Protéger les renseignements personnels : Un outil d’auto-évaluation à l’intention des organisations
Votre organisation protège-t-elle adéquatement les renseignements personnels? Les exigences liées à la sécurité des renseignements personnels en vertu de la Personal Information Protection Act de la Colombie-Britannique, de la Personal Information Protection Act de l’Alberta et de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada obligent les organisations à prendre des mesures raisonnables afin de protéger les renseignements personnels en leur possession ou dont elles ont la garde contre des risques tels que l’accès, la collecte, l’utilisation, la communication, la reproduction, la modification, l’élimination ou la destruction non autorisés.
Pour élaborer des mesures de sécurité raisonnables, la première étape consiste à ne recueillir que les renseignements personnels qui sont nécessaires aux fins précisées. Les organisations ne devraient pas recueillir des renseignements personnels qui ne leur seront pas utiles. Si elles le font, elles doivent prendre les mesures qui s’imposent pour les protéger.
Les mesures de sécurité raisonnables comprennent diverses couches de sécurité qui incluent, sans s’y limiter :
- la gestion du risque;,
- les politiques relatives à la sécurité;
- la sécurité des ressources humaines;
- la sécurité physique;
- la sécurité technique;
- la gestion des incidents;
- la planification de la continuité des activités.
Le caractère raisonnable des mesures de sécurité qu’adopte une organisation doit être évalué en tenant compte d’un certain nombre de facteurs, dont :
- la nature délicate des renseignements personnels;
- les risques prévisibles;
- la probabilité que des préjudices soient causés;
- le support et le format du document contenant les renseignements personnels;
- les torts qui pourraient être causés par un incident;
- le coût des mesures préventives.
Des pratiques généralement reconnues ou courantes dans un secteur ou un genre d’activité donné peuvent être pertinentes afin de juger du caractère raisonnable d’une mesure de sécurité. Toutefois, les pratiques généralement reconnues et les normes techniques doivent s’accompagner d’un minimum de prudence et de jugement.
Au moment de créer cet outil, nous avons examiné d’autres normes (comme celles produites par l’ISO) et reçu des commentaires de diverses organisations de l’Alberta, de la Colombie-Britannique et du Canada atlantique. Les liens suivants pourraient s’avérer particulièrement utiles et pertinents :
- Conseils utiles sur les programmes « Apportez votre propre appareil » élaborés par les commissaires à la protection de la vie privée fédéral, de la Colombie-Britannique et de l’Alberta
- Conservation et retrait des renseignements personnels : Principes et pratiques exemplaires élaborés par le Commissariat à la protection de la vie privée du Canada
- Des conseils utiles sur la sécurité informatique et la protection de la vie privée des employés (anglais seulement) produits par le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique
Dans les tableaux suivants, les questions qui sont ombragées représentent les exigences minimales en matière de sécurité auxquelles doit se conformer toute organisation, peu importe sa taille ou la nature délicate des renseignements personnels qu’elle a en sa possession. Les autres questions permettront aux organisations d’aller au-delà des exigences minimales en matière de sécurité. Au moment d’évaluer leur capacité à protéger les renseignements personnels, les organisations devraient se servir de ces tableaux comme outil. L’objectif est de pouvoir répondre « oui » à chacune des questions. À la fin du processus, les résultats ayant trait aux niveaux de sécurité minimaux et supérieurs sont compilés séparément.