Affaires & entreprises / Droit (Général) / Renseignements personnels

De l’importance de dresser un inventaire des renseignements personnels dans votre organisation

Publié par

Dans le monde de la vente au détail, un classique de gestion implique périodiquement voir à confirmer, en pratique, ce qu’on a effectivement en stock. C’est un minimum pour assurer une saine gestion dans les entreprises de ce genre.

Avec le resserrement progressif des règles touchant la protection des renseignements personnels, de plus en plus de PME sont à réaliser devoir commencer à se conformer au régime de protection que prévoit la loi à ce sujet. Le problème immédiat auquel un grand nombre d’entre elles font alors face, c’est de savoir dans quelle mesure elles font des choses que la loi interdit de faire. C’est le problème de l’inventaire et/ou de la cartographie de données.

C’est un énoncé classique en gestion que tu ne peux pas gérer adéquatement quelque chose que tu n’as pas d’abord mesuré. En matière de renseignements personnels, la problématique de ce côté provient de la difficulté de tenter de se conformer à des règles, sans savoir si, comment et dans quelle mesure notre organisation collecte, utilise ou communique des renseignements et, si oui, lesquels.

Pour être clair, nos lois n’exigent pas directement des organisations qu’elles inventorient les renseignements personnels chez elles. Nos lois à ce sujet se limitent plutôt à dire que tu ne peux pas faire X, Y et Z par rapport aux renseignements d’autrui. Évidemment, si tu ne t’es jamais donné la peine de déterminer si et comment ton organisation traite les renseignements personnels (et lesquels!), tu n’es pas susceptible de pouvoir limiter ce que tu fais avec conformément à la loi. C’est assez élémentaire.

Il y a un donc un exercice important à faire avant de vraiment pouvoir savoir si une entreprise ou une organisation de conforme à nos lois en matière de protection des renseignements personnels. Cet exercice consiste à:

  • faire l’inventaire de ce que l’on a (quels sont les renseignements que vous détenez sur autrui?);
  • comprendre d’où ces données proviennent;
  • savoir comment on les utilise et ce qu’on fait avec;
  • répertorier là où on envoi ces données -vers quels tiers, etc.

Une fois qu’on comprend ce contexte, on pourra alors commencer à se poser les questions qui s’imposent, dont par rapport à la mesure dans laquelle on se conforme ou non à ce que requiert la loi pour chaque instance de collecte, de conservation, d’usage ou de communication.

Ce processus s’avère important mais doit débuter par se demander ce qu’on a entre les mains. Bien que cela puisse paraitre évident, il est étonnant de constater combien d’organisations (de PME, en particulier) semblent vouloir débuter sans se donner la peine d’inventorier et de cartographier leurs données personnelles adéquatement.