C’est pourquoi les services RH doivent prendre leur place dans la gestion de ces données qui est, jusqu’à présent, encore trop souvent laissée aux services informatiques.
Il existe pourtant des principes de protection de données personnelles dans le code de déontologie de l’ordre des CRHA et des CRIA!
Sur le plan déontologique, les CRHA/CRIA doivent toujours se souvenir des quatre principes directeurs suivants :
- Le professionnel est tenu personnellement de sécuriser les renseignements personnels et confidentiels qui lui sont confiés.
- Si le professionnel doit partager ces renseignements, il doit en vérifier la nécessité et faire preuve d’une grande prudence.
- Si le professionnel ne possède pas les compétences nécessaires, il doit faire appel à une personne qui pourra lui offrir des conseils et du soutien.
- Lorsque le professionnel constate un risque concernant la protection des données ou le maintien de la confidentialité, il doit en faire part à son supérieur et, le cas échéant, à son client ou aux responsables de l’organisation qui a recours à ses services.
Ces principes cadrent directement avec le projet de loi 64, qui compte faire évoluer la protection des données personnelles au Québec.
Projet de loi 64, cousin québécois du RGPD
Un lien naturel se fait entre le Règlement général sur la protection des données (RGPD) européen et le projet de loi 64 du Québec.
À titre de rappel, le RGPD vise à harmoniser la gestion des données personnelles à l’échelle de l’Europe. La loi a été votée en 2016 et implantée en 2018. Cette réglementation vise non seulement les entreprises européennes, mais également les organisations internationales gérant, d’une manière ou d’une autre, des données européennes (clients, succursales en Europe, etc.).
Ainsi, pour certaines entreprises québécoises, si le projet de loi 64 est adopté, celui-ci ne sera qu’un ajout aux changements déjà implantés par l’entremise du RGPD.
Un des aspects communs aux deux textes est le concept de personne responsable de la protection des données.
Devenu quotidien pour les entreprises faisant d’ores et déjà affaire en Europe, ce concept fait partie des aspects de ce projet de loi à surveiller de près.
À titre de rappel, le responsable de la protection des données est l’interlocuteur privilégié. Il possédera les connaissances et les compétences nécessaires pour préconiser la notion de protection des données au sein de l’entreprise, d’une part en termes de sensibilisation, mais aussi pour s’assurer que les règles sont bien mises en place.
Plusieurs recommandations suggèrent de confier cette tâche primordiale à un membre de la haute direction de l’entreprise. Il pourrait ensuite se faire appuyer ou accompagner par une personne dans l’organisation.
Cela permettra de démontrer l’importance de la protection des données personnelles, car cette question touche toutes les sphères de l’organisation.
Une commission créée pour la confidentialité des données
Le projet de loi 64 prévoit également des protocoles précis en cas d’incidents ou de fuites de données.
Tout d’abord, les entreprises seront obligées de divulguer les fuites auprès des personnes concernées, mais également d’en aviser la Commission d’accès à l’information.
Cette procédure ferait en sorte que toutes les personnes concernées soient avisées de la fuite potentielle, mais elle permettrait également de mener des analyses a posteriori afin d’éviter que de tels incidents ne se reproduisent.
Évidemment, afin de pouvoir être transparent en cas d’incidents, encore faut-il être en mesure de les reconnaître lorsqu’ils se produisent.
C’est pourquoi nous conseillons aux entreprises de réfléchir à l’implantation de systèmes sécurisés qui assureront un contrôle sur ces systèmes, mais aussi à la sécurisation des données au sein de ces systèmes.
Un SIRH permet, entre autres, de centraliser et de sécuriser les données d’une entreprise à un seul et même endroit. Il permet également d’assurer une granularité des données en tout temps. Ainsi, les équipes peuvent identifier clairement les personnes qui ont accès à certaines données et agir en conséquence!