Automatiser la gestion de la protection des renseignements personnels pour renforcer la confiance et acquérir un avantage concurrentiel

Avec l’adoption prochaine des projets de lois sur la protection des renseignements personnels attendus depuis longtemps, les entreprises canadiennes qui mettent l’accent sur l’exploration collaborative des données et qui mettent l’accent sur les projets d’automatisation se trouveront avantagées.


En bref

  • Tandis que l’adoption tant attendue de projets de loi sur la protection des renseignements personnels se profile à l’horizon, les entreprises canadiennes qui se concentrent sur la gestion des données en collaboration croisée et accordent la priorité à leurs projets d’automatisation peuvent acquérir un avantage concurrentiel.
  • Les ingénieurs en protection des renseignements personnels peuvent aider les entreprises à libérer ce potentiel en appliquant dès maintenant cinq mesures clés. 

Dans le contexte de l’adoption prochaine de la Loi 25 du Québec et du projet de loi fédéral C 27, le Canada est à l’aube d’une transformation des modalités de gestion et de protection des renseignements personnels de ses citoyens. Mais l’adoption de lois en la matière ne suffit pas. Les équipes responsables de la gouvernance, de la sécurisation et de la protection des données devront œuvrer de façon proactive au décloisonnement des activités opérationnelles et travailler en collaboration, de façon à assurer la protection efficace des renseignements personnels et à réduire les risques d’atteinte à la sécurité des données.

Pour ce faire, les entreprises doivent commencer par se familiariser avec l’emplacement des sources de données, la façon dont ces dernières circulent dans les divers processus organisationnels, les tiers qui participent à leur gestion et les détenteurs des droits d’accès requis. Les ingénieurs en protection des renseignements personnels ont un rôle déterminant à jouer en générant de telles informations et en donnant aux équipes les outils dont elles ont besoin pour mettre en œuvre des mesures et des processus de protection des renseignements personnels efficaces.

 

Incidence considérable de la transformation numérique et de l’exploitation des données sur les activités  opérationnelles

 

Actuellement, les utilisateurs d’Internet représentent 64 % environ de la population mondiale1.On prévoit que, d’ici à 2030, neuf personnes sur dix âgées de plus de six ans seront actives sur les plateformes numériques2. Dans ce contexte, les entreprises doivent mettre en œuvre des programmes de protection des renseignements personnels qui sont conformes aux dispositions réglementaires applicables, tout en contribuant à renforcer et à préserver la confiance des consommateurs.

 

Les entreprises peuvent ainsi accroître leurs bénéfices nets. En fait, une étude révèle que 97 % des entreprises qui investissent dans un programme de protection des renseignements personnels en tirent divers avantages concrets qui vont au delà de ceux que confère le respect des exigences de conformité, dont un avantage concurrentiel3. Dans le cadre d’une autre étude, 40 % des entreprises participantes ont affirmé que la valeur des avantages obtenus représente au moins le double de la valeur des dépenses qu’elles ont consacrées à leurs initiatives de protection des renseignements personnels4. Les entreprises qui déploient des efforts moindres risquent de miner leur capacité de rester concurrentielles, surtout si elles n’ont pas déjà commencé à s’adapter au resserrement des exigences réglementaires et à l’intensification des pressions exercées par les consommateurs qui exigent plus de transparence.

L’adoption de règles telles que celles que propose le projet de loi fédéral C 27 et celles que prescrit la Loi 25 du Québec amène les entreprises à devoir se familiariser davantage avec le cycle de vie de leurs données et les lacunes qui pourraient engendrer un risque d’atteinte à la sécurité des renseignements personnels. Un tel exercice de familiarisation revêt un caractère particulièrement essentiel dans les entreprises aux opérations complexes où les données alimentent de multiples bases de données, plateformes et systèmes qui sont exploités en concomitance. En pareilles situations, la surveillance des informations peut s’avérer particulièrement difficile, surtout si les équipes travaillent en vase clos.

Et les retombées négatives susceptibles d’en découler ne sont pas limitées à une seule composante organisationnelle. L’application de pratiques de protection des renseignements personnels déficientes peut engendrer des répercussions considérables sur de nombreux secteurs opérationnels. La conformité des entreprises qui ne peuvent pas s’appuyer sur un processus de mappage de données efficace, la pleine coopération de l’ensemble de leurs parties prenantes et un plan exhaustif axé sur le respect des normes réglementaires risque d’être compromise. Les répercussions susceptibles d’en découler peuvent entraîner des difficultés, notamment des pénalités réglementaires élevées et de coûteuses atteintes à la réputation.

La collaboration en équipe peut favoriser le renforcement des programmes, des politiques et des processus de protection des renseignements personnels.

L’application d’une méthode de collaboration croisée Agile s’avère essentielle pour établir un plan de gestion de la protection des renseignements personnels et promouvoir une culture du respect de la confidentialité. La centralisation de l’expertise en la matière au sein d’une équipe de protection des renseignements personnels privilégiant la collaboration interne et externe – et dont les services de soutien reposent sur des technologies, des plateformes et des outils adéquats – peut aider les entreprises à savoir à quoi s’en tenir au juste.

