2008--(None).gif "Logo Bell"){kind=logo}
Perspectives Affaires Bell
Édition de mars 2011
Les nouvelles réalités de la gestion des renseignements personnels
Dans ce numéro
Les risques auxquels vous faites face sont plus graves que vous ne le croyez – une entrevue avec Angela Power, experte de Bell en protection des renseignements personnels
Chaque organisation est tenue de protéger les renseignements personnels de ses clients et de ses employés. Que votre organisation soit régie par la LPRPDE ou par toute autre loi, la question reste la même : comment pouvez vous être certain que votre gestion des renseignements personnels réduit votre exposition aux risques?
Nous avons consulté Angela Power, chef divisionnaire responsable du Centre d'excellence en protection des renseignements personnels de Bell Marchés Affaires, pour nous renseigner sur la gestion des risques liés aux renseignements personnels, et nous avons appris que de nombreuses organisations doivent adopter une approche plus complète – car les risques auxquels elles font face sont beaucoup plus graves que ce qu'elles croient généralement.
Perspectives Affaires : Il semble y avoir beaucoup d'ambiguïté au sujet de la protection de la vie privée et des responsabilités qu'ont les organisations en matière de gestion des renseignements personnels. Quelles sont les idées fausses que vous avez rencontrées le plus souvent dans vos conversations avec des dirigeants d'entreprise?
Angela Power : Il y a deux idées fausses qui sont très répandues. La première concerne ce que sont réellement les renseignements personnels. La protection de la vie privée se définit comme « la protection du droit de chacun à contrôler la collecte, la diffusion et l'utilisation de ses renseignements personnels », mais certaines organisations croient que les renseignements personnels se limitent aux noms, adresses de courriel, dossiers de santé et autres coordonnées du genre. En réalité, les organisations doivent protéger toutes les données qui pourraient directement ou indirectement identifier une personne, y compris toute information accessible au public comme les numéros de téléphone. C'est cette définition beaucoup plus large qui a été retenue par la plupart des organisations.
L'autre idée fausse très répandue est celle selon laquelle la mise en place de mesures de sécurité règle définitivement les problèmes liés à la protection de la vie privée. En fait, il est très important de ne pas confondre protection de la vie privée et sécurité des données. Les processus de sécurité ont pour but de maintenir l'intégrité et la confidentialité de toutes les données, y compris les données de l'entreprise, alors que la protection de la vie privée se rapporte spécifiquement à la collecte, à l'utilisation et à la divulgation de renseignements personnels. La protection de la vie privée nécessite des considérations et des approches différentes de celles de la sécurité pour que les droits de la personne soient réellement protégés.
PA : Plusieurs organisations croient que la Loi sur la protection des renseignements personnels n'a pas de pouvoir réel. Quelles sont les ramifications possibles d'une intrusion?
AP : Les ramifications d'une intrusion sont nombreuses. Les organismes de réglementation ont le pouvoir de faire respecter leurs recommandations et de s'assurer que les organisations et entreprises respectent les règles définies par la Loi sur la protection des renseignements personnels. Les conséquences possibles vont bien au delà de simples amendes. Les entreprises doivent notamment payer pour trouver les causes de l'intrusion, pour rectifier la situation et pour informer les personnes dont les renseignements personnels ont été compromis, sans compter les compensations financières qu'elles peuvent être forcées de consentir. Le Commissaire à la protection de la vie privée peut décider de faire enquête et de publier des rapports. Si la réputation de l'entreprise est ternie, c'est de loin le tort le plus important qu'elle peut subir, car il peut en résulter une baisse des ventes et de la confiance des investisseurs. Toute intrusion dans les renseignements personnels peut détruire complètement la confiance du public dans une entreprise ou un établissement. Voilà le risque réel auquel les organisations font face.
PA : Que font actuellement les clients de Bell pour protéger les renseignements personnels?
AP : Nous avons aidé des clients, principalement dans le secteur public et des soins de santé, à utiliser divers outils pour évaluer les risques liés aux renseignements personnels, pour analyser les écarts et pour recommander les cadres de travail à mettre en place pour assurer une protection adéquate. De nombreux clients ont adopté une solution d'évaluation que nous avons conçue nous-mêmes. Cette solution automatise de façon économique les évaluations de la protection des renseignements personnels et procure aux organisations une véritable mine de renseignements. Par exemple, l'Agence de la santé publique du Canada utilise maintenant le Gestionnaire de renseignements personnels de Bell pour faire toutes ses évaluations d'impact sur la protection de la vie privée. Il s'agit d'un outil précieux qui fait gagner du temps et de l'argent. Nous recommandons également une classe émergente de logiciels de dépersonnalisation des données. Il s'agit de logiciels qui empêchent les intrus d'identifier les renseignements personnels tout en permettant à l'organisation propriétaire d'exploiter et d'utiliser ces renseignements.
