Renseignements personnels

Par Jonathan D. Andrews et Kathleen Campbell Illustration : John Sapsford LA PRÉPARATION EN VUE DE L'ENTRÉE EN VIGUEUR DES LOIS SUR LA PROTECTION DES RENSEIGNEMENTS PERSONNELS EXIGE UNE GRANDE RIGUEUR «Pourquoi n'avons-nous pas encore réglé ce problème?» Le pdg de Confiserie ABC inc. n'a pas le cœur à rire. Les négociations en vue d'un regroupement viennent d'échouer, parce que Confiserie ABC n'a pas de régime de conformité concernant la protection des renseignements personnels. «Nous avions pourtant discuté de cette question en mai», répond Line, chef du service de l'information. Jean, CA, apparaît dans l'embrasure de la porte. «Entre, lui dit Paul, un autre employé. Qu'en penses-tu, toi?» «La protection des renseignements personnels, répond Jean, est une question brûlante qui n'a pas simplement trait à la conformité, mais aussi à la gestion des risques liés à cette question. On voit des sociétés dont la réputation est ternie et qui subissent des pertes financières, parce qu'elles n'ont pas de politiques et procédures en place à ce sujet. Je sais aussi que des lois entreront en vigueur le 1er janvier 2004.» «Je sens qu'il va falloir pédaler», déclare Paul. Line acquiesce et ajoute qu'il s'agit d'une question permanente qu'on ne peut régler en un tournemain. Elle fait remarquer que de nombreuses organisations confient la responsabilité de la protection des renseignements personnels à des cadres supérieurs. «Il faudra former une équipe pour élaborer un programme, dit-elle. Il faudra premièrement dresser un bilan de la façon dont nous traitons les renseignements personnels et sensibles (généralement d'ordre financier ou médical).» «Et avons-nous ce type de renseignements en dossier?» demande Paul. «Nos dossiers peuvent contenir les deux types de renseignements. Lorsque des clients achètent via le Web, ils fournissent des renseignements sensibles au sujet de leurs allergies, explique Line. Nous recueillons aussi des renseignements concernant le revenu du ménage pour que le Service du marketing puisse effectuer des analyses démographiques. Ce type de renseignements est également considéré comme sensible.» «En vertu de la législation fédérale, une société ne peut détenir que les renseignements personnels à l'égard desquels les consommateurs ont fourni un consentement, ajoute Jean. Tous les autres doivent être supprimés; il n'existe aucune disposition d'antériorité concernant les renseignements personnels recueillis avant le 1er janvier 2004 et détenus à cette date.» «Nous devrons modifier nos systèmes pour prévoir de nouvelles procédures d'accès aux renseignements personnels et de sécurité, indique Line. La société pourrait identifier les mauvaises pratiques en matière de collecte et de conservation des données, et même améliorer ses relations avec la clientèle et réaliser des économies. Le personnel doit savoir quels renseignements il est approprié de demander, comment répondre aux clients lorsqu'ils demandent pourquoi ces renseignements sont nécessaires et comment traiter ceux-ci, et quelle en est l'utilisation. En outre, si la société ne respecte pas la nouvelle législation, elle peut encourir des pénalités financières et voir sa réputation atteinte. La législation comprend également une disposition incitant les employés à dénoncer leur entreprise en cas de non-conformité.» Paul ajoute qu'il faudra obtenir les conseils juridiques nécessaires pour assurer la conformité. Jean souligne que la gestion des risques liés à la protection des renseignements personnels est la grande priorité. Le nouveau Cadre de référence de l'ICCA et de l'AICPA pour la protection des renseignements personnels indique les meilleures pratiques en la matière, sur lesquelles reposera le Guide ressource en matière de protection des renseignements personnels, en préparation à l'ICCA. Le Cadre de référence reflète les meilleures pratiques dans le monde, et fournit des fondements utiles aux fins de l'élaboration d'un cadre général de protection des renseignements personnels et des contrôles connexes. Le Cadre de référence comprend 10 éléments de protection des renseignements personnel, chacun comportant une série d'énoncés portant sur les meilleures pratiques, ou «critères», dans les catégories suivantes : Les politiques de protection des renseignements personnels, qui comprennent des énoncés des intentions, objectifs, exigences, responsabilités et normes de la direction. Les communications aux individus, au personnel et à des tiers au sujet des avis et engagements de l'organisation en matière de protection des renseignements personnels. Les procédures et les contrôles visant la mise en œuvre des politiques de l'organisation en matière de protection des renseignements personnels. Le risque lié à la protection des renseignements personnels a une incidence à l'échelle de l'entreprise et les 10 éléments de la protection des renseignements personnels ont une incidence sur les TI. Line devra travailler en étroite collaboration avec Jean et son équipe, en s'appuyant sur le Cadre de référence, et en particulier sur les procédures et contrôles recommandés. Gestion – Jean et Line devront examiner la conception, l'acquisition, la mise en place, la configuration et la gestion de l'infrastructure, des systèmes et des procédures, et suivre tout changement afin d'assurer