L’adoption de règles telles que celles que propose le projet de loi fédéral C 27 et celles que prescrit la Loi 25 du Québec amène les entreprises à devoir se familiariser davantage avec le cycle de vie de leurs données et les lacunes qui pourraient engendrer un risque d’atteinte à la sécurité des renseignements personnels. Un tel exercice de familiarisation revêt un caractère particulièrement essentiel dans les entreprises aux opérations complexes où les données alimentent de multiples bases de données, plateformes et systèmes qui sont exploités en concomitance. En pareilles situations, la surveillance des informations peut s’avérer particulièrement difficile, surtout si les équipes travaillent en vase clos.
Et les retombées négatives susceptibles d’en découler ne sont pas limitées à une seule composante organisationnelle. L’application de pratiques de protection des renseignements personnels déficientes peut engendrer des répercussions considérables sur de nombreux secteurs opérationnels. La conformité des entreprises qui ne peuvent pas s’appuyer sur un processus de mappage de données efficace, la pleine coopération de l’ensemble de leurs parties prenantes et un plan exhaustif axé sur le respect des normes réglementaires risque d’être compromise. Les répercussions susceptibles d’en découler peuvent entraîner des difficultés, notamment des pénalités réglementaires élevées et de coûteuses atteintes à la réputation.
La collaboration en équipe peut favoriser le renforcement des programmes, des politiques et des processus de protection des renseignements personnels.
L’application d’une méthode de collaboration croisée Agile s’avère essentielle pour établir un plan de gestion de la protection des renseignements personnels et promouvoir une culture du respect de la confidentialité. La centralisation de l’expertise en la matière au sein d’une équipe de protection des renseignements personnels privilégiant la collaboration interne et externe – et dont les services de soutien reposent sur des technologies, des plateformes et des outils adéquats – peut aider les entreprises à savoir à quoi s’en tenir au juste.
Pour effectuer un travail véritablement efficace, les responsables des données doivent toutefois pouvoir compter sur le soutien de toutes les parties prenantes, à chacune des étapes du processus de traitement des renseignements personnels de l’entreprise. Les fonctions cybersécurité, TI, RH et marketing sont notamment appelées à y prendre part. Qu’il s’agisse d’établir un cadre de gouvernance, d’assurer la traçabilité des données à l’échelle de nombreux systèmes ou de mettre en place des politiques et des contrôles, chacun de ces groupes doit faire valoir ses propres priorités. En travaillant en collaboration, les équipes interfonctionnelles peuvent redéfinir les exposés narratifs désuets à l’appui des anciens modèles en place, en vertu desquels la protection des renseignements personnels serait censée relever des services juridiques et la protection de la marque, de la fonction marketing, par exemple.
Les unités fonctionnelles qui opèrent en équipe unifiée acquièrent la capacité de mettre en commun des connaissances essentielles et de tirer mutuellement parti de leurs expériences. Une telle approche favorise le déploiement de stratégies de réduction des risques plus efficaces, l’optimisation des ressources et l’adoption à l’échelle organisationnelle des changements de comportements nécessaires pour s’adapter à l’évolution des exigences de protection des renseignements personnels. L’ingénieur en protection des renseignements personnels peut agir en tant qu’agent de cohésion favorisant la collaboration entre ces multiples intervenants, en adaptant les règles de protection des renseignements personnels en fonction des besoins opérationnels et des outils pouvant contribuer à l’automatisation du programme de l’entreprise en la matière.
L’automatisation des bons processus peut se traduire par un renforcement des pratiques de gestion de la protection des renseignements personnels et une croissance des bénéfices nets.
Nous sommes conscients que le monde traverse un important cycle de perte de confiance5. En termes simples, le monde a pu prendre pleinement conscience de la mesure de la dangerosité de la mésinformation, de sorte que la confiance est devenue l’étalon de valeur ultime pour les clients6. La protection des données permet de renforcer la confiance des parties prenantes. Pour acquérir de telles connaissances, il faut y consacrer le temps et les ressources nécessaires, utiliser des outils d’exploration de données configurés de façon optimale et, surtout, appliquer un cadre de travail bien défini mettant harmonieusement en corrélation de telles activités et de telles capacités.
L’intégration efficace des outils de gestion des données et des outils de gouvernance au processus d’opérationnalisation des programmes de protection des renseignements personnels favorise la simplification des processus, la réduction des redondances et l’élimination de la compétition entre les ressources. Par exemple, l’exploitation d’un système de soutien à la gouvernance, à la gestion des risques et à la conformité (GRC) ou d’un système de gestion intégrée des risques (IRM) peut favoriser la réalisation de gains d’efficacité dans la gestion d’un registre des risques d’atteinte à la vie privée ou le traitement des considérations en matière de risques associées aux relations avec des tiers. Dans le même ordre d’idées, le recours à un outil d’exploration de processus peut s’avérer utile, en permettant de repérer des possibilités d’accroître l’agilité des processus de protection des renseignements personnels, de réduire les coûts et d’harmoniser les activités avec les attentes des autorités de réglementation.
L’adoption d’une telle approche permet aux équipes interfonctionnelles de repérer les possibilités d’automatisation des tâches relatives à la protection des renseignements personnels et de libérer ainsi des ressources qui peuvent consacrer plus de temps à d’autres initiatives stratégiques. Qu’en est‑il au quotidien?
