10 ERREURS À NE PAS FAIRE AVEC LA GOUVERNANCE DES DONNÉES DANS VOTRE ENTREPRISE AVEC LES OBLIGATIONS DE LA LOI
Le 22 septembre 2023 s’en vient. Je sais, je sais, c’est un peu rapide pour plusieurs sachant que la grande croisade est une grande source d’anxiété pour les entreprises qui transigent au Québec. Pour d’autres, c’est soit le manque d’information ou le déni qui plane. Par contre, avant de vivre dans le déni, voici quelques précisions nécessaires sur certains fondamentaux avec les données de votre organisation. En entreprise, les Québécois font parfois quelques erreurs volontaires ou non. Voici donc 10 erreurs à ne pas faire avec la gouvernance de vos données en vue des nouvelles obligations.
1) Croire que l’ignorance est une défense
On ne peut pas affirmer en ne mettant pas notre ceinture de sécurité en voiture «bah, je ne savais pas que je devais mettre ma ceinture de sécurité et que ce n’était pas permis de ne pas l’attacher ». C’est le même principe pour la protection des renseignements personnels au Québec dans votre entreprise. C’est comme pour la Loi de l’impôt sur le revenu. Nul n’est censé ignorer la loi. Alors, s’il vous vient à l’idée de ne pas déclarer un incident de confidentialité à la commission d’accès à l’information, car cela requiert l’envoi d’un avis à la CAI et/ou à toute personne dont les renseignements personnels ont été compromis concernant les données personnelles que vous avez en votre possession, sachez que l’ignorance est une défense rejetée par les autorités. Si vous ne connaissez pas les règles en matière de gouvernance des données, il est de votre devoir d’entreprise de vous informer.
2) Ne pas déclarer un incident de confidentialité à la commission
Même si certains croient à une exemption sur les pénalités applicables, les sanctions administratives pécuniaires et infractions pénales sont réellement là. Ces pénalités varient en fonction de la taille de l’entreprise, mais suivent généralement les lignes directrices ci-dessous comme indiqué sur le site de la commission d’accès à l’information :
• 10 millions de dollars, ou un montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent, pour les entreprises privées qui omettent d’appliquer la réglementation;
• un montant correspondant à 4 % des ventes de l’organisation — ou se situant entre 15 000 $ et 25 millions de dollars — pour les entreprises privées qui s’exposent à des sanctions pénales;
• deux catégories de pénalités pour les institutions publiques qui ne respectent pas la réglementation :
• de 3 000 $ à 30 000 $;
• de 15 000 $ à 150 000 $;
• de 5 000 $ à 100 000 $ pour les infractions commises par une personne physique
Il faut déclarer les incidents selon les critères demandés de la commission d’accès à l’information. Les incidents de confidentialité ou toute atteinte aux renseignements personnels qui sont en la possession d’une organisation (accès non autorisé, utilisation ou communication non autorisée, ou perte pouvant causer un préjudice grave) doivent obligatoirement être déclarés à la CAI et aux personnes touchées.
Depuis septembre 2022 les organisations doivent tenir un registre des incidents de confidentialité et mettre en évidence les mesures prises pour éviter que de nouveaux incidents de même nature ne se produisent. Les dirigeants d’une organisation s’exposent à des sanctions pécuniaires beaucoup plus importantes s’ils omettent de déclarer un incident de confidentialité ou une atteinte à des renseignements personnels.
3) Ne pas collaborer avec la Cai
Faire des erreurs de planification ou d’organisation ou vivre dans le déni, ça peut arriver à n’importe qui. Par contre, ce n’est pas parce qu’on n’ouvre pas une lettre ou un courriel ou que l’on rejette l’appel de la commission d’accès à l’information que nous n’aurons pas à faire face à la réalité.
Chose importante pour la commission d’accès à l’information, c’est comme Revenu Québec, une fois qu’on a conclu une entente, il faut la respecter. Si la CAI constate que vous ne la respectez pas, gare à vous, il se pourrait que les conséquences soient désagréables.
4) Croire que les retards n’ont pas de conséquences
La commission d’accès à l’information prend les choses au sérieux et de nouveaux budgets sont en place pour pallier certaines ressources. En matière de retard de démarche, il se peut que la pénalité gonfle en fonction de la négligence.
5) Attendre l’aide du gouvernement ou de la Corporation avant d’agir
Entamer les démarches en retard peut avoir de graves conséquences sur votre organisation. Par exemple, vous pourriez vivre une interruption ou un retard et même des ralentissements majeurs dans vos opérations. Ça serait dommage de devoir impacter votre relation client et mettre plusieurs milliers de dollars parce que vous êtes désorganisés… n’est-ce pas? Profitez de cette démarche en la voyant comme un avantage concurrentiel.
