend moins pratique pour les utilisateurs la recherche de votre adhésion – ce n'est donc pas une solution aussi courante.

b. Utiliser un captcha. Vous les détestez probablement. Vous pourriez même me détester un peu pour l'avoir suggéré. Je ne vous en veux pas – je les déteste aussi ! Je me déteste un peu de le suggérer – mais ils sont souvent assez efficaces. Qu'est-ce qu'un captcha ? Un captcha est un outil qui oblige l'utilisateur à répondre à une sorte de question avant de continuer, ce qui permet de s'assurer que la « personne » qui utilise le site Web est une personne réelle. Voici un exemple d'écran captcha :

c. Convertissez du texte en images. Au lieu d'afficher le texte du nom de famille d'une personne, pensez à afficher une image générée avec le nom de la personne. Le logiciel de scraping a tendance à avoir plus de mal à extraire le texte d’une image plutôt que de la page Web. Votre fournisseur de logiciel de gestion d’association pourra peut-être proposer cette amélioration pour vous aider à sécuriser vos données.

5. Attention aux utilisateurs techniques !

Il s’agit d’un autre élément technique, mais très important. Certaines pages Web contiennent des données envoyées au navigateur depuis le serveur, mais ces données sont simplement configurées pour ne pas s'afficher. Alors que l'utilisateur moyen supposera simplement que ce n'est pas là, un utilisateur technique est plus susceptible de savoir qu'il peut inspecter le code de la page et voir ces données. La solution? Assurez-vous que les données qui ne sont pas censées être affichées à l'utilisateur final ne sont pas simplement masquées, mais ne sont pas du tout renvoyées au navigateur.

Une bonne analogie pour ce scénario est Microsoft Excel. Imaginez que vous disposez d'une feuille de calcul contenant des données utilisateur que vous souhaitez envoyer à un fournisseur.

Mais vous ne voulez certainement pas leur donner de mot de passe ! Mais plutôt que de supprimer la colonne du mot de passe, vous la masquez simplement.

Ces données de mot de passe sont toujours dans la feuille de calcul – elles sont simplement masquées. Tout utilisateur ayant quelques connaissances en Excel peut cliquer avec le bouton droit et afficher cette colonne. Il en va de même pour les données cachées dans un registre public : un utilisateur averti pourrait inspecter le code de la page Web et afficher les données cachées.

La solution? Votre solution de gestion d'association ne doit tout simplement pas envoyer au navigateur des données qui ne devraient pas être affichées.


CONCLUSION:

J'espère que ces conseils seront des informations utiles lorsque vous envisagerez de mettre en œuvre un registre public de vos inscrits ou membres. Si vous avez d'autres suggestions pour garder vos informations de membre confidentielles si nécessaire, veuillez les publier dans les commentaires !

Alinity est livré avec un registre public intégré vous permettant de choisir plusieurs de ces options et d'autres.

 

fr_CAFrench