À plusieurs reprises depuis 2019, j'ai co-présenté un atelier sur la confidentialité et la sécurité avec une société informatique locale, qui fournit aux petites et moyennes entreprises (PME) des services informatiques gérés de haute qualité. Ils mettent en œuvre et contrôlent des garanties techniques pour leurs clients, mais si leur travail n'est pas pris en charge par un cadre de confidentialité, ils finissent souvent par faire face à des violations de données, ce qui aurait pu être évité. J'apprécie vraiment ces présentations, car elles relient la confidentialité et l'informatique pour réduire les risques, maximiser la protection des données et aider les entreprises à se développer et à réussir.

Que fait la confidentialité que la sécurité informatique ne fait pas?

La sécurité informatique protège les données - une fois que vous les avez. Ce qu'il ne fait pas, c'est examiner quelles données vous avez, comment vous les collectez, ce que vous en faites, comment vous les partagez, combien de temps vous les gardez, comment vous les détruisez ou pourquoi vous les avez collectées en premier lieu. Tout cela compte, car si votre entreprise est située en Colombie-Britannique (C.-B.) et qu'elle recueille, utilise ou divulgue Des renseignements personnels (PI), vous êtes obligé de vous conformer aux BC's Loi sur la protection des renseignements personnels.

Quelle est le Loi sur la protection des renseignements personnels (PIPA) ?

À compter de janvier 2004, le Loi sur la protection des renseignements personnels énonce les règles selon lesquelles les organisations du secteur privé peuvent collecter, utiliser et divulguer les PI des employés, des clients et des clients, et oblige les organisations à protéger et sécuriser les PI contre toute utilisation ou divulgation non autorisée.

La Commissariat à l'information et à la protection de la vie privée de la Colombie-Britannique (OIPC) assure une surveillance et une application indépendantes de la PIPA. Ses mandats comprennent l'enquête et la résolution des plaintes relatives à la protection de la vie privée et, s'il existe des motifs raisonnables de non-conformité ou si cela est dans l'intérêt public, l'ouverture d'enquêtes et d'audits d'organisations.

Que dois-je faire pour être conforme?

La conformité comprend l'engagement organisationnel, les contrôles du programme et l'examen et l'évaluation continus des contrôles du programme. Je recommande le document d'orientation de l'OIPC, Obtenir une bonne responsabilité avec un programme de gestion de la confidentialité, pour comprendre ce que vous devez faire pour vous assurer que votre entreprise est conforme.

Pourquoi devrais-je en faire une priorité?

Protéger les PI ne doit pas être simplement quelque chose que vous faites pour vous conformer à la loi. Du point de vue de l'éthique et de l'intégrité, c'est la bonne chose à faire. Les individus conservent les droits sur leur IP, même après qu'ils vous les ont fournis à des fins spécifiques. Ils comptent sur vous pour protéger leur PI - comme vous vous en doutez et s'appuient sur d'autres entreprises, qui collectent votre PI pour le protéger pour vous.

Du point de vue des risques et des coûts, les PME ont beaucoup plus à perdre des violations de données. Ils n'ont tout simplement pas les ressources financières nécessaires pour se remettre d'une brèche majeure et la capacité de survivre aux dommages causés à leur réputation, comme le peuvent les grandes entreprises.

De plus, les organisations qui développent une forte culture de la confidentialité sont mieux placées pour réduire les erreurs humaines liées aux violations, améliorer la valeur de leur marque grâce à une fidélité basée sur la confiance, se différencier de leurs concurrents et s'adapter rapidement aux changements réglementaires.

Pourquoi est-ce important maintenant?

Au Canada, la loi provinciale sur la protection de la vie privée doit être essentiellement similaire à la loi fédérale. Étant donné que le projet de loi C-11 en est à sa deuxième lecture à Ottawa et ce projet de nouvelle loi fédérale prévoyant une autorisation pour le commissaire à la protection de la vie privée de demander à tout moment l'accès au programme de gestion de la protection de la vie privée d'une organisation, vous devrez en avoir un en place. Sachant que cela peut prendre plusieurs mois pour en créer un, je vous conseille de commencer maintenant. En outre, avec tous les avantages liés à la conformité, pourquoi retarder cela alors que vous pouvez commencer à en profiter dès maintenant?

Marilyn Sing est une consultante en protection de la vie privée qui se concentre sur l'aide aux petites et moyennes entreprises pour se conformer à la Personal Information Protection Act de la Colombie-Britannique.

Inscrivez-vous au webinaire en direct et interactif de Marilyn,  Loi sur la protection de la vie privée: naviguer dans les règlements et éviter les violations le 19 juillet 2021 et apprenez les points clés de la Personal Information Protection Act (PIPA) de la Colombie-Britannique.

Ici pour aider

Quelle que soit l'étape de votre parcours professionnel, Small Business BC dispose des ressources dont vous avez besoin pour réussir en 2021. Découvrez notre gamme de webinaires d'affaires, Notre Parlez à un expert, ou parcourez notre sélection de articles d'affaires.