Écrit par Stephen D. Burns

Alors que votre organisation s’efforce de se conformer à la législation canadienne sur la protection des renseignements personnels dans le secteur privé, envisagez d’entreprendre ces quatre étapes clés et les activités qui les composent.

Première étape : Commencer

• Développez le soutien au sein de la direction de votre organisation. La conformité à la protection des renseignements personnels est une question de gouvernance d’entreprise et le soutien du conseil d’administration et de l’équipe de la haute direction est essentiel à la réussite d’un programme de conformité en matière de protection de la vie privée.
• Nommer un agent ou un gestionnaire de la protection de la vie privée. Cette personne devrait posséder les compétences en leadership nécessaires pour élaborer et mettre en œuvre le programme de conformité en matière de protection de la vie privée.
• Déterminer quelle loi s’applique : lois internationales, fédérales, provinciales ou territoriales sur la protection des renseignements personnels.

Deuxième étape : Comprendre les activités de l’organisation en matière de protection de la vie privée

• Comprendre les pratiques d’information existantes de l’organisation. Enquêter sur la façon dont l’organisation recueille, utilise, divulgue, conserve, détruit et protège les renseignements personnels. Déterminer si le consentement d’une personne est obtenu lorsque les renseignements personnels sont recueillis aux fins pour lesquelles ils sont recueillis, utilisés ou communiqués.
• Évaluer les « écarts » entre les pratiques et les exigences législatives. Comparez les activités et les pratiques actuelles de l’organisation aux exigences de la législation applicable en matière de protection de la vie privée et déterminez les « écarts » qui existent entre les pratiques de l’organisation et les exigences législatives.

Troisième étape : Élaboration et mise en œuvre de politiques et de pratiques

• Élaborer des politiques et des pratiques en matière de protection de la vie privée. Les politiques et les pratiques de l’organisation régiront ses activités de protection de la vie privée et fourniront une base pour la formation de ses employés et la communication de ses activités de confidentialité à ses clients et à des tiers.
• Élaborer un plan de mise en œuvre. Le plan de mise en œuvre devrait établir la façon dont l’organisation : obtenir le consentement des personnes pour la collecte, l’utilisation et la communication de leurs renseignements personnels; gérer l’échange de renseignements personnels avec des fournisseurs de services tiers et des associés d’affaires; gérer les changements à ses processus et à ses activités nécessaires pour combler les « lacunes » susmentionnées et mettre en œuvre les politiques et les pratiques de l’organisation en matière de protection de la vie privée; et communiquer ses politiques et pratiques en matière de protection de la vie privée aux parties internes et externes.
• Formez vos employés, vos bénévoles et vos entrepreneurs indépendants. Assurez-vous que votre organisation est prête pour l’introduction de la législation sur la protection des renseignements personnels et qu’elle comprend les politiques et les pratiques de votre organisation en matière de protection de la vie privée.
• Examiner ou conclure des ententes avec un tiers fournisseur de services ou un associé commercial. S’assurer que les ententes régissant l’échange de renseignements personnels contiennent les déclarations, les garanties, les engagements et les indemnités nécessaires en matière de protection de la vie privée pour protéger l’organisation.

Quatrième étape : Activités de conformité continues

• Gérer l’accès aux renseignements personnels. Mettre en œuvre des mécanismes pour s’assurer que l’organisation se conforme à l’exigence de la loi sur la protection des renseignements personnels selon laquelle une personne doit être en mesure d’accéder à ses renseignements personnels et de les contester. Élaborer des rapports pour consigner ces activités. S’assurer que les échéanciers applicables sont respectés.
• Gérer les plaintes relatives aux renseignements personnels. Mettre en œuvre des mécanismes pour s’assurer que l’organisation gère les plaintes du point de réception au règlement. S’assurer que les délais applicables sont respectés.
• Appliquer les politiques et les pratiques de l’organisation en matière de protection de la vie privée. Mettre en œuvre des mécanismes pour s’assurer que les politiques et les pratiques de l’organisation en matière de protection de la vie privée sont appliquées de façon uniforme et élaborer des sanctions au besoin en cas de non-conformité.
• Entreprendre des examens périodiques. Élaborer un plan d’examen périodique de la documentation, des politiques, des procédures et des systèmes afin d’en assurer la rapidité et l’exactitude.