Comment gérer la loi sur la vie privée

Par Robert G. Parker
Illustration : Greg Stadler

Le cadre de référence de l’iCCA et de l’AICPA, un outil indispensable pour gérer la loi sur la confidentialité

Au cours de l’été 2001, le géant pharmaceutique américain Eli Lilly commet une bourde monumentale et rend accidentellement publiques les adresses électroniques de plus de 700 consommateurs de Prozac. La société s’en tire à bon compte avec une amende de 160 000 $, mais les dommages sur le plan de la confiance des consommateurs sont incalculables. En raison du tollé qui s’élève dans le monde entier, presque personne ne remarque qu’Eli s’engage à renforcer ses politiques internes et à mettre des contrôles en place. Rappelons que seulement un an plus tôt, DoubleClick Corp., la plus grande entreprise de publicité sur Internet du monde, avait fièrement annoncé qu’elle disposait d’une technologie lui permettant de suivre les habitudes d’achat en ligne d’internautes. Une dénonciation au Congrès américain et la perte de 14 de ses 15 milliards US de capitalisation boursière lui ont fait comprendre qu’elle avait peut-être mal jugé les attentes de ses clients quant au respect de la vie privée.

De toute évidence, ces entreprises de grande envergure n’étaient jamais vraiment parvenues à mettre en pratique les politiques d’aussi grande envergure dont elles s’étaient dotées en matière de protection des renseignements personnels. Que ce soit délibérément, par accident ou par manque de jugement, elles sont venues grossir les rangs des entreprises toujours plus nombreuses ayant désespérément besoin d’un ensemble d’outils simples et pratiques pour appliquer et gérer les politiques sur la protection des renseignements personnels qu’elles adoptent de leur propre chef ou en vertu de la loi.

Jusqu’à maintenant, très peu d’outils de ce genre ont été élaborés dans le secteur privé. En 2001, l’ICCA a collaboré avec l’AICPA (American Institute of Certified Public Accountants) pour créer le Cadre de référence de l’ICCA et de l’AICPA pour la protection des renseignements personnels. Vers la fin de 2003, cette collaboration a abouti à une norme globale unique visant à aider les entreprises et leurs conseillers à éviter les écueils que représentent les exigences relatives à cette question.

Au Canada, l’achèvement de la mise en œuvre graduelle, le 1^er janvier 2004, de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) a confirmé que le respect de la vie privée constituait désormais une obligation de conformité pour toutes les organisations du pays se livrant à des activités commerciales. En réalité, son adoption a officialisé le fait que la protection des renseignements personnels allait devenir un élément important du coût d’exploitation des entreprises au XXI^e siècle. Les dispositions législatives sur la protection de la vie privée ne s’appliquent pas seulement aux dossiers et affaires électroniques, mais aussi aux renseignements personnels se trouvant sur divers supports (télé et photocopies, lettres, messages vocaux, vidéos).

Pourtant, la confusion persiste quant aux normes, aux procédures et à l’application uniforme des dispositions. La plupart des organisations se sont dotées de politiques sur la protection des renseignements personnels qui sont fondées sur la LPRPDE ou sur des exigences provinciales ou internationales. Toutefois, peu d’entre elles ont veillé à ce que leurs propres normes en la matière soient soutenues par un système et une infrastructure permettant d’orienter les employés et la direction, et de les aider à gérer les questions touchant la confidentialité, et rares sont celles qui ont mis en place une norme pour pouvoir évaluer leur degré de conformité.

La force du Cadre de référence réside dans sa capacité de fournir aux entreprises et aux tiers qui les conseillent, tels les CA et les CPA, un ensemble complet de critères objectifs et mesurables pouvant servir à l’élaboration de stratégies de conformité qui fonctionnent en pratique. Ces critères fournissent notamment un fondement reconnu sur lequel peuvent être bâties des politiques, procédures et lignes directrices concernant la protection des renseignements personnels dans une perspective mondiale. Le Cadre de référence ne tient pas seulement compte de la LPRPDE et des dispositions législatives américaines sur le respect de la vie privée; il fournit aussi des outils de conformité adaptés à la mondialisation de l’économie.

