Privacy By Design dans les systèmes d’information; La démarche de l’ICO

Privacy By Design (PbD) ou  Protection intégrée de la vie privée (PIVP) est un concept développé par Docteure, alors, Commissaire à la vie privée de l’Ontario.

Deuxième partie.  Voir notre précédent article: Privacy By Design dans les systèmes d’information (28 juin 2016).

Les recommandations pour intégrer Privacy by Design dans les systèmes d’information

L’intégration de la notion de la protection de la  vie privée dans les systèmes d’information a  été ces dernières décennies une préoccupation majeure pour les personnes intervenant dans le domaine.  Au Canada, la  Docteure Ann Cavoukian, Commissaire à la vie Privée de l’Ontario, promoteure du concept, a dans différents documents montré comment le respect de la vie privée peut être intégré dans différents systèmes.  Un exemple concerne les systèmes RFID pour lesquels elle a proposé l’ajout d’un bouton On/Off qui pourrait donner aux utilisateurs le choix  de permettre que leurs données personnelles présentes sur leurs dispositifs RFID peuvent être accédés à distance ou non. Elle en a fait de même en soulevant les risques concernant la  protection des renseignements personnels dans l’utilisation des équipements sans-fil et elle a démontré les possibilités d’intégration du concept de protection de la vie privée dans le Smart Grid.

 Faye-Enide OmbreLa démarche de l’ICO

En proposant sa démarche, l’ICO présente Privacy By Design comme un facteur devant faire partie intégrante du cycle de vie des systèmes.  Pour y parvenir, les points suivants sont proposés :

  1. Engager le haute direction
  2. Planifier les systèmes pour l’intégration de Privacy by design
  3. Prendre en compte le partage de l’information
  4. Développer des standards de respect de la vie privée
  5. Faire la promotion des PET’s
  6. Gérer la conformité à la vie privée
  1. Engager le haute direction

L’engagement de la haute direction constitue l’un des déterminants du succès de toute activité de l’organisation.  Cela est vrai tant pour la Fonction Publique que pour les institutions privées.  En faisant une bonne promotion du concept de Privacy By Design par une sensibilisation réussie auprès  de la haute direction, on s’assure que l’idée de protection de la vie privée sera communiquée  plus facilement à l’intérieur de l’organisation et cela chez les  membres du personnel, à tous les niveaux. Pour parvenir à la sensibilisation de la haute Direction, on devra lui démontrer ses responsabilités par rapport à la protection de la vie privée.  On devra aussi lui démontrer les bénéfices à tirer de la conformité et les coûts associés tant à la conformité qu’à la non-conformité, en faisant ressortir les avantages de la première.  On devra aussi mettre en place un vocabulaire compréhensible que la haute direction pourrait facilement s’approprier quand il sera question de traiter de la protection de la vie privée.

  1. Planifier les systèmes pour l’intégration de Privacy by Design

La planification des systèmes pour l’intégration du Privacy By Design permettra d’avoir dans les organisations un cadre structuré de procédures et de technologies permettant la mise en place des politiques et standards favorisant cette intégration.  L’un des facteurs déterminants pour la réalisation de ce cadre et le Privacy Impact Assessment, PIA.  La réalisation du PIA permettra  d’indiquer que l’organisation est consciente des risques relatifs à la vie privée auxquels elle est exposée.  Elle permettra de plus de définir l’appétence aux risques de l’organisation, c’est-a-dire le niveau de non-conformité qu’elle est prête à accepter sans mettre en danger son fonctionnement eu égard à la protection de la vie privée.  La planification de l’organisation ou l’entreprise pour l’intégration du Privacy By Design suppose donc  qu’elle ait intérêt à encourager la mise en place  à haut niveau de telles politiques relatives à la vie privée.

  1. Prendre en compte le partage de l’information

Le partage de l’information doit se faire dans un cadre permettant aux individus d’avoir la confiance que la communication de leurs renseignements personnels est faite dans des conditions qui respectent  leur vie privée.  Ils doivent ainsi être au courant des personnes détentrices de leurs informations et ils doivent aussi avoir le droit de les consulter et d’en demander correction.  Pour arriver à cet environnement de confiance, les gouvernements, les régulateurs, l’industrie et les universités doivent mettre leurs efforts en commun pour la mise en  place de standards  entourant le partage des informations personnelles.  Cela se fera notamment par la formalisation des approches pour la collecte et la gestion des informations et le développement des procédures relatives à l’échange des informations personnelles dans le cadre du Privacy Impact Assessment.  Des contrôles de sécurité touchant le partage de informations personnelles doivent aussi être mis en place.

  1. Développer des standards de respect de la vie privée

Actuellement  des standards reliés à la protection de la vie privée n’existent pas au niveau international. Les efforts des gouvernements, des régulateurs, de l’industrie et des universités doivent aussi converger dans ce sens. Cela permettrait aux organisations et aux entreprises d’avoir ces standards comme points de repère pour opérer de façon conforme  au respect de la vie privée comme cela est actuellement possible en ce qui concerne la sécurité.

  1. Faire la promotion des PET’s

Les Privacy Enhanced Tools, PET’s constituent des outils de prise en compte de la protection de la vie privée de façon intrinsèque dans les applications et les systèmes.  Pour l’intégration du Privacy By Design, leur recommandation sera donc d’un apport important.  Cela permettra la consolidation du marché de ces outils et leur reconnaissance effective comme support à la protection des données personnelles dans l’industrie. Il en résultera aussi l’adoption de ces outils par les entreprises dans les cas appropriés.

  1. Gérer la conformité à la vie privée

La gestion de la conformité à la vie privée mettra en œuvre les mesures à prendre par les gouvernements et les régulateurs pour permettre l’application des règlements par toutes les entités concernés par la protection des renseignements personnels.  Ces entités sont les gouvernements, les organisations, les entreprises ou toute personne physique et morale intervenant dans  la collecte, le stockage, la gestion et la communication d’informations contenant des renseignements personnels.  Des règlements seront mis en place établissant un cadre favorable à la reddition de compte et à la réparation des torts causés à autrui par l’utilisation non-conforme de leur informations personnelles.

 

A suivre. Voir la troisième et dernière partie :  Privacy By Design dans les systèmes d’information; Les sept principes du PbD.

Author: Lyonel Vallès, CISM, CISA, CRISC

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *