Protection des renseignements personnels: nouvelle loi, nouvelle politique

En 5 secondes

Cinq questions au secrétaire général sur les nouvelles exigences règlementaires en matière de protection des renseignements personnels.

Le gouvernement du Québec a modernisé des dispositions législatives afin de rehausser la protection des renseignements personnels. Dans ce contexte, l’Université a adopté une politique le 26 septembre afin de se conformer à ces nouvelles exigences règlementaires. Alexandre Chabot, secrétaire général, explique les changements qu’elles impliquent pour l’Université de Montréal.

Dans un monde en pleine transformation, on parle souvent de l’importance d’acquérir de bons réflexes numériques. Comment la protection des renseignements personnels s’inscrit-elle dans cette démarche?

Le monde numérique fait maintenant partie intégrante de notre quotidien. Dans le cadre de cette transformation numérique, l’Université met en place plusieurs initiatives afin de répondre de manière responsable et créative aux besoins d’une société en mutation et pour que sa communauté acquière de bons réflexes numériques. On peut penser notamment aux campagnes de sensibilisation du groupe Réflexes numériques ou encore aux formations sur la sécurité des Technologies de l’information.

Or, avec les nouvelles exigences règlementaires liées à la protection des renseignements personnels, nous devrons apporter des changements dans nos pratiques d’affaires et dans les réflexes à développer.

Quelle sera l’incidence de ces nouvelles exigences règlementaires sur l’Université?

Ces nouvelles exigences règlementaires mettent l’usager au cœur de la démarche et visent à rehausser la protection de ses données personnelles. C’est une excellente nouvelle, compte tenu de l’évolution rapide de notre environnement technologique au cours des dernières années.

Pour répondre à ces nouvelles exigences, l’Université a formé un comité et adopté une nouvelle politique institutionnelle et une nouvelle procédure de gestion des incidents de confidentialité. La Division de la gestion de documents et des archives est aussi devenue la Division des archives et de la gestion de l’information afin de mieux refléter sa mission et de formaliser son rôle en matière de protection des renseignements personnels. Une nouvelle personne s’est jointe à l’équipe pour travailler spécifiquement sur ce dossier et accompagner les unités.


Quels sont les faits saillants de cette nouvelle politique institutionnelle?

Désormais, la collecte de renseignements personnels doit se faire auprès de la personne concernée sur la base d'un consentement manifeste, libre et éclairé. De plus, les renseignements personnels doivent être fournis à des fins précises, puis détruits ou anonymisés lorsque cet objectif a été atteint, sous réserve de règles de conservation.

La politique énonce les principes applicables aux différentes étapes du cycle de vie des renseignements personnels (collecte, utilisation, communication, conservation, destruction). Les membres de la communauté universitaire devront redoubler de vigilance pour utiliser les renseignements personnels uniquement aux fins pour lesquelles ils ont été collectés et agir avec précaution tout au long du traitement de ces données.

Il faut noter aussi que plusieurs évènements peuvent constituer un incident de confidentialité: un virus dans son ordinateur, un renseignement personnel envoyé par erreur à un mauvais destinataire, la perte de son portable… Si ce type de situation se produit, il est important que les membres du personnel le signalent à leur gestionnaire afin que l’incident soit traité selon la nouvelle procédure de l’Université, puis consigné au registre prévu à cet effet.

Quels sont les défis à venir?

Que ce soit par ses activités d’enseignement ou de recherche, l’Université est amenée à traiter un volume important de données. Un travail de recensement des nombreux processus impliquant des renseignements personnels s’est amorcé en collaboration avec les différentes unités de l’Université. Il y a une bonne réponse de la part de la communauté jusqu’à présent, mais les efforts de sensibilisation doivent se poursuivre pour que la protection des renseignements personnels soit ancrée dans notre culture organisationnelle et nos pratiques courantes, puisqu’il s’agit d’une composante clé du virage numérique de l’Université qui touche chaque membre de notre communauté.

Quelles sont les priorités pour la prochaine année?

Les nouvelles dispositions législatives entrent en vigueur progressivement afin d’aider les organisations à s’y conformer. Le programme de protection des renseignements personnels de l’Université comprendra donc plusieurs jalons dans le temps, mais l’Université accompagnera les membres de la communauté au fur et à mesure des changements.

À court terme, une formation en ligne sur la protection des renseignements personnels sera offerte à l’ensemble du personnel.

Des répondants seront aussi nommés et formés plus spécialement dans les différentes unités afin de devenir des personnes-ressources pour leurs collègues.

Finalement, un arrimage sera effectué pour s’assurer d’une gestion responsable des données de la recherche. Un travail est en cours en collaboration avec le Vice-rectorat à la recherche, à la découverte, à la création et à l'innovation et le Bureau de la conduite responsable en recherche afin de simplifier le plus possible les processus pour la communauté de la recherche tout en respectant les différentes exigences règlementaires.