Le Cadre de référence peut aider les CA à élaborer des mesures permettant de respecter les dispositions législatives en matière de protection des renseignements personnels et à fournir une base sur laquelle une vérification indépendante pourra s’appuyer. En effet, ce n’est que grâce à une vérification complète et indépendante exécutée par un tiers qu’une société peut fournir à toutes les parties prenantes l’assurance que ses pratiques en matière de protection des renseignements personnels répondent adéquatement aux exigences de la législation. Pour la première fois, tant la politique adoptée par l’entreprise que ses pratiques peuvent être évaluées avec précision par rapport à la législation et aux situations de la vie de tous les jours.

«C’est avec enthousiasme que j’ai accueilli cette initiative de l’ICCA», se rappelle Ann Cavoukian, commissaire à l’information et à la protection de la vie privée de l’Ontario, et auteure de The Privacy Pay-off. Tout au long de l’élaboration du Cadre de référence, l’ICCA a fait appel à l’expérience considérable qu’a acquise Ann Cavoukian dans ce domaine complexe. «Il s’agit d’une initiative très avant-gardiste de la part de la profession et qui s’avérait des plus nécessaires, dit-elle avec un certain soulagement. Les entreprises me demandent depuis plusieurs mois déjà s’il existe des outils susceptibles de les aider à évaluer si leurs pratiques en matière de protection des renseignements personnels sont efficaces et conformes aux lois en vigueur.» Selon elle, les CA sont les mieux placés pour effectuer les évaluations et examens indépendants des politiques et pratiques en la matière. «Ils font déjà des vérifications d’états financiers, dit-elle, et ils disposent déjà d’une capacité d’analyse leur permettant de voir comment la société est structurée et où il peut exister des écarts entre la politique préconisée et la pratique.» Et avec le Cadre de référence, poursuit-elle, les CA ont accès à une méthodologie à partir de laquelle ils peuvent offrir des solutions concrètes et efficaces.

Les qualités qui leur sont propres et le Cadre de référence permettront aux CA de s’occuper de nombreux aspects clés de l’élaboration d’une stratégie efficace. Ils pourront mettre au point des plans d’évaluation leur permettant d’identifier, de consigner et valider avec précision les pratiques en matière de protection des renseignements personnels, tant à l’échelle de l’entreprise que d’un service ou d’une zone géographique, en plus de fournir des conseils. Quelle que soit l’étendue du travail, le CA aura en main les outils nécessaires pour valider les processus de collecte, d’utilisation et de communication des renseignements personnels, relever et consigner les processus d’affaires mettant en cause des renseignements sensibles, préparer ou évaluer les politiques et procédures; apprécier et gérer les risques, et recommander la mise en œuvre d’un programme respectant, voire surpassant, les exigences législatives applicables.

Ces outils reposent sur le Cadre de référence de l’ICCA et de l’AICPA, constitué de 10 éléments fondés sur les pratiques équitables reconnues à l’échelle mondiale. Ils sont essentiels pour assurer le succès de toute vérification en la matière et pour permettre aux CA de faire les évaluations nécessaires, et de conseiller et d’informer leurs clients.

Gestion : L’entité définit, consigne et diffuse ses politiques et procédures en matière de protection des renseignements personnels, et en confie la responsabilité à une personne ou à un groupe.

Avis : L’entité fait connaître, par un avis, ses politiques et procédures en matière de protection des renseignements personnels et indique les fins auxquelles les renseignements personnels sont recueillis, utilisés, conservés et communiqués.

Choix et consentement : L’entité décrit le choix offert à l’individu et obtient son consentement implicite ou explicite quant à la collecte, à l’utilisation et à la communication de renseignements personnels.

Collecte : L’entité ne recueille des renseignements personnels qu’aux fins mentionnées dans l’avis.

Utilisation et conservation : L’entité limite l’utilisation de renseignements personnels aux fins mentionnées dans l’avis, à l’égard desquelles l’individu a donné son consentement implicite ou explicite. L’entité ne conserve les renseignements personnels que pendant le temps nécessaire pour la réalisation des fins mentionnées.

Accès : L’entité donne aux individus accès aux renseignements personnels les concernant, pour qu’ils puissent les examiner et les mettre à jour.