6) Ne pas procéder à une cartographie interne physique et digitale de vos données
Ne pas procéder à la cartographie physique et digitale de ses installations serait une étape fondamentale et critique créant des fossés pouvant mener à l’échec de votre démarche, soyez prudent. C’est donc la première étape critique de cinq pour entamer et maintenir sa mise en conformité avec les règles de protection des données.
– Savoir où se trouvent nos données, avec qui elle transige, sous quelle forme, est-ce en ligne intranet ou extranet, qui les partages, comment elles sont partagées, sont-ils déjà périmés, qui y a accès? Sont toutes des réponses fondamentales à avoir pour passer aux autres étapes.
– Renseignez-vous sur les registres de traitement de données en tenant compte de la gestion du consentement des données personnelles en en priorisant le cycle de vie des données fournies sous référence par la commission d’accès à l’information.
· Dans ce registre vous devriez avoir les données utilisées; qui a accès aux données selon le consentement (exemple : service, service informatique, direction, fournisseurs, partenaires, hébergeurs) ; la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive). Les catégories de données utilisées (exemple pour la paie : nom, prénom, date de naissance, salaire) ;qui fait quoi avec vos données (exemple : marketing et prise de rendez-vous externe) ;la durée de conservation de ces données (durée durant laquelle les données sont utiles d’un point de vue opérationnel, et durée de conservation en archive selon les fins et le consentement); la destruction (détruire les renseignements personnels de manière sécuritaire dès que la finalité pour laquelle ils ont été collectés est accomplie, sous réserve du délai prévu par la loi ou par un calendrier de conservation établi par règlement du gouvernement (ex. pour des obligations fiscales).
– Faites le tri des outils non ou surutilisé de votre organisation, afin de faire d’éliminer des courroies d’échanges non nécessaires de vos données. Certaines entreprises ont deux, trois CRM ou deux duplicatas d’outil identique. Faites l’évaluation des facteurs de risques lorsque vous faites ces changements.
– Respectez les lois applicables en fonction de la protection des renseignements personnels en mettant des processus et de la formation en place.
– Sécuriser vos données et limiter les accès aux tiers pour maintenir le cœur de votre data sans corruption.
7) Manquer votre subvention couvrant les frais de votre cartographie
Une subvention est en vigueur conçue pour aider les entreprises à adopter les technologies numériques et à accroître leur compétitivité dans l’économie actuelle. Le programme fournit des fonds pour aider les entreprises à acheter des technologies numériques, telles que l’informatique en nuage, l’intelligence artificielle et l’analyse des données, ainsi qu’une formation et un mentorat pour les aider à utiliser ces technologies efficacement. Le programme donne également accès à un réseau d’experts et de ressources pour aider les entreprises à élaborer des stratégies numériques et à mettre en œuvre des solutions numériques selon les marchés. Contactez un agent numérique ayant accès aux subventions
Dominic Sigouin
8) Ne pas comprendre les recours en lien avec la protection des renseignements personnels
Quelqu’un s’est adressé à une entreprise pour demander accès à certaines informations ou pour demander une rectification de son dossier personnel et a essuyé un refus ou obtenu une réponse insatisfaisante. Les lois prévoient que c’est à la Commission d’accès à l’information qu’ils peuvent exercer un recours pour faire valoir leurs droits.
Le recours exercé est appelé « demande de révision » pour le secteur public ou « demande d’examen de mésentente » pour le secteur privé. Dans les deux cas, cette demande doit être adressée à la Commission dans les trente jours du refus de la demande ou de l’expiration du délai pour y répondre.
(source : cai)
9) Croire que seul au Québec ces obligations existent.
Si jamais la commission d’accès à l’information enquête sur un dossier et trouve un problème, n’allez pas croire que c’est seulement au Québec que cela s’applique. En effet, au Québec, l’utilisation de renseignements personnels par les entreprises est encadrée principalement par la Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur le privé). Cependant, en fonction de la nature et de la portée des activités des entreprises, d’autres obligations peuvent exister en matière de protection des renseignements personnels au niveau provincial, fédéral et international. Sans être exhaustive, cette page en présente quelques-unes.
L’identification de ces obligations et la compréhension des enjeux qu’elles impliquent peuvent s’avérer complexes. En cas de doute, il est recommandé de consulter un juriste.
