La Journée internationale de protection des données personnelles est une initiative européenne célébrée le 28 janvier de chaque année. À l’instar de plusieurs autres autorités de protection des renseignements personnels au Canada et à travers le monde, la Commission souligne cette journée.
À cette occasion, la Commission entend rappeler aux organismes publics et aux entreprises l’importance de protéger les renseignements personnels tout au long de leur cycle de vie.
Il incombe, en effet, aux organismes publics et aux entreprises de veiller au respect et à la mise en œuvre des obligations énoncées, d’une part, dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et, d’autre part, dans la Loi sur la protection des renseignements personnels dans le secteur privé.
Parmi ces exigences, on retrouve notamment l’obligation pour un organisme public ou une entreprise de « prendre les mesures de sécurité propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits et qui sont raisonnables compte tenu, notamment, de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support ».
Dès lors, un organisme public ou une entreprise doit notamment adopter des dispositifs visant à protéger l’environnement de travail ou encore l’équipement. Il doit également instaurer des protocoles d’accès, d’utilisation et de sécurité. Il doit former et sensibiliser son personnel à la protection des renseignements personnels.
Ces mesures doivent régulièrement être mises à jour pour éviter tout incident. En effet, comme le rapporte fréquemment l’actualité, en matière de sécurité, le « risque zéro » n’existe pas. Les organismes publics et les entreprises ne sont pas à l’abri d’incidents pouvant conduire, par exemple, à l’oubli de documents contenant des renseignements personnels dans un lieu public, à l’envoi au mauvais destinataire de correspondances d’affaires, à la conservation non sécuritaire de matériel contenant des renseignements personnels ou carrément à la perte et au vol de documents ou de support informatique.
Face à une telle situation, un organisme public ou une entreprise doit réagir rapidement afin de circonscrire l’incident et en limiter les conséquences. Il doit également informer les personnes dont les renseignements personnels sont visés par un tel incident afin qu’elles puissent prendre les mesures nécessaires pour en minimiser les effets. Une déclaration d’incident peut également être transmise aux services de police ou encore à la Commission.
Pour aider les organismes publics et les entreprises à mieux gérer les incidents de sécurité, la Commission propose un Aide-mémoire faisant état des principales étapes à suivre lors d’une perte ou d’un vol de renseignements personnels :
La Commission profite également de cette journée pour rappeler aux citoyens que la sécurité est l’affaire de tous. Elle leur recommande donc de protéger leurs renseignements personnels en tout temps. Et, advenant le vol ou la perte de leurs cartes bancaires, de leur permis de conduire, de leur carte d’assurance sociale ou maladie, par exemple, elle les incite à prendre des mesures pour en limiter les conséquences.
À cet effet, la Commission met à leur disposition un Aide-mémoire pour les aider à réagir adéquatement face à un vol ou une perte de renseignements personnels :
Pour toutes autres informations sur les obligations des organismes publics et des entreprises ou sur les droits des citoyens en matière de protection des renseignements personnels, la Commission vous invite à naviguer dans les différentes sections de son site Internet.