Une donnée personnelle est un renseignement qui concerne une personne physique et qui permet de l’identifier.

Ça concerne donc les employés de votre organisation mais aussi les candidats et les contacts de vos prospects, clients, partenaires, fournisseurs et de toute autre organisation avec laquelle vous faites affaire. On entend souvent parler de données personnelles quand elles font l’objet d’une fuite ou d’un vol mais la protection de ces données pose des enjeux beaucoup plus larges. Sont-elles utilisées correctement? Est-ce que la personne a consentie à l’utilisation qui en est faite? Où sont-elles hébergées et qui y a accès?

Au Canada, les lois en vigueurs visant à protéger les données personnelles sont désuètes et n’incluent pas de sanctions appropriées. En comparaison le Règlement Général sur le Protection des Données (« RGPD ») européen prévoit des sanctions allant jusqu’à 20 millions €. 95000 plaintes ont déjà été déposées depuis son entrée en vigueur en mai 2018 avec des sanctions de plusieurs centaines de milliers d’euros, et même jusqu’à 20000 € pour une entreprise de seulement 9 salariés. Rien de tel pour le moment au Québec mais la ministre de la justice Sonia LeBel a annoncé le dépôt d’un projet de loi au cours des prochains mois afin de mieux protéger les données personnelles des Québécois.

 

Êtes-vous prêts ?

Comment s’assurer de la protection des données personnelles dans un contexte technologique où elles sont collectées et traitées de façon électronique et peuvent donc très facilement être stockées et partagées avec des tiers? Voici la solution en 4 étapes:

 

Étape 1 : Comprendre les flux des données

L’objectif est de comprendre la façon dont sont collectées puis traitées les données et ceci passe par la cartographie du traitement des données personnelles afin de tenir un registre des activités qui documente :

 

  • Les objectifs recherchés par la collecte et le traitement des données
  • Les étapes de traitement, incluant les lieux d’hébergement des données
  • Les acteurs internes et externes qui ont accès et traitent les données (et les clauses de confidentialité appropriées)
  • La durée de conservation des données
  • Les mesures de sécurité en place permettant de protéger les données

 

Étape 2 : Établir un plan d’action priorisé

L’objectif et de comprendre les risques auxquels l’organisation est exposée en fonction des politiques internes et de la base juridique qui s’applique à votre organisation. Vous devez en premier lieu vous assurer de respecter le droit des personnes vous ayant confié leurs données.

 

  • Ne collecter que ce qui est réellement nécessaire
  • Obtenir le consentement et s’assurer que les données ne sont pas utilisées à une autre fin
  • S’assurer que les partenaires et sous-traitants respectent ces mêmes obligations.
  • Mettre en place des mesures de sécurité

 

 

Étape 3 : Organiser

L’objectif est de réorganiser les procédures internes afin d’assurer la protection des données personnelles pendant l’ensemble du traitement.

Ceci passe aussi par la sensibilisation des parties prenantes au caractère sensible du traitement des données personnelles. Vous vous assurez aussi d’analyser tout changement à votre environnement pouvant avoir un impact sur la protection des données : réorganisation, acquisition, changement de sous-traitants

 

Étape 4 : Documenter votre conformité et contrôler vos mesures de protection

Protéger les données personnelles c’est aussi être en mesure de prouver que vous le faites réellement et que ce ne sont pas que quelques politiques dictées puis mises de côté. Ceci inclut

 

  • Le registre expliqué à l’étape 1
  • La vérification périodique du respect de vos procédures internes, incluant la validation auprès des sous-traitants
  • La gestion des accès aux données
  • Les preuves de consentement

 

 

Votre organisation est responsable de protéger les données personnelles qu’elle utilise. Contactez-nous pour savoir comment P&S peut vous aider à mieux les gérer.