Aperçu des autres obligations sur le plan provincial
Voici une liste non exhaustive de lois qui contiennent des particularités en matière de protection des renseignements personnels :
• Charte québécoise des droits et libertés;
• Code civil du Québec (RLRQ, c. CCQ-1991);
• Loi concernant la cadre juridique des technologies de l’information (RLRQ, c. C‑1.1);
• Code de la sécurité routière (RLRQ, c. C-24.2);
• Loi sur la protection de la jeunesse (RLRQ, c. P-34.1);
• Loi sur les services de santé et les services sociaux (RLRQ, c. S-4.2);
• Loi sur l’assurance maladie (RLRQ, c. A-29);
• Loi concernant le partage de certains renseignements de santé (RLRQ, c. P-9.0001);
• Loi autorisant la communication de renseignements personnels aux familles d’enfants autochtones disparus ou décédés à la suite d’une admission en établissement (RLRQ, c. C-37.4);
• Loi sur l’administration fiscale (RLRQ, c. A-6.002);
• (source cai)
10) Croire que le travail peut se faire en passant seulement une numérisation dans son réseau informatique
Il existe différents types de cartographie des données pouvant être appliqué au sein d’une organisation. Le choix dépendra particulièrement de l’objectif de la cartographie et de la structure de l’entreprise. Par exemple chez un concessionnaire automobile l’approche préconisée et celle l’approche phygital : c’est quoi le phygital
C’est une approche physique et (digital) numérique une concaténation des deux mots qui créent le phygital
• L’objectif de cette analyse est basé sur les processus d’interaction entre les données et l’individu et entre l’utilisateur et les périphériques. Nous rappelons que les données sont utilisées par les différents départements de l’entreprise, les fournisseurs, les différents outils en ligne dans le réseau et en nuage via les navigateurs ou plates-formes Internet. Les données circulent autant au niveau physique et numérique dans l’écosystème de l’entreprise. L’approche basée sur qui utilise quelles données et à quelle fin et avec quel canal ou protocole d’utilisation est fondamentale, peu importe le type de cartographie, on pour peut mieux comprendre les flux de données et les relations entre les différentes parties prenantes ainsi que les outils et les différents fournisseurs y compris ceux les moins connus ou que nous pensions même ne pas avoir dans l’industrie.
Contrairement à l’approche plus sémantique et automatisée sous forme de numérisation réseau de l’architecture des systèmes informatiques et des applications internes installés sur les postes de travail ou d’une approche basée sur une analyse cyberisque automatisée, la démarche qui débute directement de l’utilisateur ou des intervenants vers les systèmes et non le contraire évite de créer des fossés ou évite de perdre des morceaux de casse-tête en chemin.
Préconiser l’utilisateur vers les sources permet aussi de constater certains ajustements ou lacunes nécessaires à une bonne cybersécurité autant physique que numérique. Permettre de mieux cibler les utilisateurs et de remonter aux sources sans créer de fossé entre les processus, les utilisateurs, les outils physiques et numériques, les fournisseurs ainsi que tous les intervenants en lien avec les données couvrent l’ensemble de l’écosystème.
En ce qui concerne notre approche envers la loi, Il s’agit d’une réforme majeure de la législation québécoise sur la protection des renseignements personnels. Ces changements portent essentiellement sur les exigences de collecte, d’utilisation et de divulgation des renseignements personnels ainsi que sur les exigences de gouvernance entourant la surveillance de la confidentialité et les mécanismes d’application. Il était donc primordial de combler le besoin du client sous forme de cartographie phygital en commençant par les différents intervenants et outils utilisés et en voyant les processus en opération.
Par la suite avec une expertise data du domaine concerné ainsi qu’une connaissance approfondie des différents intervenants de l’industrie et des outils DMS, CRM, Desking, CDP et autres, il est possible de mieux comprendre le mécanisme de partage d’informations entre les tiers.
Il est important de garder à l’esprit que la cartographie des données est un processus itératif et qu’il est souvent nécessaire de commencer par une approche générale pour affiner progressivement la cartographie au fil du processus. Il est également important d’impliquer les différentes parties prenantes de l’entreprise dans le processus qui touche les différents fournisseurs qui ont accès aux données physiques ou digitales pour garantir une compréhension complète de l’utilisation et de l’accès aux des données dans l’entreprise. De plus l’évaluation des tiers ayant accès aux renseignements personnels, la mise en œuvre de mesures de protection appropriées visant les renseignements personnels, les pratiques de conservation et de destruction des renseignements personnels et
l’établissement d’un cadre de protection des renseignements personnels et de surveillance passent obligatoirement par cette démarche.
L’approche humaine initiale touche donc dans cette démarche envers l’utilisateur et les différents intervenants
• les connaissances • les personnalités • les habiletés • les postes qu’ils occupent, les processus et • les décisions qu’ils doivent prendre au quotidien. Cette approche qui aura pour effet de mieux cibler et de documenter le parcours des données et établir les mesures à prendre pour une conformité et une gouvernance saine.
Renseignez-vous auprès de votre juriste pour plus de détails sur les obligations de la loi 25. En ce qui concerne les cartographies disponibles par notre équipe, il nous reste quelques places d’ici septembre 2023.