la conformité avec les politiques et procédures évolutives de la société, et de résoudre tout manque de cohérence. Avis – Dans les cas où des renseignements sont recueillis auprès des clients de Confiserie ABC par l'intermédiaire de son site Web, des avis sur la protection des renseignements personnels devront être : • facilement accessibles au moment de la collecte initiale de renseignements personnels; fournis lors de la collecte des renseignements ou avant, ou dès que possible, pour permettre aux personnes de décider si elles veulent ou non soumettre des renseignements personnels à Confiserie ABC; • datés clairement pour permettre aux personnes concernées de savoir si l'avis a été modifié depuis la dernière fois qu'elles l'ont lu ou ont fourni des renseignements personnels à la société. Confiserie ABC devra suivre l'évolution de ses politiques et procédures en matière de protection des renseignements personnels, informer les personnes concernées des modifications apportées à un avis sur la protection des renseignements personnels déjà communiqué, p. ex., en postant l'avis de modification sur son site Web et en consignant en dossier le fait que des modifications des politiques et des procédures sur la protection des renseignements personnels ont été communiquées. Choix et consentement – Confiserie ABC ne sera en mesure de recueillir des renseignements sensibles que si le client donne son consentement explicite. Collecte – Les types de renseignements personnels recueillis par Confiserie ABC et l'utilisation qu'elle fait des fichiers témoins, qui servent à éviter aux clients d'avoir à entrer de nouveau des renseignements déjà fournis, devront être consignés en dossier et décrits dans l'avis sur la protection des renseignements personnels. L'avis devra informer les clients des conséquences du refus du fichier témoin. Utilisation et conservation – Confiserie ABC ne pourra conserver des renseignements personnels plus longtemps que nécessaire. Des systèmes et procédures devront être en place pour assurer que : • ses politiques et procédures de conservation et d'élimination des renseignements sont consignées en dossier; • les fichiers sont effacés ou détruits conformément aux politiques de conservation; • les copies archivées et les copies de sécurité des fichiers sont conservées, stockées et éliminées conformément aux politiques de conservation; • les renseignements personnels ne sont pas gardés au-delà de la période normale de conservation, à moins que cela ne soit justifié pour un autre motif d'affaires; • certains renseignements personnels (p. ex., numéro de carte de crédit) sont supprimés lorsque l'opération est terminée; et les renseignements personnels qui ne sont plus nécessaires aux fins mentionnées sont régulièrement et systématiquement détruits. Accès – Pour répondre aux préoccupations relatives à l'accès aux renseignements personnels, Confiserie ABC devra établir des procédures et systèmes afin de : • fournir à la personne qui en fait la demande les renseignements personnels qui la concernent sous une forme compréhensible et pratique; • faire un effort raisonnable pour localiser les renseignements personnels demandés et, lorsqu'il est impossible de les repérer, conserver des dossiers suffisamment étoffés pour démontrer que des recherches raisonnables ont été effectuées; • prendre des précautions pour assurer que les renseignements communiqués ne permettent pas d'identifier une autre personne, directement ou indirectement; • fournir l'accès aux renseignements personnels dans un délai semblable aux délais normaux de réaction de l'entreprise dans le cas d'autres opérations commerciales, ou selon ce que permet ou exige la loi; • fournir l'accès à des renseignements personnels contenus dans des systèmes et des supports d'archivage ou de sauvegarde. Les clients devraient pouvoir corriger les renseignements personnels qui les concernent, par écrit, par téléphone ou par courriel, ou sur le site Web de la société. Communication à des tiers – Confiserie ABC devra confirmer qu'elle dispose d'une politique selon laquelle les renseignements personnels concernant les clients ne sont pas communiqués à des tiers, à moins que cela ne soit nécessaire à la réalisation d'une opération (p. ex., renseignements rattachés à une carte de crédit). Des systèmes et des procédures devront être établis pour : • empêcher la communication de renseignements personnels à des tiers, à moins qu'une personne n'ait donné son consentement implicite ou explicite à cet égard; • consigner en dossier la nature et l'étendue des renseignements personnels communiqués à des tiers; • s'assurer que la communication de renseignements à des tiers se fait en conformité avec les politiques et procédures de Confiserie ABC en matière de protection des renseignements personnels, ou selon ce qui est expressément autorisé ou exigé par une loi ou un règlement; • consigner toute communication de renseignements faite à des tiers en vertu des dispositions légales. Sécurité – C'est dans le service de Line que les meilleures pratiques énoncées au chapitre de la sécurité auront vraisemblablement l'incidence la plus grande. Ce service devra élaborer un programme pour inclure des mesures de sécurité de nature administrative, physique et technique destinées à protéger les renseignements personnels contre