PA : Voyez vous une évolution dans l'approche des entreprises en matière de gestion des renseignements personnels?
AP : Les atteintes à la vie privée sont très souvent médiatisées et le public a été sensibilisé à cette question grâce aux efforts du Commissaire à la protection de la vie privée du Canada pour améliorer les pratiques de Facebook, de Google et d'autres entreprises connexes. Mais l'ensemble du domaine de la protection des renseignements personnels en est encore à ses premiers balbutiements. Il faudrait que des mécanismes de protection de la vie privée soient incorporés dès leur conception à tous les nouveaux systèmes qui serviront à saisir ou à traiter des renseignements personnels. Le site Privacy by Design du Commissaire à l'information et à la protection de la vie privée de l'Ontario contient notamment un guide utile pour incorporer proactivement des mécanismes de protection de la vie privée dans la technologie. Maintenant que le gouvernement et les agences de santé s'efforcent activement d'évaluer leur mode de gestion des renseignements personnels, il est temps que le secteur privé s'intéresse sérieusement à la question. Il est étonnant de constater que très peu d'organisations ont décidé de prendre le recul nécessaire pour repenser leur mode de collecte, d'utilisation et de protection des renseignements personnels.
PA : Par où les entreprises devraient elles commencer?
AP : Lorsque les entreprises décident de mieux protéger les renseignements personnels, elles doivent d'abord adopter un point de vue général sur la question : documents papier, documents électroniques, vidéos et appels téléphoniques enregistrés. Elles doivent ensuite évaluer la nature des renseignements recueillis et ce qu'elles font avec ces renseignements. Il est important que les entreprises étudient spécifiquement le traitement des renseignements personnels, car cette catégorie de données nécessite une analyse plus approfondie que celle concernant les mesures de sécurité générale des données.
À propos d'Angela Power
Angela Power est chef divisionnaire responsable du Centre d'excellence en protection des renseignements personnels chez Bell Canada. Elle a contribué à résoudre des problèmes spécifiques de protection des renseignements personnels dans les domaines de la santé, de l'éducation, des finances et des télécommunications, de même qu'au sein d'importantes initiatives TI intersectorielles. De plus, Angela forme les organismes publics aux obligations découlant des lois sur la protection des renseignements personnels, dans de nombreux champs de compétence provinciale ou fédérale. Elle se spécialise dans le développement et la mise en ?uvre de solutions de protection des renseignements personnels, dans les évaluations d'atteinte à la vie privée, de même que dans l'élaboration de politiques et de protocoles à appliquer en cas d'atteinte à la vie privée.
Aimeriez vous en savoir davantage sur la gestion des risques liés aux données?
Téléchargez ces précieux outils :
Ce que lisent vos collègues
- Démystifier le nuage : guide pratique de déploiement, webinaire, décembre 2010
- Vous passez à l'informatique en nuage? Préparez-vous pour assurer une transition en toute sécurité, conseil d'expert, novembre 2010
- Démystifiez l'informatique en nuage et exploitez en toute la puissance : un guide pratique, livre blanc, juillet 2010
- La conformité a ses bons côtés : Découvrez comment une conformité accrue peut réduire vos risques, livre blanc, septembre 2010
Vous voulez en savoir plus ?
Nouvelles
Bell investit dans de nouveaux centres de données
Bell devient le premier partenaire commercial canadien de Microsoft pour Office 365
Événements
Profitez des avantages d'un nuage privé
Webinaire sur demande
Ateliers et séances de formation Bell
Réservez votre place dès maintenant à nos séances de formation 2012 sur les centres de contact, la sécurité et l'administration de réseau.
Ressources les plus populaires
Gérer les appareils mobiles en milieu de travail – Guide pratique pour assurer la sécurité
Livre blanc
Déployez des solutions vidéo de la bonne façon – un guide complet
Livre blanc
La conformité a ses bons cotés – Découvrez comment une conformité accrue peut réduire vos risques
Livre blanc
La performance record de Bell aux Jeux d'hiver de 2010
Vidéo
Perspectives Affaires Bell
Notre bulletin électronique qui comprend des conseils d'expert, des outils et plus encore.