Pour effectuer un travail véritablement efficace, les responsables des données doivent toutefois pouvoir compter sur le soutien de toutes les parties prenantes, à chacune des étapes du processus de traitement des renseignements personnels de l’entreprise. Les fonctions cybersécurité, TI, RH et marketing sont notamment appelées à y prendre part. Qu’il s’agisse d’établir un cadre de gouvernance, d’assurer la traçabilité des données à l’échelle de nombreux systèmes ou de mettre en place des politiques et des contrôles, chacun de ces groupes doit faire valoir ses propres priorités. En travaillant en collaboration, les équipes interfonctionnelles peuvent redéfinir les exposés narratifs désuets à l’appui des anciens modèles en place, en vertu desquels la protection des renseignements personnels serait censée relever des services juridiques et la protection de la marque, de la fonction marketing, par exemple.

Les unités fonctionnelles qui opèrent en équipe unifiée acquièrent la capacité de mettre en commun des connaissances essentielles et de tirer mutuellement parti de leurs expériences. Une telle approche favorise le déploiement de stratégies de réduction des risques plus efficaces, l’optimisation des ressources et l’adoption à l’échelle organisationnelle des changements de comportements nécessaires pour s’adapter à l’évolution des exigences de protection des renseignements personnels. L’ingénieur en protection des renseignements personnels peut agir en tant qu’agent de cohésion favorisant la collaboration entre ces multiples intervenants, en adaptant les règles de protection des renseignements personnels en fonction des besoins opérationnels et des outils pouvant contribuer à l’automatisation du programme de l’entreprise en la matière.

L’automatisation des bons processus peut se traduire par un renforcement des pratiques de gestion de la protection des renseignements personnels et une croissance des bénéfices nets.

Nous sommes conscients que le monde traverse un important cycle de perte de confiance5. En termes simples, le monde a pu prendre pleinement conscience de la mesure de la dangerosité de la mésinformation, de sorte que la confiance est devenue l’étalon de valeur ultime pour les clients6. La protection des données permet de renforcer la confiance des parties prenantes. Pour acquérir de telles connaissances, il faut y consacrer le temps et les ressources nécessaires, utiliser des outils d’exploration de données configurés de façon optimale et, surtout, appliquer un cadre de travail bien défini mettant harmonieusement en corrélation de telles activités et de telles capacités.

L’intégration efficace des outils de gestion des données et des outils de gouvernance au processus d’opérationnalisation des programmes de protection des renseignements personnels favorise la simplification des processus, la réduction des redondances et l’élimination de la compétition entre les ressources. Par exemple, l’exploitation d’un système de soutien à la gouvernance, à la gestion des risques et à la conformité (GRC) ou d’un système de gestion intégrée des risques (IRM) peut favoriser la réalisation de gains d’efficacité dans la gestion d’un registre des risques d’atteinte à la vie privée ou le traitement des considérations en matière de risques associées aux relations avec des tiers. Dans le même ordre d’idées, le recours à un outil d’exploration de processus peut s’avérer utile, en permettant de repérer des possibilités d’accroître l’agilité des processus de protection des renseignements personnels, de réduire les coûts et d’harmoniser les activités avec les attentes des autorités de réglementation.

L’adoption d’une telle approche permet aux équipes interfonctionnelles de repérer les possibilités d’automatisation des tâches relatives à la protection des renseignements personnels et de libérer ainsi des ressources qui peuvent consacrer plus de temps à d’autres initiatives stratégiques. Qu’en est‑il au quotidien?

Pensez au système de gestion des demandes de dépannage de votre service de soutien informatique. Lorsqu’un employé soumet une demande de dépannage, il est possible qu’il déclenche l’exécution de tâches de protection des renseignements personnels, telles que la soumission, la gestion et le traitement d’une demande individuelle d’exercice du droit à la vie privée. Le même système peut servir au déclenchement et à la gestion des flux de tâches d’évaluation des répercussions qui en découlent sur le plan de la protection des renseignements personnels.

Les ingénieurs en protection des renseignements personnels jouent un rôle essentiel, en établissant un lien entre ce système et le programme de protection des renseignements personnels instauré par l’entreprise, ainsi qu’en faisant en sorte que celle‑ci puisse s’attaquer efficacement aux défis que pose l’impératif de protection de ces renseignements.L’ingénierie de la protection intelligente des renseignements personnels peut permettre de configurer des solutions adaptées spécifiquement au modèle opérationnel de votre entreprise, de sorte que celle‑ci puisse réaliser des gains d’efficacité opérationnelle considérables et bénéficier d’un excellent soutien au renforcement et à la préservation de la confiance.

