Intégration des programmes de confidentialité et de GI

Intégration des programmes de confidentialité et de GI

Brenda Barnhill, JD, LL.M.

Les programmes de gouvernance de l’information et les programmes de confidentialité de l’information partagent de nombreux éléments, objectifs et employés communs. De nombreuses organisations trouvent que l’intégration de la confidentialité et de la gouvernance de l’information, et la coordination de ces deux initiatives, malgré des objectifs relativement différents, peuvent réduire au minimum la duplication du travail de tous les côtés et améliorer l’efficacité dans les deux cas. Jetons un coup d’œil à certaines des similitudes et explorons comment la confidentialité et la GI peuvent s’entraider.

Exigences fondamentales du programme

Les exigences en matière de gouvernance de l’information et de confidentialité de l’information sont très similaires, bien qu’elles ne soient pas identiques. Les deux commencent par des politiques et procédures, essentiellement, l’exploitation de base des programmes et la façon dont ils fonctionnent au quotidien. En plus de ceux-ci, la gouvernance de l’information exige un calendrier de conservation des documents; un document de politique qui définit les exigences en matière de conformité légale et de tenue de dossiers d’une organisation. Des rôles de gestion des informations sont également requis, qui ont des homologues dans les rôles de confidentialité dans les programmes de confidentialité de l’information. Les deux doivent gérer les vérifications juridiques et les deux établir des cartes de données pour réaliser ces vérifications, bien que ces cartes de données soient différentes.

Comprendre la gouvernance

La gouvernance de l’information et la gouvernance de la vie privée sont également fondamentalement très similaires. Les deux nécessitent une orientation vers les utilisateurs du programme donné et certaines procédures de cette sorte. En intégrant les deux domaines, une organisation peut s’assurer que ses utilisateurs ainsi que leurs propres intérêts commerciaux sont protégés contre les mauvais acteurs et les répercussions juridiques de tous les côtés. Une politique de confidentialité et une politique de gestion de l’information solides servent de base à la gouvernance et sont appuyées par des procédures détaillées et claires pour certaines situations quotidiennes et rares, comme les politiques de confidentialité d’adhésion/de retrait ou les normes de distribution de l’information.

Bien entendu, toutes ces politiques et procédures doivent également s’harmoniser avec une variété de lois sur la protection de la vie privée des différentes nations dans lesquelles votre organisation exerce ses activités.

Rôles et responsabilités

Une structure de commande claire et un système de responsabilité sont également essentiels à la gestion des informations et aux programmes de confidentialité. Des dirigeants principaux de l’information (DPI) et des chefs de la protection des renseignements personnels gèrent l’ensemble du service et sont considérés comme responsable des divisions. Des gestionnaires et analystes des dossiers veillent à ce que les dossiers soient gérés et sécurisés en toute sécurité sur une base de politique étendue, et consignent les responsables de l’utilisation quotidienne des dossiers. De même, sur le côté de la confidentialité, il devrait y avoir des analystes de la confidentialité et des délégués qui assurent la conformité de la protection de la vie privée dans toutes ses nuances.

Ces groupes doivent également travailler avec d’autres parties de l’organisation; à savoir, les équipes juridiques qui s’assurent que l’organisation est conforme avec les lois en matière de confidentialité et de gestion des dossiers, les cadres principaux qui s’occupent de la gestion et de la coordination stratégiques au sein de l’organisation, des experts en éthique et conformité aux risques qui aident l’entreprise à gérer les questions éthiques relatives à la confidentialité et des intervenants en technologies de l’information qui pourraient être chargés de s’assurer que les dossiers électroniques, en particulier ceux qui impliquent la confidentialité, sont stockés de manière efficace et sécuritaire tout en maintenant une accessibilité appropriée.

Vérifications

Les vérifications internes des dossiers et des services de confidentialité peuvent être extrêmement utiles pour déterminer les faiblesses internes avant qu’elles ne deviennent problématiques. En cernant rapidement ces faiblesses, les pertes et les violations de la sécurité et de la confidentialité peuvent être évitées même avant qu’elles ne surviennent.

