En matière de protection des renseignements personnels, beaucoup d’entreprises québécoises ne sont pas au fait de leurs obligations. Voici quelques règles et quelques conseils de base qui vous aideront à mettre en place une vision stratégique à ce sujet.

Par François Daigle, Directeur,
Services professionnels et formation, Okiok Data

ss9


Règle no. 1: faire un inventaire

Il est impératif de procéder à un inventaire de l’information conservée dans les systèmes et les dossiers, de façon à connaître précisément les renseignements personnels qui s’y trouvent.

ss9


Conseil no. 1: contrôler l’inventaire

Il est facile d’accumuler des renseignements personnels provenant des formulaires de toute sorte que remplissent les clients, en particulier sur le Web, pour un usage éventuel et futur. La pertinence de cette stratégie soulève des doutes.

ss9


Règle no. 2 : nommer un responsable

Il est nécessaire de nommer une personne responsable de la coordination des efforts de l’entreprise en matière de protection des renseignements personnels, même s’il ne s’agit pas d’un poste à temps plein.

ss9


Conseil no. 2 : bien choisir son responsable

Certaines entreprises préféreront sous-traiter ces responsabilités. Elles doivent veiller à confier la tâche à quelqu’un qui connaît les mécanismes de gestion de la conformité.

ss9


Règle no. 3 : rédiger une politique

ll est important d’élaborer une politique de gestion de l’information qui comprend la protection des renseignements personnels. L’effort à mettre dans ce travail dépend notamment du secteur d’activité et des relations de l’entreprise avec ses clients.

ss9


Conseil no. 3 : rédiger une politique simple et brève

Il serait faux de croire qu’une politique de protection des renseignements personnels doit être longue et complexe. Plus elle le sera, moins on la lira, et plus il sera difficile de la respecter.

ss9


Règle no. 4 : obtenir le consentement

Une entreprise doit toujours s’assurer d’avoir obtenu le consentement du client (et des employés) avant d’utiliser leurs renseignements personnels. Le consentement ne peut être implicite, il doit être clairement donné.

ss9


Conseil no. 4 : le consentement est limité

Il faut se rappeler qu’un consentement donné ne peut servir qu’à une fin précise. Les renseignements personnels divulgués par une personne dans le but de participer à un tirage ne peuvent être utilisés ultérieurement pour l’inviter à un séminaire.

ss9


Le 5e élément : la règle d’or

Les renseignements personnels n’appartiennent pas à l’entreprise, elle n’en est que le gardien. Elle en a un droit d’usage, mais non de propriété. Le client concerné, lui, a un droit de regard total sur eux.

ss9


Pour en savoir plus

Cliquez sur le lien ci-dessous pour lire l’article intégral de François Daigle, intitulé Protection des renseignements personnels:

Une tâche relativement simple, mais souvent ignorée par les entreprises

ss9



Article précédentSS8
Article suivantSS13
Jean-François Ferland
Jean-François Ferland a occupé les fonctions de journaliste, d'adjoint au rédacteur en chef et de rédacteur en chef au magazine Direction informatique.