Renseignements personnels ! Consentement ! Protection des données! Cybersécurité !
Depuis quelques années, nous entendons parler de ces notions. Que ce soit dans les journaux, les lieux publics, nos bureaux, bref, notre quotidien, nous sommes exposés à des renseignements personnels. Toutefois, sommes-nous certains de savoir vraiment si nous agissons de la bonne manière pour les protéger ?
On parle souvent de l’affaire Desjardins en 2019 comme référence pour les fuites de données. Cependant, l’intérêt pour la protection des données par les entreprises privées a commencé à lever il y a seulement quelques mois, et ce, malgré l’entrée en vigueur de la Loi modifiant la loi sur la protection des renseignements personnels en septembre 2022, plus connue sous l’appellation Loi 25.
La crainte du risque d’imposition de lourdes sanctions pécuniaires pouvant aller jusqu’à 4 % du chiffre mondial est une des principales causes de cet éveil.
En septembre 2022, la première responsabilité des entreprises consistait à nommer son responsable des renseignements personnels (le responsable PRP) et d’afficher ses coordonnées sur le site web de l’entreprise.
Toutefois, cette fonction n’est pas juste un titre à afficher, c’est la personne qui aura la charge de s’assurer de l’application des obligations de l’entreprise pour répondre aux exigences de la Loi 25.
Plusieurs responsables voient la tâche à venir comme les 12 travaux d’Astérix et se demandent par où commencer ?
À cet effet, le responsable PRP devrait commencer par connaître le cycle de vie des renseignements personnels de son entreprise, soit la collecte, la communication, l’utilisation, la conservation et, pour finir, la destruction de ces renseignements qui circulent au cours des activités courantes.
Il est vrai que La Loi 25 touche plusieurs sphères d’une entreprise.
La collecte des renseignements personnels n’est pas seulement au service des ventes lors d’une transaction commerciale avec un client.
En effet, l’utilisation et la communication des renseignements personnels se retrouvent également dans les dossiers des ressources humaines pour les employés et, même, dans les bons de travail de l’atelier mécanique et à plusieurs autres endroits.
Une fois cet exercice complété, il est important que le responsable PRP revoie toutes les politiques de l’entreprise afin qu’elles soient conformes à la Loi 25. Certaines devront être publiées sur le site web, la politique de confidentialité, le rôle et la responsabilité des membres du personnel, le plan de conservation et de destruction des renseignements personnels et le processus du traitement des plaintes, notamment.
Il est important aussi de s’assurer que les fournisseurs avec lesquels l’entreprise fait affaires soient également en loi avec les nouvelles dispositions en matière de protection des renseignements personnels.
Cette Loi demande de revoir nos processus et de modifier la manière de travailler aussi bien à l’interne qu’à l’externe. Toutefois, une fois qu’on a saisi les notions essentielles, il est possible de commencer par de petits changements au sein de l’entreprise qui apportent enfin une grande avancée en matière de protection.