Communication à des tiers : L’entité ne communique des renseignements personnels à des tiers qu’aux fins mentionnées dans l’avis, et avec le consentement implicite ou explicite de l’individu.

Sécurité : L’entité protège les renseignements personnels contre tout accès non autorisé.

Qualité : L’entité garde des renseignements personnels exacts, complets et pertinents, aux fins mentionnées dans l’avis.

Suivi et application : L’entité fait le suivi du respect de ses politiques et procédures en matière de protection des renseignements personnels. Elle a également instauré des procédures pour le traitement des plaintes et des différends relevant de cette question.

Pour Ann Cavoukian, la mise au point de ces 10 éléments constituait le plus grand défi de l’initiative conjointe. «Je me demandais s’il serait possible de traduire les principes énoncés dans la LPRPDE en des critères réellement mesurables pouvant être appliqués et analysés dans des situations concrètes, explique-t-elle. Je sais maintenant que, même à l’étranger, les 10 éléments du Cadre de référence sont parfaitement compatibles avec les 8 principes adoptés par l’OCDE en matière de protection des renseignements personnels […] Il est tout à fait remarquable qu’un CA puisse travailler dans quelque ressort territorial que ce soit sans crainte d’infraction grave aux lois», conclut-elle.

Le Cadre de référence a été élaboré principalement en raison des difficultés d’ordre professionnel et pratique que posent les vérifications et les évaluations au regard de lois, dont la LPRPDE. Sur le plan professionnel, l’expression d’une opinion à propos d’un texte législatif particulier relève traditionnellement des conseillers juridiques. Sur le plan pratique, cependant, l’interprétation subjective de dispositions législatives exige des critères exhaustifs, mesurables, pertinents et établis de façon objective. Le Cadre de référence fournit des outils fondés sur la loi. C’est un document exhaustif qui présente des renseignements généraux, définitions et techniques pour remplir les objectifs en matière de confidentialité, des modèles de rapports de vérification et un tableau comparatif des concepts utilisés à l’échelle internationale dans les textes législatifs et les lignes directrices. Combiné aux outils que l’on trouve dans le Privacy Resource Guide élaboré par le Groupe de travail mixte AICPA-ICCA sur la protection des renseignements personnels et disponible auprès de l’ICCA ou de l’AICPA (www.icca.ca/index.cfm/ci_id/21792/la_id/2.htm), le Cadre de référence devient le fondement pour la mise en place d’un programme efficace de conformité aux exigences applicables.

La majeure partie du Cadre de référence est constituée d’un tableau en trois colonnes. La première présente, pour chacun des éléments, des critères pertinents, objectifs, complets et mesurables servant à évaluer les politiques, communications, procédures et contrôles d’une entité en matière de protection des renseignements personnels. La deuxième donne des exemples et des explications relativement aux critères et la troisième porte sur d’autres considérations. [Voir l’encadré intitulé «Consentement explicite dans le cas des renseignements personnels sensibles».]

Les CA peuvent s’appuyer sur le Cadre de référence pour fournir toute une gamme de services conseils. Au départ, les clients peuvent avoir besoin d’assistance pour traiter, à l’aide du principe, des éléments et critères du Cadre de référence, les questions de stratégie, de diagnostic, de mise en œuvre et de gestion liées à la protection des renseignements personnels. Par la suite, les CA pourront être appelés à se servir des critères pour exprimer une opinion sur cet état de conformité.

Deux problèmes se posent souvent une fois que le CA a déterminé que les pratiques du client respectent les exigences. 1) Le client doit s’assurer qu’il dispose des systèmes et procédures pour maintenir cet état de conformité. 2) Il doit être en mesure d’en fournir la preuve à des tiers. Ici aussi, le Cadre de référence jouera un rôle important. Parce qu’il constitue une norme professionnelle soumise à la critique du public, officiellement adoptée par le Conseil sur les nouveaux services de certification de l’ICCA et l’Assurance Services Executive Committee de l’AICPA, le Cadre de référence peut servir de base à l’établissement d’un rapport d’appréciation directe fondé sur une norme accessible au public. Les tiers fournissant des services de traitement, les fournisseurs de services d’applications et d’autres organisations qui veulent donner à leurs clients l’assurance que leurs pratiques respectent une norme reconnue en la matière pourront le faire grâce aux rapports de vérification établis selon le Cadre de référence.