les risques d'accès non autorisé, de destruction, de divulgation, de modification, de perte ou d'utilisation abusive. Les contrôles à mettre en place visent les buts suivants : Accès logique – Restreindre l'accès logique aux renseignements personnels, au moyen de procédures régissant l'autorisation, l'authentification, les privilèges et permissions d'accès au système, ainsi que la diffusion des sorties. Accès physique – Restreindre l'accès physique à toute forme de renseignements personnels (y compris les composantes du ou des systèmes de la société qui contiennent ou protègent ces renseignements). Mesures de protection contre les risques liés à l'environnement – Mettre en place des mesures pour protéger les renseignements personnels, quelle qu'en soit la forme, contre la destruction illégale, la perte accidentelle, les catastrophes naturelles et les risques liés à l'environnement. Renseignements personnels transmis – Protéger ces renseignements lors de la transmission par Internet, par des réseaux publics et par la poste. Tests de l'efficacité des mesures de sécurité – Effectuer des tests au moins une fois l'an à l'égard des principales mesures administratives, techniques et physiques. Qualité – Pour répondre aux préoccupations relatives à la qualité, des systèmes et des procédures devront être établis pour : • consigner la date de l'obtention ou de la mise à jour de renseignements personnels; • indiquer quand et comment les renseignements personnels doivent être mis à jour, et la source de cette mise à jour (p. ex., confirmation annuelle des renseignements détenus et des méthodes selon lesquelles les personnes peuvent les mettre à jour); • assurer que les renseignements personnels utilisés d'une façon continue sont suffisamment exacts et complets pour permettre la prise de décisions, à moins que des limites claires ne soient imposées quant à la nécessité de l'exactitude; • assurer que les renseignements personnels ne font pas l'objet de mises à jour machinales, à moins que cela ne soit nécessaire pour satisfaire aux fins auxquelles les renseignements doivent être utilisés. La société devra effectuer des évaluations périodiques pour vérifier l'exactitude des dossiers contenant les renseignements personnels et corriger ceux-ci au besoin. Surveillance et application – Il est important que les cas de non-conformité avec les politiques et procédures en matière de protection des renseignements personnels soient consignés et signalés et, au besoin, que des mesures correctives soient prises en temps utile. Il faudra établir des systèmes et des procédures pour : • aviser les employés de la nécessité de signaler en temps utile les atteintes à la protection des renseignements personnels et les vulnérabilités en matière de sécurité; • informer les employés des voies par lesquelles devraient être signalées les vulnérabilités en matière de sécurité et les atteintes à la protection des renseignements personnels; et effectuer un suivi à l'égard de la correction de ces vulnérabilités et des atteintes à la protection des renseignements personnels afin d'assurer que la situation sera corrigée en temps utile. Jean pourra se référer au Guide ressource en matière de protection des renseignements personnels de l'ICCA afin d'élaborer le programme de Confiserie ABC, programme qui comprendra les étapes clés suivantes : • nommer un responsable de la protection des renseignements personnels qui sera chargé de la conformité en la matière à l'échelle de la société; • dresser l'inventaire des pratiques existantes en matière de protection des renseignemens personnels et relever toutes les sources, emplacements et utilisations, et activités d'archivage, de communication, d'échange et de destruction des renseignements personnels; • évaluer les écarts entre les pratiques existantes de l'organisation en matière de protection des renseignements personnels et les pratiques équitables de traitement de l'information, ainsi que les lois, règlements et lignes directrices pertinents; • établir des politiques et procédures en matière de protection des renseignements personnels afin de combler efficacement les écarts identifiés à cet égard; • nommer une équipe interfonctionnelle afin d'élaborer un plan détaillé de gestion du changement et d'apporter les correctifs requis; • mettre en œuvre le programme de protection des renseignements personnels sur le plan des politiques, procédures, systèmes d'information, contrats et autres documents connexes; • surveiller le respect des politiques et procédures de l'organisation en matière de protection des renseignements personnels et faire rapport à cet égard, conformément aux pratiques équitables de traitement de l'information. Le Cadre de référence de l'ICCA et de l'AICPA pour la protection des renseignements personnels et le Guide ressource en matière de protection des renseignements personnels de l'ICCA fourniront à Confiserie ABC les ressources nécessaires pour établir le régime de conformité voulu concernant la protection des renseignements personnels et remettre le regroupement d'entreprises à l'ordre du jour. Jonathan D. Andrews, CA•TI/CISA, FCA (England & Wales), et Kathleen Campbell, CMA, de NetLearn Services à Victoria, sont les auteurs de cet article. Cette rubrique est dirigée par Deryck Williams, FCA, CMC, de PKF Hill LLP à Toronto.