close
Share with your friends
protection des renseignements personnels

Culture de protection des renseignements personnels

Culture de protection des renseignements personnels

Article coécrit par Sharon Bauer, directrice principale, Juricomptabilité, KPMG au Canada

Cet article a été initialement publié le 29 octobre 2018 sur le site www.thelawyersdaily.ca

Étant donné la hausse du nombre de cas d'atteinte à la vie privée, les consommateurs se préoccupent de plus en plus de la manière dont les organisations gèrent leurs renseignements personnels. Alors que les consommateurs vivent un changement de paradigme et ont besoin d'un certain niveau de confiance et de transparence avant de partager leurs renseignements personnels, les organisations doivent revoir la façon dont elles perçoivent la conformité à la législation et aux normes en matière de confidentialité.

Autrefois considérée comme un obstacle aux affaires, la question de la protection des renseignements personnels est maintenant un catalyseur. Les organisations qui souhaitent bâtir une relation de confiance avec leurs clients doivent se pencher sur leurs méthodes et ajuster leur architecture pour bâtir une culture qui correspond entièrement aux attentes de leurs clients.

Le conseiller juridique interne peut se voir assigner la fonction de protection des renseignements personnels parce que l'organisation croit à tort qu'il s'agit d'une question de droit. Il ne s'agit toutefois ni d'une question juridique, ni d'un problème informatique. La protection des renseignements personnels est un « enjeu d'affaires ». Elle ne peut être cloisonnée, car elle ne se cantonne pas à un seul volet des activités; elle touche l'ensemble de l'organisation. Le conseiller juridique interne doit conseiller à l'organisation de mettre en place un programme de protection des renseignements personnels qui s'aligne avec toutes les fonctions de l'entreprise, y compris les ressources humaines, l'approvisionnement, la gestion de projet, la gestion des risques et la conformité.

En vertu de la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), l'organisation est tenue de désigner un directeur de la protection des renseignements personnels qui sera responsable du programme établi à cette fin.

À ce jour, les organisations ne savent toujours pas avec certitude où placer le directeur de la protection des renseignements personnels au sein de l'organisation. Cette confusion est compréhensible, puisqu'il n'existe pas de bonne réponse. La structure de chaque organisation est unique, et ce qui fonctionne pour une entreprise ne fonctionne pas nécessairement pour une autre. Il ne fait toutefois aucun doute que le directeur de la protection des renseignements personnels doit être en mesure d'établir et de mettre en œuvre des contrôles en matière de confidentialité et de sécurité, d'évaluer et de revoir le plan de gestion des renseignements personnels et de représenter l'organisation dans le cadre d'une enquête éventuelle. Par-dessus tout, le directeur de la protection des renseignements personnels doit pouvoir éliminer les cloisons et faire preuve d'adaptabilité et de souplesse pour être en mesure de travailler avec toutes les fonctions de l'organisation et assurer l'harmonisation des mesures de protection des renseignements personnels. De plus, il doit cerner les possibilités d'amélioration de la collaboration et de l'intégration. Il doit faire rapport à la haute direction et aux cadres dirigeants, et encourager le personnel des échelons supérieurs à adopter une culture, et non seulement un programme, de protection des renseignements personnels.

Une fois que les cadres dirigeants reconnaissent que la protection des renseignements personnels est une responsabilité sociale, voire personnelle, et un catalyseur, on assiste à l'éclosion d'une culture de protection des renseignements personnels. La mission et l'énoncé de l'organisation en matière de protection des renseignements personnels seront ensuite instillés à l'échelle de l'organisation, créant ainsi un état d'esprit et une culture de protection des renseignements personnels. Celle-ci sera intégrée dans la conception, la gestion et l'organisation des activités, une notion connue sous le nom de « protection intégrée des renseignements personnels » (Privacy by Design en anglais).

La législation en matière de protection des renseignements personnels, notamment le Règlement général sur la protection des données (« RGPD ») de l'Union européenne, un des règlements les plus stricts dans ce domaine, est perçue par les organisations comme étant difficile et coûteuse. Le RGPD vise non seulement à donner aux consommateurs le contrôle sur leurs données, mais aussi à renforcer leur confiance à l'égard de l'économie numérique en obligeant les organisations à évaluer et à améliorer la gouvernance de leurs données, dans l'espoir que se développe une culture de protection des renseignements personnels. Il s'agit d'une situation gagnante tant pour les organisations que pour les consommateurs.

Le fait de prioriser la protection des renseignements personnels permettra sans aucun doute d'améliorer la sécurité au sein de l'organisation. La plupart des cas d'atteintes à la vie privée sont liés à de la négligence d'un employé. Les employés qui reconnaissent la responsabilité qui accompagne les renseignements personnels feront preuve d'une plus grande vigilance dans le traitement de ces renseignements et d'une plus grande méfiance à l'égard des activités suspectes, comme l'hameçonnage et l'ingénierie sociale.

Le développement d'une culture de protection des renseignements personnels est un avantage concurrentiel que toutes les organisations devraient valoriser et mettre en œuvre. Bien que certaines organisations puissent voir la refonte comme une démarche coûteuse, il ne fait aucun doute qu'elle offrira un excellent rendement de l'investissement.