Protection des données au Québec, des experts locaux donnent leur avis (1ère partie)
Dans cette série de mon blogue, je transmettrai l’information que j’ai recueillie en interviewant certains des plus éminents chefs de file en matière de sécurité des données et de protection de la vie privée au Québec. Ces experts ont une expérience, une expertise et des titres de poste différents. Cependant, ils m’ont tous fait part de leurs réflexions sur la protection des données. Les lois sur la protection des données et de la vie privée devenant de plus en plus nombreuses et strictes, les praticiens et les dirigeants peuvent avoir du mal à se concentrer sur ce qui est vraiment important. J’ai voulu écrire cette série pour apporter de la valeur à mes collègues du domaine. En bout de ligne, il est toujours bon d’entendre ce que font les autres et, plus particulièrement, les leaders du domaine. J’espère que cette série fournira des idées qui pourront conduire à l’élaboration de meilleures politiques et pratiques dans vos organisations respectives.
Pour le premier volet de cette série, j’ai eu le privilège de discuter avec Jean-Luc Nicholson, gestionnaire de programme GRC chez Pleo, et Gulshan Kisoona, CISO chez Air Transat.
Lorsque l’on parle avec Jean-Luc, il est évident qu’il est passionné par la sécurité et la conformité. Ses réponses témoignent de son large éventail de compétences et de son expérience dans le secteur. Je lui ai demandé quel était l’incident de confidentialité le plus courant qu’il voyait au quotidien et il m’a répondu qu’il s’agissait généralement d’employés qui jouaient avec les données. “Ce n’est pas parce qu’ils sont autorisés à y accéder qu’ils peuvent en faire ce qu’ils veulent. C’est l’incident le plus frustrant et le plus courant que je vois au quotidien”.
En guise de suivi, je lui ai demandé quel contrôle il recommandait de mettre en œuvre : “La cartographie des données”, a-t-il répondu sans hésiter. “Il est difficile de mettre en œuvre et de surveiller les contrôles lorsque personne ne sait ce que nous avons, où nous l’avons et comment nous le conservons. Prendre le temps de documenter correctement un inventaire de données et de le tenir à jour permet d’éviter bien des tracas en fin de compte”. M. Gulshan, connu pour son expérience impressionnante dans ce domaine, a ajouté qu’il s’agit rarement de contrôles spécifiques, mais plutôt de leur portée”. Il a souligné qu’en raison de la quantité d’informations, de systèmes et d’applications, il y a toujours un risque qu’un contrôle ait des angles morts.
Comme nous le savons, il est désormais obligatoire d’avoir un Responsable de la protection des renseignements personnels (RPRP) pour la plupart des organisations opérant au Québec. Qu’est-ce qui fait un bon RPRP? Jean-Luc a une opinion très rationnelle sur le sujet : “Tout est dans les compétences de communication. Un bon professionnel de la protection de la vie privée doit savoir communiquer les raisons pour lesquelles nous devons protéger les données. Si les employés ne se sentent pas concernés ou n’en voient pas l’intérêt, ils ne prendront pas la peine de respecter les contrôles et les directives que nous mettons en place, ou ils les contourneront s’ils les jugent inutilement restrictifs. Cela vaut aussi dans l’autre sens : il est important de savoir écouter et lire entre les lignes. J’ai découvert un grand nombre de violations accidentelles et de mauvaises habitudes en discutant simplement avec mes collègues et en comprenant ce qu’ils font réellement. Personne ne vous dira : “Je suis en train de violer RGPD”. Vous devez en quelque sorte le découvrir vous-même”. Gulshan a ajouté que “le RPRP devrait collaborer étroitement avec les unités opérationnelles afin de comprendre leurs besoins en matière de données et d’élaborer une stratégie visant à garantir que ces données peuvent être utilisées pour la prise de décision”.
En guise de conclusion, Gulshan et Jean-Luc ont tous deux mentionné que la culture peut être le plus grand obstacle ou le plus grand facilitateur. Il est indispensable que les équipes chargées de la sécurité et de la protection de la vie privée travaillent main dans la main pour protéger les données. La conformité ne peut être appliquée sans la technologie appropriée, et la technologie sans conformité n’a pas de cerveau.
