En alliant leurs forces dans les domaines juridiques et de la science de données, Videns Analytics et ROBIC ont voulu collaborer pour vous présenter de bonnes pratiques de gestion de l’information. Ce billet de blogue vous éclairera dans les démarches à suivre afin de cartographier les données et les renseignements personnels de votre entreprise, peu importe sa taille.
À la lumière des récents changements aux lois de protection des renseignements personnels, un bon nombre d’entreprises s’interrogent sur les actions à entreprendre pour se conformer à la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« la Loi »).
Bien qu’elle ne soit pas obligatoire en vertu de la Loi, la cartographie des données de votre entreprise sera essentielle à la réalisation des obligations de la loi, puisqu’il s’agit d’un préalable fortement recommandé à toute stratégie de conformité en matière de protection de la vie privée.
Une cartographie indique clairement comment vous collectez, utilisez et conservez les données. Elle est utile, car si vous ne comprenez pas en détail les flux de données de votre entreprise, il devient impossible de garantir que vos activités soient réellement conformes aux lois et règlements applicables en matière de protection des renseignements personnels. En ayant une carte des données à jour, votre entreprise est constamment prête pour un audit d’une autorité réglementaire, d’un client ou d’un fournisseur. Cette même cartographie peut également être bonifiée en présentant des paramètres afin de vous amener vers une meilleure compréhension de vos données au sens plus large.
La mise en place d'une solide cartographie des données peut également contribuer à minimiser le risque d’atteintes aux mesures de sécurité et d’incidents de confidentialité, en garantissant qu'aucune donnée n'entre ou ne sort de votre organisation sans être recensée.
De plus, en procédant à cet inventaire, vous serez en mesure de facilement démontrer que votre entreprise a adopté une culture de respect de la vie privée dès la conception. Cela peut être particulièrement utile dans vos évaluations des facteurs relatifs à la vie privée (EFVP).
Comment s’y prendre?
1- Identifiez les joueurs clés ayant une compréhension des processus d’affaires et des systèmes.
Engagez la participation à la fois des métiers et des équipes TI. Parlez à vos équipes pour recenser la documentation que vous détenez : architecture de systèmes, processus d’affaires, politiques et règles d’affaires, etc. Bien souvent, on ne part pas de zéro.
Astuce : Portez attention à la date de la dernière mise à jour des documents. Cela pourrait être une piste de solution pour identifier les acteurs prédisposés et volontaires pour mettre à jour votre cartographie. Si possible, identifiez un document comme source d’information principale qui serait éventuellement votre référence pour engager les discussions.
2- Validez l’approche que vous souhaitez entreprendre pour faire l’inventaire de vos données.
L’approche par processus ou cas d’usage est bien souvent mieux comprise des métiers et vous obtiendrez plus de détails sur les activités réellement effectuées (au-delà de ce que peut présenter la documentation écrite).
L’approche par systèmes est également un excellent moyen d’effectuer l’inventaire. Si les processus sont complexes et interagissent avec plusieurs systèmes, l’approche par système est bien souvent plus simple à suivre.
3- Bâtissez un gabarit de la cartographie en identifiant les principaux paramètres.
Bien comprendre les objectifs de l’exercice de la cartographie assure un travail bien aligné.
Astuce: Procédez à une évaluation coûts-bénéfice pour déterminer si l’inventaire devrait être orienté uniquement sur les renseignements personnels ou si les efforts supplémentaires à étendre la portée du recensement à toutes les données (personnelles ou non) sont bénéfiques pour d’éventuels projets de valorisation des données, par exemple.
1- Vous devrez choisir un format sur lequel vous bâtirez votre cartographie. Si les moyens technologiques sont limités, un fichier Excel peut très bien répondre aux besoins.
2- De manière générale, la source principale où les renseignements personnels sont collectés est bien souvent le point de départ pour débuter l’inventaire. Toutefois, dans de plus grandes organisations, un pilote est parfois nécessaire pour faire un premier exercice à plus petite échelle et vous permettre de valider l’approche en amont.
3- Faites l’inventaire de toutes les données que vous collectez/obtenez.
4- Déterminez si ces données sont de nature sensible selon les dispositions de la loi.
5- Associez ces données aux consentements que vous avez obtenus pour les collecter, les utiliser et les communiquer.
6- Listez les finalités justifiant la collecte, l’utilisation et la communication de chacune de ces données.
7- Sachez où ces données sont conservées (dans quelles bases de données, systèmes, entrepôts, etc.).
8- Établissez le délai de conservation de chaque donnée, en suivant les délais prévus par les lois et règlements et la jurisprudence, le cas échéant. Élaborez un calendrier de conservation pour rendre votre tâche plus facile.
9- Déterminez les mesures de sécurité appropriées pour protéger ces données, selon leur sensibilité. Par exemple, les accès aux données sensibles devraient être attentivement gérés et surveillés.
10- Confirmez à quels emplacements la donnée est transférée et communiquée (par exemple, chez des fournisseurs, dans les bases de données, etc.)
11- Inventoriez les endroits géographiques où la donnée est transférée et communiquée (important de noter si la donnée est transférée à l’extérieur du Québec ET à l’extérieur du Canada).
12- Assurez-vous que des protocoles soient en place pour protéger la donnée lors des transferts chez des tiers.
13- Vous pouvez ajouter tout autre critère propre à votre contexte et objectifs finaux de l’exercice de cartographie.
14- Mettez régulièrement à jour la carte des données. Définissez les responsables qui devront maintenir cette cartographie à jour. L'idéal serait de le faire par des moyens automatisés, car les processus manuels deviennent vite laborieux.
Ces quelques pistes ont été coécrites pour vous permettre d’initier votre processus de mise en conformité en regard des nouvelles dispositions législatives, et elles vous doteront d’outils supplémentaires pour mettre en place les grandes orientations liées à la protection de vos données.
Souhaitez-vous poursuivre cette réflexion avec l’un(e) de nos expert(e)s? Nos rédactrices pourront vous accompagner dans vos démarches et trouver réponse à vos questions.
Andréanne Passarelli
Spécialiste en stratégies de données
andreanne.passarelli@vidensanalytics.com
Tara D’aigle-Curley
Avocate
Protection des données, vie privée et cybersécurité
daigle-curley@robic.com