Tendances de risque en 2024 et par la suite : Confidentialité et gouvernance des données

En septembre 2022, le Québec a adopté une série de règles contraignantes dont les effets seront palpables dans tout le Canada d’ici quelques années. La Loi 25 prévoit de nombreuses dispositions et sanctions qui vont bien au-delà des exigences de Loi sur la protection des renseignements personnels et les documents électroniques fédérale. Elle n’a d’égal que le Règlement général sur la protection des données de l’Union européenne, consensuellement tenu pour être le texte de référence en la matière.

Déjà, la Loi 25 fait sentir ses effets au-delà des frontières québécoises, car elle s’applique à toutes les organisations – canadiennes comme étrangères – faisant des affaires au Québec ou stockant, sur les résidents du Québec, des renseignements permettant de les identifier. Vu la tendance au resserrement des contrôles et à plus de transparence concernant les renseignements de cette nature, c’est une question de temps avant que les autres législatures canadiennes n’emboîtent le pas.

Pour les organisations qui misent sur les données pour formuler des avis critiques et déceler des occasions d’affaires, chaque resserrement réglementaire vient avec son lot de défis et de possibilités. Elles devront revoir dans le détail leurs politiques et procédures de collecte, d’utilisation et de partage de ces données. Elles devront aussi composer avec les réglementations nombreuses et parfois dissemblables en vigueur sur les territoires où elles brassent des affaires. Enfin, elles devront se montrer plus ouvertes quant aux manières et aux raisons de collecter des données et à l’identité des parties avec qui elles les échangent – de quoi susciter des discussions difficiles.

Bien des organisations déploreront la facture potentiellement salée de l’embauche de nouveaux directeurs de la confidentialité, de l’émondage de programmes d’analyse n’ayant qu’un lien distant avec les raisons pour lesquelles les données ont été collectées, de l’instauration de stratégies additionnelles garantes de conformité réglementaire, et enfin de toute amende qu’elles pourraient devoir acquitter.

Simultanément, on notera que les usagers sont bien plus conscients qu’autrefois de la valeur de leurs données pour les organisations et des risques associés à leur partage. L’avantage concurrentiel passe donc aux entités capables d’expliquer quand, comment et pourquoi elles utiliseront des renseignements permettant d’identifier des personnes, mais aussi par quels mécanismes elles protègeront ces informations.

Questions importantes à vous poser

• Avez-vous la certitude que les données privées et confidentielles sont stockées dans un lieu sécurisé et soumis à des contrôles d’accès suffisants?
• Comprenez-vous quelles lois sur la confidentialité s’appliquent à votre organisation et ce que vous devez faire pour vous y conformer?
• Votre organisation a-t-elle répertorié tous les lieux où elle stocke des données critiques et les modalités de circulation de celles-ci entre systèmes et entre territoires?
• Savez-vous si vos données privées et confidentielles ont vu leur intégrité ou leur segmentation être atteintes lors de leur migration vers un nouveau système informatique (comme le nuage)?
• Un tiers pourrait-il réussir à s’introduire dans vos données critiques?
• Votre organisation a-t-elle adopté une politique d’utilisation d’outils d’IA comme ChatGPT et de gestion des renseignements confidentiels ou permettant d’identifier une personne?

Signaux d’alerte

• Incapacité d’isoler les renseignements permettant d’identifier une personne ni les données confidentielles
• Aucune formation ni politique liée à la gouvernance et à la protection des données
• Politique d’utilisation des outils d’IA comme ChatGPT inexistante
• Décisions ou évaluation des risques peu orientées par l’analyse des données, car ces données sont privées et confidentielles
• Historique de failles de sécurité

Audits internes à considérer