Confidentialité des données pour le professionnel de l’information – Commencer

Confidentialité des données pour le professionnel de l’information – Commencer

John Montaña

Si vous êtes dans l’espace de gouvernance de l’information ces jours-ci, dans pratiquement n’importe quel rôle, vous entendez beaucoup parler de la confidentialité des données. Et à moins que votre organisation soit bien en avance à ce sujet, ou si en retard que vous ne savez même pas qu’il s’agit d’une préoccupation, il y a probablement beaucoup de discussion sur ce que vous devriez faire pour amener votre organisation à niveau en matière de confidentialité des renseignements.

La confidentialité n’est jamais un sujet ponctuel

Il y a de bonnes discussions à mener, mais ce faisant, n’oubliez pas que la confidentialité des renseignements n’est pas un acte unique, quelque chose que vous faites ou mettez en œuvre, pour ensuite l’oublier. La confidentialité est plutôt une position philosophique que vous devez adopter, ce qui générera des résultats dans une vaste gamme de processus, de technologies et de répertoires de données. Certains sont des processus et des documents standard, comme la conservation des dossiers et les programmes de rétention. Mais bien d’autres, comme la nécessité de fournir des divulgations, d’obtenir des autorisations avant de recueillir des données personnelles et de définir des périodes de rétention, peuvent être nouveaux pour votre organisation et vous obligeront peut-être à développer des processus inconnus et à mettre en œuvre des outils nouveaux ou révisés.

En s’attaquant à ce problème intimidant, il est important de comprendre que la confidentialité des renseignements n’est pas par quelque chose d’uniforme. Les résultats que vous devrez atteindre sont dictés par les lois et ce que ces lois exigent varie beaucoup. Donc, si vous faites des affaires en Europe, vous êtes confronté à un paysage de confidentialité très différent de celui des États-Unis. Mais même aux États-Unis, le mélange particulier des états dans lesquels vous faites des affaires présente un assortiment de lois en matière de confidentialité qui varient d’un État à l’autre. Ces jours-ci, il est tentant de supposer que, aux États-Unis, la California Consumer Privacy Act (CCPA) est la seule possible, mais ce serait une erreur. De nombreux autres États ont adopté des lois en matière de confidentialité et beaucoup d’autres sont en cours de préparation. Non seulement il s’agit d’un paysage complexe, mais ce dernier évolue.

Même l’Union européenne, avec son Règlement général sur la confidentialité des données (RGPD), qui était censé offrir des règles du jeu équitables dans les pays de l’UE, est un amalgame complexe de règles et de règlements que les organisations doivent respecter.

Principes de confidentialité des données

Cela dit, il existe des principes généraux à garder en tête qui servent de cadre pour pratiquement toutes les lois en matière de confidentialité :

  • Si cela peut être relié à un être humain en particulier, il s’agit de renseignements personnels. Certaines lois en matière de confidentialité contiennent de longues listes de renseignements spécifiques considérés comme personnels, mais bon nombre d’entre elles, y compris la CCPA et le RGPD, sont beaucoup plus vastes et plus générales− et le paysage change constamment. Ce n’est donc pas une bonne idée de supposer que tel ou tel renseignement personnel ne vous concerne pas.
  • Moins, c’est plus, et moins, c’est mieux. Si vous n’avez pas besoin de quelques renseignements personnels, ne les recueillez pas en premier lieu. Si vous en aviez besoin et que vous avez fini de vous en servir, éliminez-les. Cette notion de minimisation des données − réduire le nombre de renseignements personnels en votre possession − est un principe central de toutes les lois en matière de confidentialité. Et par implication, cela vous indique que vous devez avoir et appliquer un programme de rétention de documents, le véhicule par lequel vous éliminer les anciens renseignements.
  • En cas de doute, divulguez et demandez. Vous n’avez pas toujours à divulguer la raison pour laquelle vous recueillez des renseignements personnels et vous n’avez pas toujours besoin de demander l’autorisation de procéder à une telle collecte. Mais si la permission est obligatoire et que vous ne vous conformez pas, vous pourriez faire une erreur très coûteuse. Il n’y a jamais de mal à divulguer et à demander. À défaut d’autre chose, c’est bien sur le plan des relations publiques donc, à moins que vous soyez absolument sûr de ne pas en avoir besoin, demandez.
  • Personne ne devrait les voir à moins d’en avoir besoin. La confidentialité consiste à garder les secrets, et ce n’est pas si secret si tout le monde dans votre organisation peut lire ces renseignements. S’ils peuvent y accéder maintenant, cela doit cesser.

Bien sûr, la mise en œuvre de ces principes simples est extrêmement compliquée. Dans les prochaines publications, nous examinerons les détails visant à savoir où exactement vous pouvez faire face à ce défi, et comment le relever. Entre-temps, jetez un coup d’œil au sein de votre organisation et demandez à quel point ces principes sont mis en œuvre en ce moment. Si vous constatez des lacunes, vous avez des points de départ évidents pour votre nouvelle initiative de confidentialité.

Pour en savoir plus sur l’application des principes de confidentialité des données à la rétention, consultez cet enregistrement de webdiffusion :
Confidentialité et rétention au XXIe siècle : ce n’est pas le calendrier de conservation de votre grand-père