Comment se préparer à se conformer à la modernisation des lois sur la protection des renseignements personnels au Canada

Avec toutes les différentes lois déjà promulguées ou en cours de promulgation dans différentes juridictions, les organisations peuvent avoir du mal à déterminer ce qu’elles doivent faire pour s’assurer qu’elles seront au niveau des exigences. Cependant, il existe des pratiques exemplaires en matière de protection de la vie privée qui peuvent être mises en place pour aider les organisations à mieux se préparer à respecter les obligations. 

Dans cet article, nous examinerons certaines de ces meilleures pratiques. 

Les meilleures pratiques 

Examinons quelques pratiques exemplaires en matière de protection des données qui aideront une organisation à s’adapter aux exigences des lois sur la protection de la vie privée. 

1. Identifier les informations personnelles qui sont créées, reçues et partagées 

L’identification des informations personnelles est une obligation commune des lois sur la protection de la vie privée. Cela implique de suivre le flux d’informations personnelles à travers différentes applications. Cela inclut également où les informations personnelles sont stockées et avec qui les informations sont partagées. En termes simples, les organisations ont besoin d’un inventaire des informations dont elles disposent, pourquoi elles les ont et à quoi elles servent. 

Comme nous l’avons mentionné précédemment, les informations personnelles comprennent toute information sur une personne qui rend la personne identifiable, y compris des éléments tels que l’e-mail ou le numéro de téléphone portable d’une personne ou même des informations subjectives telles que des évaluations ou des commentaires. Le Commissariat à la protection de la vie privée du Canada (OPC) donne quelques bons exemples de ce qui constitue des renseignements personnels. 

2. Veiller à ce que les informations personnelles soient sécurisées à la fois en interne dans l’ensemble de l’organisation et en externe pour les protéger contre les violations ou la divulgation involontaire 

Verrouiller les bases de données où résident les informations personnelles n’est que le début de la garantie de la sécurité des données personnelles. De nombreuses organisations ne pensent pas aux autres domaines dans lesquels les données peuvent résider. Les exemples incluent les données personnelles dans les e-mails, les listes de clients sur les ordinateurs portables des employés, les sauvegardes dans le cloud. Les organisations doivent s’assurer qu’elles pensent à la sécurité à tous les niveaux d’une organisation avec des couches de sécurité qui atténuent les risques. 

La protection des données en interne est cruciale, mais les organisations doivent également travailler avec tous les partenaires tiers avec lesquels elles s’engagent pour s’assurer qu’elles ont mis en place des politiques de confidentialité, des processus et une sécurité qui répondent aux exigences en matière d’informations personnelles. 

3. Capacité à répondre aux demandes des personnes concernant leurs données et avec qui les données sont partagées 

Les organisations doivent disposer d’un système en place qui peut recueillir les informations demandées dans l’ensemble de l’organisation. Par exemple, le service client peut avoir certaines données sur cette personne tandis que la comptabilité peut avoir d’autres données sur cette même personne. Malheureusement, ne pas fournir les informations correctes aux demandeurs peut entraîner des pénalités et des amendes. Par conséquent, l’organisation doit tenir compte de ces domaines lors de la configuration de ses systèmes. 

4. Créer des processus pour produire des rapports d’informations personnelles 

Une exigence courante des lois sur la protection de la vie privée est de permettre aux utilisateurs d’obtenir une copie des données qu’ils ont demandées dans un format simple. Par conséquent, le système développé pour recueillir les informations personnelles devrait également avoir la capacité de générer un rapport avec toutes les informations pour les personnes qui demandent une copie des données. 

5. Développer un processus de suppression des informations personnelles 

Une autre exigence commune à de nombreuses lois sur la protection de la vie privée est le droit d’une personne à faire supprimer ou anonymiser ses informations personnelles. Le défi pour les organisations est de s’assurer qu’elles ne suppriment pas ou ne rendent pas anonymes les informations nécessaires pour se conformer à d’autres lois dans leur secteur spécifique. Par exemple, les organisations du secteur de la santé peuvent avoir des exigences spécifiques en matière de données. Lorsqu’elles envisagent de supprimer des informations personnelles, les organisations doivent tenir compte des données dont elles ont besoin pour leur succès ainsi que des données qui doivent être conservées dans le cadre des politiques de conservation des données pour déterminer quelles données peuvent être supprimées ou rendues anonymes. 

6. Hygiène des données personnelles 

À mesure que les coûts de stockage des données ont diminué, les organisations ont eu tendance à conserver les renseignements personnels plus longtemps que pour l’usage auquel ils étaient destinés. Les organisations doivent adopter l’approche inverse. Ne collectez que les informations nécessaires à l’objectif désigné et stockez ces informations aussi longtemps que l’objectif désigné est atteint. Ce faisant, les organisations réduisent leur exposition en limitant les informations personnelles collectées et la durée de conservation des informations. 

Avec les diverses lois provinciales, fédérales et mondiales sur la protection de la vie privée déposées ou déjà promulguées, les organisations peuvent avoir du mal à assurer la conformité. Les meilleures pratiques ci-dessus constituent un bon début. Cependant, pour mieux comprendre l’impact des lois sur la protection de la vie privée sur votre organisation, nous vous recommandons fortement de faire appel à un expert juridique ayant une expertise spécifique dans les lois sur la protection de la vie privée. 

Les fournisseurs de services informatiques, comme MicroAge, peuvent vous aider dans votre démarche de confidentialité en fournissant des services et des solutions liés à la sécurité, au stockage, à la sauvegarde et à la récupération des données. 

Contactez-nous aujourd’hui pour voir comment nous pouvons vous aider.