De l’importance de dresser un inventaire des renseignements personnels dans votre organisation

Dans le monde de la vente au détail, un classique de gestion implique périodiquement voir à confirmer, en pratique, ce qu’on a effectivement en stock. C’est un minimum pour assurer une saine gestion dans les entreprises de ce genre.

Avec le resserrement progressif des règles touchant la protection des renseignements personnels, de plus en plus de PME sont à réaliser devoir commencer à se conformer au régime de protection que prévoit la loi à ce sujet. Le problème immédiat auquel un grand nombre d’entre elles font alors face, c’est de savoir dans quelle mesure elles font des choses que la loi interdit de faire. C’est le problème de l’inventaire et/ou de la cartographie de données.

C’est un énoncé classique en gestion que tu ne peux pas gérer adéquatement quelque chose que tu n’as pas d’abord mesuré. En matière de renseignements personnels, la problématique de ce côté provient de la difficulté de tenter de se conformer à des règles, sans savoir si, comment et dans quelle mesure notre organisation collecte, utilise ou communique des renseignements et, si oui, lesquels.

Pour être clair, nos lois n’exigent pas directement des organisations qu’elles inventorient les renseignements personnels chez elles. Nos lois à ce sujet se limitent plutôt à dire que tu ne peux pas faire X, Y et Z par rapport aux renseignements d’autrui. Évidemment, si tu ne t’es jamais donné la peine de déterminer si et comment ton organisation traite les renseignements personnels (et lesquels!), tu n’es pas susceptible de pouvoir limiter ce que tu fais avec conformément à la loi. C’est assez élémentaire.

Il y a un donc un exercice important à faire avant de vraiment pouvoir savoir si une entreprise ou une organisation de conforme à nos lois en matière de protection des renseignements personnels. Cet exercice consiste à:

  • faire l’inventaire de ce que l’on a (quels sont les renseignements que vous détenez sur autrui?);
  • comprendre d’où ces données proviennent;
  • savoir comment on les utilise et ce qu’on fait avec;
  • répertorier là où on envoi ces données -vers quels tiers, etc.

Une fois qu’on comprend ce contexte, on pourra alors commencer à se poser les questions qui s’imposent, dont par rapport à la mesure dans laquelle on se conforme ou non à ce que requiert la loi pour chaque instance de collecte, de conservation, d’usage ou de communication.

Ce processus s’avère important mais doit débuter par se demander ce qu’on a entre les mains. Bien que cela puisse paraitre évident, il est étonnant de constater combien d’organisations (de PME, en particulier) semblent vouloir débuter sans se donner la peine d’inventorier et de cartographier leurs données personnelles adéquatement.

Un pas de plus vers l’adoption du projet de loi canadien C-27 et d’une nouvelle loi en matière d’IA

Le projet de loi fédéral C-27, visant à effectuer une mise à jour substantielle des lois canadiennes en matière de renseignements personnels,  passait récemment en deuxième lecture, nous rapprochant ainsi allègrement d’une adoption éventuelle.

Comme on s’en souviendra, C-27 implique une série de modifications visant à renforcer passablement les règles s’appliquant aux entreprises canadiennes (à l’extérieur d’une seule province) en matière de données personnelles. À l’instar de ce qui se fait actuellement au Québec, on a en effet réalisé depuis un moment que nos règles datant de 1999-2000 étaient maintenant dépassées, ce qui justifie une refonte de toute la loi, en plus de l’inclusion de nouvelles règles et même de créer un nouveau tribunal spécialisé qui entendra certaines des affaires en matière de renseignements personnels.

Le Ministre responsable de ce projet de loi réitérait récemment que le but de l’exercice comprend notamment redonner aux consommateurs canadiens le contrôle sur leurs données.

Ce projet comprend aussi l’adoption d’une toute nouvelle loi (la Loi sur l’intelligence artificielle et les données du gouvernement du Canada) qui régirait l’usage de l’intelligence artificielle, incluant par les entreprises canadiennes, notamment par rapport à la conception et la mise en oeuvre de ce genre de système. Cette nouvelle loi spécifique (surnommée « LIAD », en français) interdira entre autres certains comportements vus par la loi comme trop susceptibles de causer de graves préjudices aux Canadiens, incluant pour ce qui est des droits de la personne et des valeurs de la société canadienne. La LIAD obligera notamment ceux qui créés et utilisent l’IA à déployer des mesures d’évaluation et d’atténuation des risques, surveiller la conformité de leurs systèmes, faire preuve de transparence, tenir des registres spéciaux, informer le gouvernement en certains cas, etc.

La nouvelle incarnation de ces nouvelles lois en la matière comprendra notamment des sanctions que plusieurs qualifient de draconiennes, incluant des sanctions basées sur les revenus mondiaux des entreprises délinquantes, etc.

Le Gouvernement canadien réaffirme avoir la ferme intention de voir à adopter ces projets de loi dans la période à venir. La question n’est donc pas tant si ces nouvelles lois seront adoptées mais quand.

L’Ontario oblige ses employeurs à déclarer leurs outils de surveillance d’employés

Comme le rapportait cette semaine les médias, l’Ontario mettait récemment à jour sa législation en matière d’emploi, en obligeant dorénavant les employeurs ontariens à déclarer à leur personnel dans quelle mesure on les surveille à l’aide de leur ordinateur et de leur téléphone cellulaire, le cas échéant.

Dorénavant, les employeurs visés doivent adopter et publier pour leur personnel une politique écrite sur la surveillance électronique des employés, dans laquelle on doit indiquer si on surveille les employés par voie électronique et, le cas échéant, décrire la manière et les circonstances dans lesquelles on le fait, les objectifs d’usage éventuel des données ainsi recueillies par l’employeur.

Cela obligera dorénavant les entreprises à le révéler, par exemple, si on utilise un système ou un logiciel subreptice destiné à gérer la productivité des employés (officiellement), en surveillant par exemple l’usage (plus ou moins continuel) de la souris, les touches tapées au clavier, les applications utilisées ou les sites Web visités par l’employé. En somme, la nouvelle loi ontarienne vise à informer les employés pour qu’on sache désormais au moins SI et dans quelle mesure on est surveillé au travail sur les appareils électroniques qu’on utilise au quotidien pour effectuer notre travail.

La nouvelle règle vise les entreprises embauchant 25 ou plus. Il n’existe actuellement rien de tel au Québec et je n’ai entendu parler d’aucune initiative à ce sujet pour l’instant. Actuellement, un employeur québécois peut généralement surveiller l’usage de son matériel informatique et de son infrastructure de réseautique, sans devoir pour autant le déclarer à son personnel, bien que la législation en matière de renseignements personnels s’appliquant désormais ici place des balises quant à l’information qui peut être collectée au sujet d’individus.