Lors du précédent chapitre, nous avons eu l’occasion de présenter les parties prenantes à la mise en place et au déploiement d’un programme de conformité en matière de protection des renseignements personnels (« Programme PRP ») ainsi que les modèles de gouvernance que l’organisation pouvait adopter afin de réaliser ses activités de conformité. Le présent chapitre portera plutôt sur les étapes servant à délimiter la portée et les objectifs du programme. Ces étapes de définition sont importantes en ce qu’elles permettent, notamment, de consacrer et d’investir le bon niveau d’effort et de ressources à la mise en place et au déploiement du programme.
Cette série de bulletins présentée en chapitres démystifiera ce concept, tout en suggérant des mesures concrètes pour entamer votre mise en conformité.
Chapitre 3 : Comment définir la portée et les objectifs du Programme?
a. Vision et énoncé de mission du programme
La mise en place d’un Programme PRP ne peut se faire sans avoir préalablement établi la vision et la mission de ce dernier. La vision et l’énoncé de mission du programme doivent être alignés avec les objectifs stratégiques de l’organisation. En effet, au-delà de la simple mise en conformité, le Programme PRP sert d’appui au changement de la culture organisationnelle en ce qui concerne la protection de la vie privée. Ainsi la vision et la mission doivent être capturées dans un énoncé clair et concis qui pourra être reproduit dans les différentes politiques, avis de confidentialité, directives, procédures et matériel de formation et de sensibilisation de l’organisation. À ce sujet, afin de favoriser au maximum l’adhésion des employés et la confiance des clients, la vision et la mission du Programme PRP devraient être entérinées par la haute direction de l’organisation.
Par exemple, certaines entreprises peuvent choisir stratégiquement de mettre de l’avant la protection de la vie privée dans leur offre de produits ou de services comme un avantage concurrentiel alors que d’autres peuvent choisir d’en faire une valeur organisationnelle. Ce type de positionnement devrait se refléter dans la vision et l’énoncé de mission de l’organisation.
b. Portée du programme
La définition de la portée du programme permet non seulement de choisir le cadre approprié pour assurer sa mise en conformité en matière de protection des renseignements personnels, mais également de bien établir les zones de risques et de planifier ses efforts de mise en conformité. Une approche typique pour déterminer la portée du programme se réalise en exécutant ces deux étapes[1] :
1) identifier les renseignements personnels traités par l’organisation (leur type, leur provenance, etc.)
2) identifier la réglementation applicable à l’organisation en matière de protection des renseignements personnels.
i. Identification des renseignements personnels traités par l’organisation
Afin d’assurer une mise en conformité efficace, l’organisation doit avoir un portrait suffisamment détaillé des renseignements personnels qu’elle collecte, utilise, communique, conserve et détruit.
Plusieurs avenues sont possibles afin d’y arriver, par exemple, l’approche initiale pourrait être de conduire des entrevues avec des représentants des différents départements et des lignes d’affaires de l’organisation afin d’avoir une idée plus précise des types de renseignements traités.
Également, contrairement au RGPD[2], la Loi 25 n’exige pas spécifiquement qu’un registre des activités de traitement des renseignements personnels soit tenu par l’organisation. Toutefois, plusieurs obligations de cette dernière loi nécessitent que l’organisation sache quel renseignement personnel est traité et dans quel objectif[3]. L’exercice d’identification peut donc être structuré par le biais de la création d’un tel registre.
Ajoutons que d’autres outils peuvent permettre aux organisations de venir compléter l’identification des renseignements personnels traités, par exemple : la cartographie de leur flux de données dans leurs environnements technologiques, leur catalogue applicatif, leur catalogue de données, la liste de leurs processus d’affaires, le registre des tiers (fournisseurs, sous-traitants, partenaires, etc.) avec qui l’organisation fait affaires, etc.
ii. Identification de la réglementation applicable en matière de protection des renseignements personnels
Une fois que l’organisation a identifié les renseignements personnels qu’elle collecte, utilise, communique, conserve ou détruit, il lui est plus facile d’identifier les cadres législatifs et réglementaires s’appliquant à ces activités et de dresser un portrait des obligations applicables.
Une bonne pratique à adopter lors de l’analyse des cadres législatifs et réglementaires afférents est de s’assurer de respecter l’obligation la plus stricte lors de la mise en place du programme, et ce, dans le but d’éviter les coûts afférents à la duplication des contrôles et d’assurer une uniformité dans leur mise en application. Une autre bonne pratique serait de cibler en amont les obligations dites « exceptionnelles » qui ne peuvent être recoupées avec des requis d’autres cadres législatifs afin d’être en mesure de les adresser séparément.
Également, cet exercice permettra à l’organisation de définir sa stratégie de mise en conformité, notamment, en circonscrivant les obligations à considérer dans le cadre de conformité à la protection des renseignements personnels. C’est d’ailleurs lors du prochain et dernier chapitre que nous aurons l’occasion de vous présenter les éléments à prendre en considération dans la conception de ce type de cadre lequel est au cœur du Programme PRP.
[1] Ron DE JESUS, “Introduction to Privacy Program Management”, dans Privacy Program Management. Tools for managing privacy within your organization. 2nd ed., Portsmouth, International Association of Privacy Professionals, 2019, p. 254, à la page 14.
[2] Article 30 du RGPD.
[3]Voir notamment l’article 8 de la Loi 25.