Compte tenu de la convergence des nouvelles dispositions législatives et des exigences accrues des clients, ainsi que du fait que l’on est désormais conscient de la nature technique complexe de certains éléments de la protection des renseignements personnels, il n’est pas surprenant que la valeur des vérifications dans ce domaine soit de plus en plus largement reconnue. Si elles ne pouvaient bénéficier d’une assistance professionnelle, la plupart des organisations auraient vraisemblablement beaucoup de mal à se plier à certaines exigences relatives aux aspects suivants :

• Sécurité – Mise en place de niveaux adéquats de sécurité dans l’ensemble de l’organisation en fonction d’une appréciation des risques d’exploitation et des obligations additionnelles que les divers textes législatifs imposent aux organisations. Une organisation peut avoir mis en place de bonnes mesures de sécurité sans pour autant satisfaire aux exigences en matière de protection des renseignements personnels; il lui sera toutefois impossible de bien protéger les renseignements personnels si elle n’a pas mis en place de telles mesures.

• Contrôle de l’identité – Bon nombre d’organisations qui tentent d’offrir un bon service à leur clientèle semblent avoir de la difficulté à assurer un contrôle uniforme de l’identité lorsque l’accès aux renseignements personnels est demandé par divers moyens (Internet, courriel, poste, en personne ou auprès de centres d’appels).

• Accès aux renseignements personnels – Incapacité à obtenir tous les renseignements pertinents sur la personne concernée. Bon nombre d’organisations ont de la difficulté à retrouver les renseignements personnels pertinents qui se trouvent sur divers supports (bandes vidéo, documents papier, fichiers électroniques, courriels) et à distinguer les documents originaux des copies.

Lorsque les organisations évaluent ces critères (et les critères moins techniques), un examen de leurs politiques, normes et pratiques en matière de protection des renseignements personnels est souvent recommandé. Ce genre d’examen est utile lorsqu’elles souhaitent obtenir un rapport d’étape sur les progrès accomplis en matière de conformité, ainsi que dans le cadre de l’élaboration de plans et de budgets futurs. L’examen peut être effectué par la fonction vérification interne ou par un consultant externe, ou prendre la forme d’une appréciation diagnostique externe.

Bien que les vérifications, examens et appréciations en matière de protection des renseignements personnels doivent couvrir les 10 éléments du Cadre de référence, tenir compte de tous les critères pertinents et respecter les lois applicables, il n’est pas toujours nécessaire qu’ils portent sur l’entreprise dans son ensemble. Ils doivent toutefois porter sur tous les systèmes et processus dans le cadre desquels des renseignements personnels sont traités. Par exemple, une vérification peut ne viser que certaines succursales, mais si des renseignements personnels concernant des clients sont en cause, ils devront tous être compris dans l’étendue de la vérification, qu’il s’agisse de données démographiques de base, d’opérations de vente, d’un historique des paiements, de correspondance ou de profils préparés pour évaluer ces clients ou leur proposer des produits. Par exemple, le service de TI d’une organisation, qui constitue dans la plupart des cas le dépôt central des renseignements personnels, est souvent expressément visé lorsqu’une vérification est envisagée. Pourtant, ces renseignements se retrouvent un peu partout dans l’organisation (classeurs, ordinateurs bloc-notes, assistants personnels, tiroirs de bureau, corbeilles à papier). De plus, les pratiques en matière de collecte, d’utilisation et de communication peuvent être très informelles et ne faire appel à aucune technologie (partage de photocopies sans consentement, utilisation de papier mis au recyclage). Un enfant pourrait ainsi rapporter de la garderie un dessin à l’endos duquel figurent des renseignements médicaux personnels. Voilà pourquoi il est essentiel de ne pas s’en tenir uniquement à l’aspect haute technologie de la protection des renseignements.

