Andréanne Passarelli et Tara D’aigle-Curley, les auteures de cet article. Sources: Sites web deISACA Québec et de Robic
Andréanne Passarelli et Tara D’aigle-Curley, les auteures de cet article. Sources: Sites web deISACA Québec et de Robic
Bien qu’elle ne soit pas obligatoire en vertu de la Loi, la cartographie des données de votre entreprise sera essentielle à la réalisation des obligations de la loi, puisqu’il s’agit d’un préalable fortement recommandé à toute stratégie de conformité en matière de protection de la vie privée.

Une pratique essentielle

Une cartographie indique clairement comment vous collectez, utilisez et conservez les données. Elle est utile, car si vous ne comprenez pas en détail les flux de données de votre entreprise, il devient impossible de garantir que vos activités soient réellement conformes aux lois et règlements applicables en matière de protection des renseignements personnels.

En ayant une carte des données à jour, votre entreprise est constamment prête pour un audit d’une autorité réglementaire, d’un client ou d’un fournisseur. Cette même cartographie peut également être bonifiée en présentant des paramètres afin de vous amener vers une meilleure compréhension de vos données au sens plus large.

La mise en place d'une solide cartographie des données peut également contribuer à minimiser le risque d’atteintes aux mesures de sécurité et d’incidents de confidentialité, en garantissant qu'aucune donnée n'entre ou ne sort de votre organisation sans être recensée.

De plus, en procédant à cet inventaire, vous serez en mesure de facilement démontrer que votre entreprise a adopté une culture de respect de la vie privée dès la conception. Cela peut être particulièrement utile dans vos évaluations des facteurs relatifs à la vie privée (EFVP). Comment s’y prendre?

Étapes pour bien se préparer

1- Identifiez les joueurs clés ayant une compréhension des processus d’affaires et des systèmes.

Engagez la participation à la fois des métiers et des équipes TI. Parlez à vos équipes pour recenser la documentation que vous détenez : architecture de systèmes, processus d’affaires, politiques et règles d’affaires, etc. Bien souvent, on ne part pas de zéro.

Astuce : Portez attention à la date de la dernière mise à jour des documents. Cela pourrait être une piste de solution pour identifier les acteurs prédisposés et volontaires pour mettre à jour votre cartographie. Si possible, identifiez un document comme source d’information principale qui serait éventuellement votre référence pour engager les discussions.

2- Validez l’approche que vous souhaitez entreprendre pour faire l’inventaire de vos données.

L’approche par processus ou cas d’usage est bien souvent mieux comprise des métiers et vous obtiendrez plus de détails sur les activités réellement effectuées (au-delà de ce que peut présenter la documentation écrite).

L’approche par systèmes est également un excellent moyen d’effectuer l’inventaire. Si les processus sont complexes et interagissent avec plusieurs systèmes, l’approche par système est bien souvent plus simple à suivre.

3- Bâtissez un gabarit de la cartographie en identifiant les principaux paramètres.

Bien comprendre les objectifs de l’exercice de la cartographie assure un travail bien aligné.

Astuce: Procédez à une évaluation coûts-bénéfice pour déterminer si l’inventaire devrait être orienté uniquement sur les renseignements personnels ou si les efforts supplémentaires à étendre la portée du recensement à toutes les données (personnelles ou non) sont bénéfiques pour d’éventuels projets de valorisation des données, par exemple.

Réaliser la cartographie

1- Vous devrez choisir un format sur lequel vous bâtirez votre cartographie. Si les moyens technologiques sont limités, un fichier Excel peut très bien répondre aux besoins.

2- De manière générale, la source principale où les renseignements personnels sont collectés est bien souvent le point de départ pour débuter l’inventaire. Toutefois, dans de plus grandes organisations, un pilote est parfois nécessaire pour faire un premier exercice à plus petite échelle et vous permettre de valider l’approche en amont.

3- Faites l’inventaire de toutes les données que vous collectez/obtenez.

4- Déterminez si ces données sont de nature sensible selon les dispositions de la loi.

5- Associez ces données aux consentements que vous avez obtenus pour les collecter, les utiliser et les communiquer.

6- Listez les finalités justifiant la collecte, l’utilisation et la communication de chacune de ces données.

7- Sachez où ces données sont conservées (dans quelles bases de données, systèmes, entrepôts, etc.).

8- Établissez le délai de conservation de chaque donnée, en suivant les délais prévus par les lois et règlements et la jurisprudence, le cas échéant. Élaborez un calendrier de conservation pour rendre votre tâche plus facile.

9- Déterminez les mesures de sécurité appropriées pour protéger ces données, selon leur sensibilité. Par exemple, les accès aux données sensibles devraient être attentivement gérés et surveillés.

10- Confirmez à quels emplacements la donnée est transférée et communiquée (par exemple, chez des fournisseurs, dans les bases de données, etc.).

11- Inventoriez les endroits géographiques où la donnée est transférée et communiquée (important de noter si la donnée est transférée à l’extérieur du Québec ET à l’extérieur du Canada).

12- Assurez-vous que des protocoles soient en place pour protéger la donnée lors des transferts chez des tiers.

13- Vous pouvez ajouter tout autre critère propre à votre contexte et objectifs finaux de l’exercice de cartographie.

14- Mettez régulièrement à jour la carte des données. Définissez les responsables qui devront maintenir cette cartographie à jour. L'idéal serait de le faire par des moyens automatisés, car les processus manuels deviennent vite laborieux.

À propos des auteures

Andréanne Passarelli est spécialiste en stratégies de données chez Videns Analytics. Elle détient un Baccalauréat en administration des affaires de HEC Montréal. Chez Videns, elle accompagne les entreprises dans leurs démarches pour se conformer au projet de loi 64, visant la protection des renseignements personnels.

Tara D’aigle-Curley est avocate chez ROBIC. Sa pratique se concentre sur les questions de droit à la vie privée, de protection des renseignements personnels, d’accès à l’information et des technologies de l’information. Elle détient un baccalauréat en droit et elle complète présentement une maîtrise en droit à l’Université Laval.