Comment mettre en place un cadre de protection des données personnelles ?
La collection et l'utilisation des données personnelles de clients par un tiers sont régis au Québec par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et au fédéral par le Personal Information Protection and Electronic Documents Act (PIPEDA) et ses équivalents dans les provinces. La non conformité à cette loi peut mener à des amendes importantes et aller jusqu'à des peines d'emprisonnement.
Afin de mettre en place un cadre de protection des données personnelles de ses clients, il est nécesaire de :
1. Nommer un "Data Privacy Officer", Responsable des données personnelles
Il sera en charge de mettre en place le cadre de conformité liées aux informations personnelles en collaboration avec le service juridique et l'informatique et d'en contrôler le bon fonctionnement.
2. Dresser un inventaire des données personnelles.
Nombreuses sont encore les entreprises qui ne disposent pas d'un inventaire précis des types de données personnelles collectées de leurs clients.
3. Dresser un inventaire des obligations juridiques et légales attachées aux données
Selon qu'il s'agit de NAS, de numéros de carte de crédit, d'informations médicales ou simplement d'une adresse ou d'un numéro de téléphone, les lois qui s'appliquent en terme de collecte, d'utilisation et de conservation de ces données sont différentes.
4. Rédiger la politique en matière de protection des renseignements personnels et la publier
5 Procéder à une analyse des risques et mettre en place les moyens techniques, juridiques et d'assurance pour la protection des données personnelles.
Selon les risques sur les données, il sera nécessaire de mettre en place des moyens de chiffrement, de contrôle d'accès, de renforcer les clauses de sécurité pour les données herbergées chez les tiers, d'exercer des droits d'audit et d'envisager des clauses d'assurance spécifiques.
6. Mettre en place une précédure d'escalade et de notification en cas d'incident
En cas de faille de sécurité, les clients doivent être informées que leurs données ont été volées. Les autorités sectorielles et gouvernementales doivent également être mises dans la boucle.
7. Mettre en place un cadre de contrôle de conformité
Il est nécessaire de vérifier périodiquement que les données sont purgées, que des certificats de destruction sont émis et de faire des audits techniques de sécurité sur les données.