Vérifications de la gouvernance de l’information

Les vérifications de la gouvernance de l’information s’effectuent en plusieurs étapes. La première implique de déterminer le contexte de la vérification. Il s’agit de votre « instrument de mesure » : c’est l’endroit où vous définissez les normes et la nature de la vérification, ainsi que les politiques et méthodes que vous examinez. Ceci est suivi par la vérification elle-même, pour voir si les méthodes actuelles correspondent à la norme requise pour l’organisation. Ensuite, les vérificateurs doivent analyser les résultats, en notant les forces et les faiblesses du programme actuel de gouvernance de l’information, et où les politiques du programme doivent être modifiées. Les vérificateurs établissent ensuite un ensemble de stratégies d’atténuation et fournissent des recommandations pour leur mise en œuvre afin de s’assurer que les nouvelles politiques sont mises en place en douceur et avec un risque minime pour l’organisation et ceux touchés par les changements.

Vérifications de la confidentialité

Les vérifications de la confidentialité exigent plusieurs étapes, comme les vérifications de l’information qu’effectue le gouvernement. Premièrement, il faut définir le contexte de la vérification. Il s’agit d’une analyse exhaustive des lois actuelles sur la protection de la vie privée et des meilleures pratiques afin de s’assurer que la vérification permet de cerner efficacement et sans heurt les problèmes dans la politique et les programmes actuels de confidentialité. La prochaine étape consiste à effectuer une évaluation des risques liés à la confidentialité. Il s’agit d’une analyse transversale de tous les endroits où l’information est distribuée dans les cas où il existe des risques liés à la vie privée. Ensuite, il faut déterminer les catégories de confidentialité, comme les dossiers de nature mineure ou non mineure, les dossiers financiers, médicaux ou d’éducation et les renseignements qui permettent ou ne permettent pas d’identifier un individu. En cernant efficacement ces catégories et ces risques autour de ceux-ci, des plans d’action peuvent être créés pour atténuer les risques pour l’organisation et leurs sujets et clients. Le flux de données peut ensuite être cartographié; cela permet de déterminer les principaux points de vulnérabilité de la politique de confidentialité de l’organisation. Enfin, les étapes ci-dessus peuvent être liées pour déterminer où la confidentialité des renseignements est touchée par les politiques en place.

Fusion des vérifications

En combinant les vérifications, une vérification plus efficace et plus complète peut être créée, réduisant ainsi les répercussions sur les coûts et l’efficacité des deux. Les résultats peuvent ensuite être constatés ensemble, avec des problèmes distincts mis en évidence afin que les stratégies d’atténuation puissent demeurer en étroite harmonie.

Cartes de données

Le mappage des données est une méthode de détermination des risques pour les clients et les parties de votre organisation en identifiant le flux d’information, la façon dont l’information est stockée et tous les points auxquels on peut y accéder. En faisant cela, une organisation peut cerner efficacement les domaines où la confidentialité ou la sécurité de l’information pourrait être violée et peut prendre de nouvelles stratégies pour atténuer ces risques. Une carte de données complète peut comprendre :

  • Type d’information
  • Application de séries de dossiers / Classification des renseignements permettant d’identifier une personne
  • Emplacement de stockage
  • Exigences juridictionnelles pour la conservation des documents
  • Renseignements personnels saisis
  • Méthode et moyens de capture
  • Accès et contrôles d’accès
  • Système de création
  • Emplacements de stockage
  • Systèmes inter-reliés et touchés
  • Risques (comme dans une évaluation des risques liés à la confidentialité)

Formation et éducation

La formation sur les vérifications, la gestion des informations et la confidentialité de l’information doit être continue et mettre l’accent sur la bonne politique au travail. Si les gens ne sont pas instruits sur les comment et les pourquoi de la politique, ils deviennent naturellement plus faibles et plus faciles à exploiter par des individus malveillants. Une formation annuelle devrait également être créée afin que les mises à jour de l’information et de la politique de confidentialité puissent être facilement diffusées dans l’ensemble d’une organisation. Ce contenu peut également être intégré à d’autres méthodes de formation avec l’organisation, en particulier celles qui sont récemment ou initialement impliquées dans l’organisation.

Intégration de la confidentialité et de la GI

Pour que la gestion des informations et la politique de confidentialité fonctionnent, elles doivent faire partie intégrante de la culture de l’organisation, de bas en haut, et elles doivent être à la fois continues et adaptées aux besoins de l’organisation et de ceux qu’elle dessert. Les deux programmes bénéficient grandement d’être intégrés l’un à l’autre afin de consolider les faiblesses des deux parties et d’accélérer les vérifications de leurs faiblesses. Avec la bonne gestion des deux parties, les risques juridiques, financiers et informationnels de l’organisation peuvent être considérablement minimisés et réduits.

Pour en savoir plus sur l’intégration de la confidentialité et de la gouvernance de l’information, consultez ce webinaire : Webdiffusion : Intégration de la confidentialité à votre programme de GI