14 août 2019 – Le fait d’adopter des mesures de sécurité permet certes d’assurer la protection des renseignements personnels qu’un organisme public ou une entreprise privée collecte, utilise, communique et conserve. Toutefois, si ces mesures ne sont pas enchâssées dans la culture d’un organisme public ou d’une entreprise privée et qu’elles ne sont pas intégrées à la gestion quotidienne des activités d’un organisme public ou d’une entreprise privée, elles peuvent ne pas répondre à leur objectif.
Même lorsqu’elles le sont, pour pouvoir faire en sorte que cette gestion quotidienne soit des plus efficaces, il faut que tous les membres du personnel, quel que soit leur rôle au sein de l’organisme public ou de l’entreprise privée, soient sensibilisés à leurs responsabilités quant à la protection des renseignements personnels.
Cette sensibilisation contribue à la responsabilisation de chacun : la protection des renseignements personnels est, en effet, la responsabilité de tous au sein d’un organisme public ou d’une entreprise privée.
Ainsi, pour que votre organisme public ou votre entreprise privée ait une gestion responsable des renseignements personnels qu’il ou elle collecte, utilise, communique et conserve (peu importe le support et le lieu), plusieurs mesures devraient être envisagées :
- assurer la conformité de votre organisme public ou de votre entreprise privée aux lois, règlements, normes et autres directives applicables dans votre secteur d’activités. Pour ce faire :
- nommer une personne qui sera chargée de s’assurer de cette conformité et qui pourra vous informer et vous conseiller quant aux mesures à prendre en matière de protection des renseignements personnels;
- adopter et mettre en œuvre des politiques qui définissent les mesures à prendre pour le traitement et la gestion des renseignements personnels et, en plus :
- diffuser régulièrement ces politiques auprès de tous les membres de votre personnel, et ce, peu importe leur fonction;
- offrir des formations à tous les membres de votre personnel sur ces politiques;
- procéder à une évaluation des facteurs relatifs à la vie privée de vos projets, produits et services dès leur conception, mais également de façon régulière afin de minimiser les risques et de maximiser la protection des renseignements personnels que vous collectez, utilisez, communiquez et conservez;
- développer un protocole d’intervention en cas d’incident de sécurité et aviser la Commission si un tel incident se produit.