Protection des renseignements personnels

Nécessité de la protection des renseignements personnels (PRP)

Les systèmes d’information ayant à gérer généralement des informations permettant d’identifier une personne associée à certaines caractéristiques telles que son emploi, son éducation, sa santé, sa sécurité ou sa situation financière, il est essentiel que les informations qui y sont gérées soient protégées d’une utilisation autre que prévue ou qui pourrait porter atteinte à sa vie privée ou même son intégrité physique.  La PRP, même si elle est intrinsèquement liée à la sécurité de l’information, couvre des dimensions spécifiques qui ne sont pas pris en charge par la sécurité de l’information.

C’est pourquoi, dès 1980, une organisation internationale, soit l’Organisation de coopération et de développement économique (OCDE), émettait des principes devant gouverner la protection des renseignements personnels (PRP).  Le Québec, comme bien d’autres gouvernements, a fait sien ces principes en adoptant en 1982, une loi, soit la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels pour le secteur public (communément appelée Loi sur l’accès) et en 1993 la Loi sur la protection des renseignements personnels dans le secteur privé.  Une abondante interprétation juridique s’en est suivi pour guider l’utilisation de ces lois. Ce sont deux lois prépondérante dans le sens que ces lois sont au dessus de toutes les autres lois, à moins que le législateur veuille expressément soustraire une loi particulière d’une partie de ces lois soit pour émettre des exigences supplémentaires soit pour en adoucir certaines autres. Ainsi, la Loi sur les services de santé et les services sociaux ajoute des particularités à la protection des renseignements personnels à appliquer dans le domaine de la santé et des services sociaux. D’autres lois sont venues ajouter ou renforcer la protection des renseignements personnels, tel que la Loi concernant le cadre juridique des technologies de l’information adoptée en 2001.  D’autres lois semblables à la Loi sur l’accès ont aussi été adoptées par les autres provinces et par le gouvernement fédéral canadien.

Avec la mise en place de services électroniques de plus en plus omniprésents tant dans le secteur privé que dans le secteur public, la protection des renseignements personnels est devenue encore plus importante. Des organismes privés et des états comme l’Europe ont adoptées des pratiques pouvant ou devant être suivies concernant la PRP dans le contexte des services électroniques.

Sous l’angle du développement de système, la PRP apparaît comme une exigence au même titre qu’une autre exigence à respecter pour développer un système d’information. Elle a cependant ceci de particulier que cette exigence est associée à une obligation légale. En cela, c’est une exigence implicite pour tout développement de systèmes d’information : elle ne peut être ignorée par un développeur sous prétexte qu’elle n’a pas été expressément formulée par le client du système car « nul n’est sensé ignorer la loi »!  C’est donc une exigence qui peut être lourde de conséquence si elle est ignorée des développeurs de systèmes d’information. Bien sûr, il sera toujours préférable que l’exigence de la PRP soit énoncée de façon explicite par le client afin de s’assurer qu’elle sera effectivement intégrée au nouveau système d’information.

 

Modèle de pratiques de PRP

Afin d’aider les organismes publics à la prise en compte de la PRP dans le développement de systèmes d’information, le ministère des Relations avec les citoyens et de l’Immigration (MRCI), et Institut Kono, ont développé un Modèle de pratiques de PRP qui exprime en terme de pratiques, sous-pratiques et biens livrables, les exigences de PRP. Ce Modèle propose donc un ensemble de pratiques et de biens livrables facilitant la réalisation et la gestion du processus de PRP dans un projet de développement. 

Pour le volet « réalisation » de ce processus, les pratiques spécifiques à la PRP sont regroupées autour des huit phases du cycle de vie de la PRP. Ces pratiques couvrent autant la partie administrative ou non automatisée d’un système d’information que sa partie automatisée. Pour le volet « gestion » du processus, les pratiques de gestion sont regroupées autour de cinq niveaux de capacité du processus; ces niveaux de capacités sont basés sur le Modèle intégré de gestion des capacités (CMMI).

Ce Modèle de pratiques de PRP peut être utilisé quelle que soit la méthode de développement en usage. Il est un outil qui permet de tenir compte systématiquement de la PRP dans le développement de systèmes et qui rend plus accessible la PRP par les équipes de développement. Les pratiques proposées n’enlèvent en rien la nécessité de recourir à des spécialistes juridiques particulièrement pour certaines pratiques qui exigent une interprétation juridique de la loi et de la jurisprudence en fonction du contexte d’utilisation des renseignements personnels par le système d’information.

 

Offre de services d’Institut Kono en matière de PRP

  • Sensibilisation et formation à la PRP appliquée au développement de systèmes d’information;
  • Soutien à l’adaptation de l’environnement de développement d’une organisation pour y intégrer la PRP, particulièrement dans la méthode de développement de systèmes, la méthode de gestion de projet et le processus d’acquisition de progiciels;
  • Soutien à l’élaboration des exigences de PRP lors d’un appel d’offres pour le développement de systèmes d’information;
  • Évaluation de conformité des pratiques de PRP dans un projet de développement;
  • Adaptation du Modèle de pratique de PRP pour tenir compte des exigences du secteur privé ou de particularités d’un secteur d’activité particulier.

Veuillez contacter Institut Kono pour toute intervention dans ce domaine.