Vous implantez un nouveau système technologique en entreprise? Pensez à protéger vos données

Aujourd’hui, rares sont les technologies qui ne font pas appel à l’informatique, et qui dit informatique, dit traitement de données.

Dans ce court article, nous traiterons uniquement des données se rapportant à une personne physique identifiée ou identifiable que nous appellerons un renseignement personnel, soit le terme utilisé par les lois québécoise et canadienne relatives à la protection de la vie privée.

La protection de la vie privée au cœur de toute nouvelle technologie

Afin d’éviter une pénalité, qui dans certaines situations peut s’élever jusqu’à 2 millions d’euros ou 4 % de son chiffre d’affaires mondial, ou encore pour éviter un coûteux recours collectif, l’entreprise qui implante un nouveau système devrait considérer comment y seront traités les renseignements personnels, et ce, dès le début de l’implantation du système. Il s’agit là du principe de la protection de la vie privée dès la conception ou en anglais « Privacy by Design ».

En appliquant ce principe, l’entreprise s’assure que le respect de la vie privée sera une préoccupation centrale lors de l’implantation de cette nouvelle technologie. Par ailleurs, l’application de ce principe devrait s’effectuer sitôt le moment de choisir la nouvelle technologie à utiliser.

Choisir une technologie qui facilite l’application de ce principe permettra de sauver temps et argent lorsque viendra le moment de lancer le système dans l’environnement de production. Il sera en effet plus coûteux pour l’entreprise de se conformer aux exigences des lois relatives à la protection de la vie privée après que les nouveaux systèmes aient été déployés en entier sans avoir considéré les aspects de la protection des renseignements personnels. 

Bien que ce principe ne soit pas érigé comme une obligation formelle dans la législation québécoise et canadienne comme l’Europe a choisi de le faire, nous croyons que le Québec et le Canada emboîteront le pas lors des prochaines réformes de nos lois relatives à la protection de la vie privée.

Les 7 principes fondamentaux de la protection de la vie privée dès la conception

Le concept de protection de la vie privée dès la conception développé par l’ancienne Commissaire à l’information et à la protection de la vie privée de l’Ontario, Dre Ann Cavoukian, met de l’avant sept principes fondamentaux:

• Des mesures proactives et préventives
• Une protection implicite et automatique
• Une intégration de la vie privée dans la conception des systèmes et au cœur des pratiques
• Une protection intégrale
• Une sécurité de bout en bout, durant toute la durée de la conservation des données
• Une visibilité et une transparence assurées
• Un respect de la vie privée des utilisateurs (en privilégiant les intérêts des particuliers)

Sans entrer dans le détail des principes énumérés ci-dessus, lors de la configuration du nouveau système à mettre en place, il y aura lieu de s’assurer que les renseignements personnels qui y seront recueillis soient limités aux fins nécessaires à l’entreprise tout en étant connues des personnes concernées. Par défaut, ces renseignements personnels ne devraient être accessibles que par une quantité limitée de personnes au sein de l’entreprise sur la base du « besoin de connaître ».

L’entreprise devrait également être en mesure de connaître en tout temps le type ou la nature des renseignements personnels recueillis, leur emplacement dans ses systèmes, leur durée de conservation et à qui elle divulgue ou transfère les renseignements personnels qu’elle détient et traite dans le cadre de ses activités. 

Elle doit pouvoir aisément mettre à jour ou supprimer ces renseignements personnels. Par conséquent, le nouveau système à mettre en place devrait posséder des fonctionnalités permettant à l’entreprise de se conformer facilement à ces exigences ainsi qu’aux demandes de personnes physiques qui voudraient exercer leurs droits à l’égard de leurs renseignements personnels détenus par l’entreprise. 

Faut-il opter pour un système infonuagique ou un système installé sur ses propres serveurs? 

Lorsqu’un nouveau système est installé entièrement sur le serveur appartenant à l’entreprise, le contrôle sur les renseignements personnels en est facilité et moins risqué que si ce même système était implanté par mode infonuagique (Cloud) contrôlé par un tiers. Il se peut toutefois que dans certains cas, ce tiers possède des moyens financiers plus importants que ceux de l’entreprise et puisse ainsi se munir de systèmes de sécurité à la fine pointe de la technologie.

Quoi qu’il en soit, si le nouveau système est hébergé et fourni par un tiers en mode infonuagique, une entente entre l’entreprise et ce dernier est fortement recommandée, voire obligatoire dans plusieurs cas, afin de régir le traitement des renseignements personnels partagés par l’entreprise à ce tiers.

S’il est vrai que la technologie peut augmenter la productivité d’une entreprise, encore faut-il prendre soin de bien l’implanter et d’éviter les surprises que peut causer une mauvaise gestion des renseignements personnels utilisés par cette nouvelle technologie.

La question n’est donc pas de savoir si votre entreprise fera ou non l’objet d’une cyberattaque, mais bien quand et si elle est prête à y faire face.

Nos groupes de pratiques en droit des technologies et en protection de la vie privée peuvent vous aider à mettre en place les processus internes de gestion des renseignements personnels dans le cadre de l’implantation d’une nouvelle technologie. Nos professionnels peuvent également vous préparer à agir lors d’une éventuelle cyberattaque ou tout simplement à répondre aux demandes des individus desquels vous recueillez des renseignements personnels.