Comment se préparer à se conformer à la modernisation des lois sur la protection des renseignements personnels au Canada

Avec toutes les différentes lois déjà promulguées ou en cours de promulgation dans différentes juridictions, les organisations peuvent avoir du mal à déterminer ce qu’elles doivent faire pour s’assurer qu’elles seront au niveau des exigences. Cependant, il existe des pratiques exemplaires en matière de protection de la vie privée qui peuvent être mises en place pour aider les organisations à mieux se préparer à respecter les obligations. 

Dans cet article, nous examinerons certaines de ces meilleures pratiques. 

Les meilleures pratiques 

Examinons quelques pratiques exemplaires en matière de protection des données qui aideront une organisation à s’adapter aux exigences des lois sur la protection de la vie privée. 

1. Identifier les informations personnelles qui sont créées, reçues et partagées 

L’identification des informations personnelles est une obligation commune des lois sur la protection de la vie privée. Cela implique de suivre le flux d’informations personnelles à travers différentes applications. Cela inclut également où les informations personnelles sont stockées et avec qui les informations sont partagées. En termes simples, les organisations ont besoin d’un inventaire des informations dont elles disposent, pourquoi elles les ont et à quoi elles servent. 

Comme nous l’avons mentionné précédemment, les informations personnelles comprennent toute information sur une personne qui rend la personne identifiable, y compris des éléments tels que l’e-mail ou le numéro de téléphone portable d’une personne ou même des informations subjectives telles que des évaluations ou des commentaires. Le Commissariat à la protection de la vie privée du Canada (OPC) donne quelques bons exemples de ce qui constitue des renseignements personnels. 

2. Veiller à ce que les informations personnelles soient sécurisées à la fois en interne dans l’ensemble de l’organisation et en externe pour les protéger contre les violations ou la divulgation involontaire 

Verrouiller les bases de données où résident les informations personnelles n’est que le début de la garantie de la sécurité des données personnelles. De nombreuses organisations ne pensent pas aux autres domaines dans lesquels les données peuvent résider. Les exemples incluent les données personnelles dans les e-mails, les listes de clients sur les ordinateurs portables des employés, les sauvegardes dans le cloud. Les organisations doivent s’assurer qu’elles pensent à la sécurité à tous les niveaux d’une organisation avec des couches de sécurité qui atténuent les risques. 

La protection des données en interne est cruciale, mais les organisations doivent également travailler avec tous les partenaires tiers avec lesquels elles s’engagent pour s’assurer qu’elles ont mis en place des politiques de confidentialité, des processus et une sécurité qui répondent aux exigences en matière d’informations personnelles. 

3. Capacité à répondre aux demandes des personnes concernant leurs données et avec qui les données sont partagées 

Les organisations doivent disposer d’un système en place qui peut recueillir les informations demandées dans l’ensemble de l’organisation. Par exemple, le service client peut avoir certaines données sur cette personne tandis que la comptabilité peut avoir d’autres données sur cette même personne. Malheureusement, ne pas fournir les informations correctes aux demandeurs peut entraîner des pénalités et des amendes. Par conséquent, l’organisation doit tenir compte de ces domaines lors de la configuration de ses systèmes. 

4. Créer des processus pour produire des rapports d’informations personnelles 

Une exigence courante des lois sur la protection de la vie privée est de permettre aux utilisateurs d’obtenir une copie des données qu’ils ont demandées dans un format simple. Par conséquent, le système développé pour recueillir les informations personnelles devrait également avoir la capacité de générer un rapport avec toutes les informations pour les personnes qui demandent une copie des données. 

5. Développer un processus de suppression des informations personnelles 

Une autre exigence commune à de nombreuses lois sur la protection de la vie privée est le droit d’une personne à faire supprimer ou anonymiser ses informations personnelles. Le défi pour les organisations est de s’assurer qu’elles ne suppriment pas ou ne rendent pas anonymes les informations nécessaires pour se conformer à d’autres lois dans leur secteur spécifique. Par exemple, les organisations du secteur de la santé peuvent avoir des exigences spécifiques en matière de données. Lorsqu’elles envisagent de supprimer des informations personnelles, les organisations doivent tenir compte des données dont elles ont besoin pour leur succès ainsi que des données qui doivent être conservées dans le cadre des politiques de conservation des données pour déterminer quelles données peuvent être supprimées ou rendues anonymes. 

6. Hygiène des données personnelles 

À mesure que les coûts de stockage des données ont diminué, les organisations ont eu tendance à conserver les renseignements personnels plus longtemps que pour l’usage auquel ils étaient destinés. Les organisations doivent adopter l’approche inverse. Ne collectez que les informations nécessaires à l’objectif désigné et stockez ces informations aussi longtemps que l’objectif désigné est atteint. Ce faisant, les organisations réduisent leur exposition en limitant les informations personnelles collectées et la durée de conservation des informations. 

Avec les diverses lois provinciales, fédérales et mondiales sur la protection de la vie privée déposées ou déjà promulguées, les organisations peuvent avoir du mal à assurer la conformité. Les meilleures pratiques ci-dessus constituent un bon début. Cependant, pour mieux comprendre l’impact des lois sur la protection de la vie privée sur votre organisation, nous vous recommandons fortement de faire appel à un expert juridique ayant une expertise spécifique dans les lois sur la protection de la vie privée. 

Les fournisseurs de services informatiques, comme MicroAge, peuvent vous aider dans votre démarche de confidentialité en fournissant des services et des solutions liés à la sécurité, au stockage, à la sauvegarde et à la récupération des données. 

Contactez-nous aujourd’hui pour voir comment nous pouvons vous aider. 

Obtenez plus de vos outils informatiques

Plus de 300 entreprises de toutes tailles nous font confiance pour le déploiement et la gestion de solutions TI et de produits informatiques. Permettez-nous de vous aider dans l'atteinte de vos objectifs d'affaires.

Articles les plus commentés

top 5 office 365 tools

Les 5 meilleurs outils de collaboration Office 365 dont vous avez besoin dans votre espace de travail

Office 365 est la suite de logiciels ultime de Microsoft et comprend certains des programmes les plus polyvalents et révolutionnaires proposés aux propriétaires d’entreprise. Cependant,…

Read More
dark web

Le Dark Web: qu’est-ce que c’est et pourquoi vous devriez en être conscient

Internet est un espace composé de bons et de mauvais. L’Internet est paradoxalement composé de trois couches, en particulier le Web profond, le Web de…

Read More
cyber resilient

Rendre votre entreprise cyber-résiliente

Avec les menaces croissantes provenant des logiciels malveillants, du phishing et des acteurs de la haute technologie, la cybersécurité est une priorité pour les entreprises…

Read More

Payer ou ne pas payer : telle est la question à laquelle les victimes de rançongiciel doivent répondre

La plupart des gens n’ont jamais entendu parler de la Colonial Pipeline Company avant mai 2021, même si elle transporte 45 % de tout le…

Read More
Formation continue en cybersécurité

Pourquoi la formation continue en cybersécurité est-elle cruciale pour votre entreprise ?

Le monde de la technologie est en constante et rapide évolution. Tout comme les comportements des utilisateurs, les cybermenaces se développent, progressent et s’améliorent journellement….

Read More