Les avantages que procurent les vérifications relatives à la protection des renseignements personnels sont variés : elles peuvent notamment permettre à une organisation d’au moins respecter les exigences légales, mais aussi de se distinguer de ses concurrents. À l’heure actuelle, cependant, on ne dispose que de peu de données pour déterminer l’incidence du respect des exigences sur le rendement du capital investi. Il est simplement encore trop tôt pour établir des projections à long terme valables quant à l’incidence sur le résultat net et au coût de la conformité.

Quelques rares et précieuses études ont été menées sur l’incidence des mesures de protection des renseignements personnels et semblent en confirmer l’importance. Ainsi, selon une étude de Jupiter Communications Inc., le manque à gagner attribuable à la méfiance des consommateurs quant à la protection des renseignements personnels sur Internet se chiffrait à quelque 18 milliards US en 2002. En 2003, une étude de Harris Interactive est encore plus éloquente : 83 % des répondants ont déclaré qu’ils cesseraient de faire affaire avec une entreprise qui aurait fait mauvais usage des renseignements personnels les concernant et 91 %, qu’ils seraient davantage portés à traiter avec une entreprise qui leur offre la possibilité de vérifier que ses pratiques en matière de confidentialité ont été examinées par un cabinet de vérification. Le responsable de la stratégie de confidentialité de Microsoft, Peter Cullen, a effectué pour son ancien employeur, RBC Groupe Financier, l’une des seules analyses approfondies à avoir été menées sur la valeur de la protection des renseignements personnels. Selon son étude sur les services bancaires aux secteurs détail et commercial, la protection des renseignements personnels représente environ 14 % de la valeur globale d’une marque et 7 % de la valeur globale pour les actionnaires.

Selon Ann Cavoukian, un nombre suffisant de données prouve sans l’ombre d’un doute que la protection des renseignements personnels concerne tous les types d’entreprises et non seulement les services bancaires et le commerce électronique. Dans The Privacy Pay-Off, elle affirme que les sociétés doivent considérer la protection des renseignements personnels comme un aspect de leur exploitation et s’en servir pour être plus concurrentielles. «Si vous considérez qu’il ne s’agit que d’une question d’ordre juridique ou légal, indique-t-elle, vous oubliez alors que de bonnes pratiques dans ce domaine peuvent rehausser votre image de marque, renforcer la confiance de vos clients et, dans l’ensemble, devenir un facteur crucial pour l’augmentation de vos activités commerciales.»

Lorsqu’on part du principe que la protection des renseignements personnels représente une opportunité économique et non un obstacle à franchir, on comprend pourquoi Ann Cavoukian est aussi satisfaite du Cadre de référence. Cet outil offre aux CA et à leurs clients une excellente occasion d’être récompensés de se montrer sensibles aux inquiétudes des consommateurs, dit-elle. C’est exactement le genre d’initiative dont les CA qui font des vérifications dans ce domaine et les responsables de la protection des renseignements ont besoin pour faire du bon travail.

Pour mieux aider leur organisation, les responsables de la protection des renseignements doivent convaincre la direction que la question de la confidentialité ne se réduit pas au respect minimal des exigences législatives. Ils doivent donner suite aux exigences en veillant à l’élaboration et à la mise en œuvre de mesures adéquates et appropriées, tenant compte de toutes les situations où des renseignements personnels sont en cause, et qui portent sur la sécurité, la formation, les processus d’affaires, la surveillance et la mise en application. Ils doivent pouvoir démontrer qu’il y a diligence raisonnable et veiller à ce que, une fois mis en œuvre, le programme de protection des renseignements personnels continue d’assurer la conformité de l’organisation dans le cadre d’un certain nombre d’activités internes et externes. Le Cadre de référence les aidera à s’acquitter plus facilement de ces responsabilités.

La protection des renseignements personnels représente un enjeu mondial, et le Cadre de référence de l’ICCA et de l’AICPA constitue une solution à la hauteur de cet enjeu. Les organisations pourront s’en servir pour s’attaquer à la question d’une façon systématique, ce qui leur permettra de respecter les exigences de la plupart des textes législatifs adoptés de par le monde, et d’être en mesure de fournir une assurance indépendante à leurs clients et leurs partenaires commerciaux.

Robert Parker, M.B.A., FCA, CA•CISA, CMC, est associé, Risque d’entreprise, chez Deloitte à Toronto.