Votre politique de confidentialité ne vous rend pas conforme à la LPRPDE. Voici ce qui le fait.
Une politique de confidentialité correspond au principe de transparence de la LPRPDE — l'un des dix. Les entreprises canadiennes qui s'arrêtent là sont non conformes à 90 % sans le savoir.
L'erreur de conformité la plus courante au sein des entreprises canadiennes
Demandez à un propriétaire de petite entreprise canadienne s'il est conforme à la LPRPDE, et la réponse la plus fréquente est : « Oui, nous avons une politique de confidentialité sur notre site Web. »
Cette réponse est fausse d'une manière précise et lourde de conséquences. Avoir une politique de confidentialité satisfait à l'un des dix principes relatifs à l'équité dans le traitement de l'information de la LPRPDE — le principe de transparence, qui exige des organisations qu'elles mettent à la disposition du public des renseignements sur leurs pratiques en matière de vie privée. C'est l'exigence visible minimale, ce qui explique probablement pourquoi on la confond avec l'ensemble.
Les neuf autres principes n'apparaissent pas sur votre site Web. Ils vivent dans vos opérations, vos contrats, vos pratiques de traitement des données, la formation de votre personnel, vos capacités d'intervention en cas d'incident et vos contrôles d'accès internes. Une politique de confidentialité qui dit toutes les bonnes choses alors qu'aucune de ces pratiques n'existe est un document décrivant un programme de conformité qui n'existe pas.
Le CPVP a rendu des conclusions défavorables contre des organisations dotées de politiques de confidentialité. La politique n'était pas le problème — l'écart entre la politique et la réalité l'était.
Ce qu'est réellement une politique de confidentialité
En vertu du principe de transparence de la LPRPDE, les organisations doivent rendre accessibles sur demande les renseignements suivants : le nom du responsable désigné de la protection de la vie privée, les moyens de déposer une plainte, le type de renseignements personnels détenus et un compte rendu général de la façon dont ils sont utilisés. La plupart des politiques de confidentialité satisfont à cela — si elles sont exactes et à jour.
Le problème d'exactitude est important. Les politiques de confidentialité sont généralement rédigées une fois, souvent par un avocat ou à partir d'un modèle, puis publiées et oubliées. L'entreprise adopte de nouveaux outils, commence à partager des données avec de nouveaux fournisseurs, modifie ses pratiques de marketing, ajoute de nouvelles gammes de produits — et la politique de confidentialité décrit une entreprise qui existait il y a trois ans.
Une politique de confidentialité inexacte ne fait pas qu'échouer au principe de transparence. Elle crée un écart entre les pratiques déclarées et réelles qui devient une preuve dommageable lors d'une enquête du CPVP lorsqu'une plainte est déposée.
Les neuf éléments au-delà de votre politique de confidentialité
La responsabilité en pratique. Une personne précise est responsable de la conformité à la LPRPDE — et cette personne fait activement quelque chose à ce sujet. Pas un titre dans un organigramme. Un véritable travail : réviser les pratiques de traitement des données, gérer les contrats de fournisseurs, répondre aux demandes d'accès, former le personnel. Si votre responsable désigné de la vie privée n'a jamais accompli aucune de ces tâches, vous avez un titre, pas une structure de responsabilité.
Des mécanismes de consentement qui fonctionnent. Comment obtenez-vous réellement le consentement lorsque vous recueillez des renseignements personnels? Le mécanisme — le formulaire, la case à cocher, l'avis verbal, le clic sur les conditions d'utilisation — doit être véritable. Cases précochées, consentement groupé pour plusieurs fins, consentement enfoui au paragraphe 12 d'une entente de 4 000 mots : aucun de ceux-ci ne satisfait aux exigences de consentement de la LPRPDE pour les renseignements recueillis avec une attente raisonnable de protection de la vie privée.