Comment les ingénieurs en protection des renseignements personnels peuvent‑ils aider les entreprises à tirer parti de l’automatisation dans une optique d’amélioration de la gestion de la protection des renseignements personnels?

1.     Prenez conscience de la valeur associée à la protection des renseignements personnels. La protection des renseignements personnels est un volet essentiel de la stratégie que les entreprises peuvent mettre en œuvre pour se démarquer. La protection adéquate des renseignements personnels et de l’exercice du droit d’accès à ceux ci favorise le renforcement, le rétablissement ou le maintien de la confiance. Les ingénieurs en protection des renseignements personnels qui adoptent cette vision des choses et s’en servent de façon à obtenir l’adhésion des parties prenantes à l’échelle organisationnelle peuvent contribuer à libérer le véritable potentiel associé à la protection des renseignements personnels en tant qu’avantage concurrentiel.

2.     Validez votre connaissance des activités de traitement des renseignements personnels. Toute entreprise doit savoir quels sont les types de renseignements personnels qu’elle est appelée à traiter, de façon à être en mesure de confirmer qu’elle les détient seulement pour les fins légitimes auxquelles les personnes concernées ont consenti – et ce, strictement pour la période de détention requise – et que ces renseignements sont protégés contre l’exposition à des risques éventuels et gérés de manière à permettre à ces personnes de faire respecter leur droit à la vie privée. Les ingénieurs en protection des renseignements personnels peuvent aider les entreprises, en recourant aux systèmes d’information en place et en les couplant à de nouveaux outils spécialisés aux fins de la génération de stocks de renseignements personnels exacts et à jour grâce auxquels l’équipe de protection des renseignements personnels pourra repérer les éléments de données dont la protection est requise et à l’égard desquels le droit à la vie privée est susceptible d’être évoqué.

3.     Repérez les composantes de votre programme de protection des renseignements personnels qui doivent être automatisées. Les entreprises doivent recenser leurs activités à haut risque, de même que les opérations dont le volume est élevé ou qui s’avèrent particulièrement complexes. Les ingénieurs en protection des renseignements personnels peuvent y aller de leur contribution en combinant une approche fondée sur les risques et une orientation vers les expériences clients. Ces leaders peuvent ainsi repérer les activités clés dont l’automatisation permet de réduire les risques, les coûts et la complexité opérationnelle, tout en libérant des ressources humaines, de sorte qu’elles puissent se concentrer sur d’autres façons de préserver ou de renforcer la confiance. Grâce à la mise en œuvre des projets d’automatisation proposés par un ingénieur en protection des renseignements personnels, le temps et les ressources nécessaires à l’exécution des activités de gestion de la protection de ces renseignements pourraient être réduits, de sorte que l’entreprise puisse répondre aux exigences en la matière avec une plus grande agilité.

4.    Recensez les outils permettant de répondre aux besoins relevés. Une fois que vous saurez quelles sont les activités à automatiser, vous devrez déterminer quels outils peuvent favoriser l’obtention d’un maximum de retombées positives. L’analyse et la validation en bonne et due forme des besoins de l’entreprise représentent un volet important de ce processus. Les ingénieurs en protection des renseignements personnels peuvent montrer la voie à suivre, en cherchant des plateformes de gestion de la protection des renseignements personnels prêtes à l’emploi, ainsi que d’autres outils pouvant être adaptés pour faciliter l’automatisation des activités en la matière. Pour bien faire les choses, ils doivent déterminer quels outils existants peuvent aussi être appliqués ou réaffectés, et ce, préalablement à l’intégration de nouvelles solutions.

5.       Concevez et orchestrez votre modèle. Une fois que les outils permettant d’automatiser une ou plusieurs activités de gestion de la protection des renseignements personnels ont été sélectionnés, l’ingénieur en protection des renseignements personnels peut travailler à l’harmonisation de l’écosystème, de sorte qu’en plus de se soutenir mutuellement ces outils communiquent avec la même solution ou avec d’autres solutions assurant la prise en charge de l’exploitation du modèle de gestion globale des risques de l’entreprise.


Résumé

Le volume de données que nous produisons au Canada et à l’échelle mondiale ne pourra aller qu’en augmentant encore. L’automatisation est une approche puissante qui peut aider les entreprises à suivre le rythme d’évolution de dispositions législatives en matière de protection de la confidentialité plus exigeantes et contraignantes, tout en facilitant la transformation de leur programme de protection des renseignements personnels pour qu’il puisse répondre aux nouveaux besoins. Les ingénieurs en protection des renseignements personnels ont un rôle important à jouer, en assurant l’harmonisation des systèmes de données avec les mesures de protection des renseignements personnels, de façon à favoriser la réalisation de gains d’efficacité opérationnelle et l’obtention d’une plus grande agilité, de même que la réduction des risques et des coûts. En procédant de la sorte dès maintenant, votre entreprise pourra plus facilement renforcer la confiance qu’elle inspire, de façon à attirer de nouveaux clients et à soutenir sa croissance durable.

À propos de cet article