Pensez au système de gestion des demandes de dépannage de votre service de soutien informatique. Lorsqu’un employé soumet une demande de dépannage, il est possible qu’il déclenche l’exécution de tâches de protection des renseignements personnels, telles que la soumission, la gestion et le traitement d’une demande individuelle d’exercice du droit à la vie privée. Le même système peut servir au déclenchement et à la gestion des flux de tâches d’évaluation des répercussions qui en découlent sur le plan de la protection des renseignements personnels.
Les ingénieurs en protection des renseignements personnels jouent un rôle essentiel, en établissant un lien entre ce système et le programme de protection des renseignements personnels instauré par l’entreprise, ainsi qu’en faisant en sorte que celle‑ci puisse s’attaquer efficacement aux défis que pose l’impératif de protection de ces renseignements.L’ingénierie de la protection intelligente des renseignements personnels peut permettre de configurer des solutions adaptées spécifiquement au modèle opérationnel de votre entreprise, de sorte que celle‑ci puisse réaliser des gains d’efficacité opérationnelle considérables et bénéficier d’un excellent soutien au renforcement et à la préservation de la confiance.
Comment les ingénieurs en protection des renseignements personnels peuvent‑ils aider les entreprises à tirer parti de l’automatisation dans une optique d’amélioration de la gestion de la protection des renseignements personnels?
1. Prenez conscience de la valeur associée à la protection des renseignements personnels. La protection des renseignements personnels est un volet essentiel de la stratégie que les entreprises peuvent mettre en œuvre pour se démarquer. La protection adéquate des renseignements personnels et de l’exercice du droit d’accès à ceux ci favorise le renforcement, le rétablissement ou le maintien de la confiance. Les ingénieurs en protection des renseignements personnels qui adoptent cette vision des choses et s’en servent de façon à obtenir l’adhésion des parties prenantes à l’échelle organisationnelle peuvent contribuer à libérer le véritable potentiel associé à la protection des renseignements personnels en tant qu’avantage concurrentiel.
2. Validez votre connaissance des activités de traitement des renseignements personnels. Toute entreprise doit savoir quels sont les types de renseignements personnels qu’elle est appelée à traiter, de façon à être en mesure de confirmer qu’elle les détient seulement pour les fins légitimes auxquelles les personnes concernées ont consenti – et ce, strictement pour la période de détention requise – et que ces renseignements sont protégés contre l’exposition à des risques éventuels et gérés de manière à permettre à ces personnes de faire respecter leur droit à la vie privée. Les ingénieurs en protection des renseignements personnels peuvent aider les entreprises, en recourant aux systèmes d’information en place et en les couplant à de nouveaux outils spécialisés aux fins de la génération de stocks de renseignements personnels exacts et à jour grâce auxquels l’équipe de protection des renseignements personnels pourra repérer les éléments de données dont la protection est requise et à l’égard desquels le droit à la vie privée est susceptible d’être évoqué.
3. Repérez les composantes de votre programme de protection des renseignements personnels qui doivent être automatisées. Les entreprises doivent recenser leurs activités à haut risque, de même que les opérations dont le volume est élevé ou qui s’avèrent particulièrement complexes. Les ingénieurs en protection des renseignements personnels peuvent y aller de leur contribution en combinant une approche fondée sur les risques et une orientation vers les expériences clients. Ces leaders peuvent ainsi repérer les activités clés dont l’automatisation permet de réduire les risques, les coûts et la complexité opérationnelle, tout en libérant des ressources humaines, de sorte qu’elles puissent se concentrer sur d’autres façons de préserver ou de renforcer la confiance. Grâce à la mise en œuvre des projets d’automatisation proposés par un ingénieur en protection des renseignements personnels, le temps et les ressources nécessaires à l’exécution des activités de gestion de la protection de ces renseignements pourraient être réduits, de sorte que l’entreprise puisse répondre aux exigences en la matière avec une plus grande agilité.
4. Recensez les outils permettant de répondre aux besoins relevés. Une fois que vous saurez quelles sont les activités à automatiser, vous devrez déterminer quels outils peuvent favoriser l’obtention d’un maximum de retombées positives. L’analyse et la validation en bonne et due forme des besoins de l’entreprise représentent un volet important de ce processus. Les ingénieurs en protection des renseignements personnels peuvent montrer la voie à suivre, en cherchant des plateformes de gestion de la protection des renseignements personnels prêtes à l’emploi, ainsi que d’autres outils pouvant être adaptés pour faciliter l’automatisation des activités en la matière. Pour bien faire les choses, ils doivent déterminer quels outils existants peuvent aussi être appliqués ou réaffectés, et ce, préalablement à l’intégration de nouvelles solutions.
5. Concevez et orchestrez votre modèle. Une fois que les outils permettant d’automatiser une ou plusieurs activités de gestion de la protection des renseignements personnels ont été sélectionnés, l’ingénieur en protection des renseignements personnels peut travailler à l’harmonisation de l’écosystème, de sorte qu’en plus de se soutenir mutuellement ces outils communiquent avec la même solution ou avec d’autres solutions assurant la prise en charge de l’exploitation du modèle de gestion globale des risques de l’entreprise.