Un inventaire des données. Vous ne pouvez pas limiter la collecte, l'utilisation et la conservation de renseignements personnels dont vous ignorez l'existence. Un inventaire des données cartographie quels renseignements personnels votre organisation détient, d'où ils proviennent, à quoi ils servent, où ils sont stockés, qui peut y accéder et quand ils sont supprimés. La plupart des organisations qui n'ont jamais fait cela découvrent des renseignements personnels à des endroits inattendus.
Des contrats avec les tiers. Chaque fournisseur de services qui traite des renseignements personnels pour votre compte doit être lié par des obligations contractuelles de les protéger. Votre GRC, votre fournisseur de paie, votre service de sauvegarde infonuagique, votre plateforme de marketing par courriel — tous reçoivent des renseignements personnels qui proviennent de chez vous. La LPRPDE vous tient responsable de ces renseignements peu importe où ils se trouvent.
Un plan d'intervention en cas d'incident. Les règlements de la LPRPDE sur la notification des incidents exigent des organisations qu'elles déclarent au Commissaire à la protection de la vie privée les incidents créant un risque réel de préjudice grave et qu'elles avisent les personnes touchées. La déclaration au CPVP doit être faite dès que possible. Une organisation sans plan documenté pour repérer, évaluer et déclarer un incident n'est pas conforme — et le découvre au pire moment possible.
Des procédures de demande d'accès. Les personnes ont le droit d'accéder à leurs renseignements personnels. Les demandes doivent recevoir une réponse dans les 30 jours. La réponse doit être substantielle. Si quelqu'un envoyait un courriel à votre entreprise à l'instant pour demander tous les renseignements personnels que vous détenez à son sujet, votre organisation saurait-elle quoi faire? Qui s'en occupe? Où se trouvent les renseignements à récupérer? Combien de temps cela prend-il?
Des calendriers de conservation et de suppression. Les renseignements personnels ne devraient être conservés que le temps nécessaire à la fin pour laquelle ils ont été recueillis. « Nous gardons tout indéfiniment » n'est pas une politique de conservation — c'est une responsabilité grandissante. Un calendrier de conservation documenté précisant la durée de conservation des différentes catégories de renseignements personnels, et un mécanisme pour réellement les supprimer, voilà à quoi ressemble la conformité.
De la formation du personnel avec des dossiers. Les employés traitent des renseignements personnels. Ils doivent savoir ce que la LPRPDE exige d'eux précisément — pas une mention ponctuelle lors de l'orientation selon laquelle « nous prenons la vie privée au sérieux ». Une formation écrite, une attestation de réussite documentée et des mises à jour régulières lorsque les pratiques changent, voilà ce que le CPVP recherche pour évaluer si un manquement aux mesures de sécurité reflète une défaillance organisationnelle.
Une documentation exacte des pratiques réelles. L'écart entre les pratiques de vie privée documentées et les opérations réelles est l'endroit où se loge la majeure partie du risque d'application de la LPRPDE. Une documentation de conformité qui décrit ce que votre organisation fait, et non ce qu'elle aspirait à faire au moment de la rédaction de la politique, constitue le fondement d'une posture défendable.
L'évaluation honnête
Un autotest utile : si le CPVP recevait demain une plainte au sujet de votre organisation et demandait la documentation de votre programme de protection de la vie privée, qu'enverriez-vous?
Si la réponse est « notre politique de confidentialité et peut-être quelques courriels », vous avez un document, pas un programme. Le programme vit dans les neuf domaines ci-dessus — et le bâtir, même imparfaitement, c'est ce qui fait passer une organisation de la catégorie « nous avons une politique » à la catégorie « nous avons un programme ».
Les entreprises qui font ce pas avant qu'une plainte ne soit déposée sont celles qui gèrent les plaintes sans crise. Celles qui découvrent l'écart durant une enquête sont celles qui passent les six mois suivants en remédiation.
La conformité IA et vie privée, simplifiée.
Valdra aide les entreprises canadiennes à gouverner l’IA et à respecter PIPEDA et la Loi 25 — hébergé au Canada.
Découvrir Valdra