Une tâche relativement simple, mais souvent ignorée par les entreprises

François Daigle, OKIOK -01/10/2007

PROTECTION DES RENSEIGNEMENTS PERSONNELS Malgré les lois qui, depuis 2001 déjà, protègent les renseignements personnels au Canada, une majorité d'entreprises n'a pas mis en place les mesures permettant de le faire pleinement.

En matière de protection des renseignements personnels, beaucoup d'entreprises québécoises ne sont pas au fait de leurs obligations. De façon générale, toutefois, on ne peut les taxer de mauvaise foi. Dans de nombreux cas, en effet, elles ne connaissent tout simplement pas leurs devoirs à cet égard et, parfois, ignorent même qu'elles détiennent des renseignements personnels sur leurs clients ou leurs employés.

Dans son dernier rapport annuel, la Commissaire à la protection de la vie privée s'inquiète de ce que seulement une entreprise canadienne sur trois a donné une formation à ses employés à propos du traitement des renseignements personnels des clients. Cette statistique a de quoi inquiéter, car non seulement les conséquences de pareille négligence peuvent être lourdes quant à l'image et à la réputation d'une organisation, mais celle-ci risque d'avoir à payer des amendes pouvant atteindre 100 000 dollars par infraction.

Le cas de l'entreprise TJX Companies, propriétaire des magasins Winners et Homesense, illustre le genre de difficultés auxquelles expose le défaut de se conformer aux lois sur le respect de la vie privée : la société fait face à un recours collectif intenté par des Canadiens dont les numéros de carte de crédit seraient tombés aux mains de tiers non autorisés, en raison d'une intrusion dans les systèmes informatiques de TJX.

Pourtant, les lois sur la protection des renseignements personnels, tant au niveau provincial que fédéral, exposent clairement la ligne de conduite des organisations. Elle englobe dix grands principes, qui résument assez bien les responsabilités des entreprises en la matière : imputabilité, publication du but de la collecte de renseignements, obtention du consentement du propriétaire, limitation de la collecte aux renseignements essentiels, limitation de l'usage des renseignements obtenus, exactitude des renseignements, protection des renseignements, disponibilité vis-à-vis des propriétaires des renseignements, droit d'accès et processus de conformité.

Une adhésion fidèle à ces principes commence par cette règle d'or : les renseignements personnels n'appartiennent pas à l'entreprise, mais bien à chacune des personnes sur qui ils portent. L'organisation qui les détient en est le gardien. Elle a un droit d'usage sur ces renseignements – pourvu qu'elle en ait obtenu le consentement pertinent – mais non de propriété. Le client concerné, lui, a un droit de regard total sur eux. Il peut en tout temps exiger de savoir quels renseignements détient une entreprise sur sa personne, et les faire modifier au besoin. Pour cela, il n'a pas à fournir quelque raison que ce soit. Le refus d'une entreprise de coopérer en ce sens constitue une violation de la loi.

Retour à la page 1

Page 2 - Quatre mesures de base

Les commentaires de ce site sont propulsés par Disqus

delicious  |    Digg it  |    Diigo   |    Google  |    Technorati  |    StumbleIt  |    Yahoo!

505, Boul. René-Lévesque Ouest, bureau 1502 - Montréal, QC - H2Z 1Y7 T: (514) 876-9964 E: redaction@directioninformatique.com
© 2010 - Tous droits réservés