Il existe deux rôles distincts en matière de responsabilités des entreprises en matière de gestion des renseignements personnels.
Contrôleurs et processeurs des renseignements personnels.
Comment faire la différence entre ces deux rôles dans un contexte de traitement(collecte, afficher, stocker, analyser, transmettre, traiter ou modifier)des renseignements personnels?
Cette prise de connaissance de la situation d’une organisation est la base afin de définir les responsabilités et appliquer les mesures appropriées pour protéger adéquatement les renseignements personnels.
Les termes “contrôleur ” et “processeur ” des renseignements personnels sont de plus en plus présents dans l’actualité autant légale que dans le domaine de la sécurité de l’information, ces temps-ci. En raison de l’augmentation significative du nombre de scandales liés aux abus des données par les géants de la technologie et, d’autre part, de l’attention médiatique accordée à la mise en place de nouvelle loi, règlements pour des mesures de sécurité pour la protection des données de renseignements personnels.(Comme le règlement général sur la protection des données — RGPD ou la nouvelle version québécoise de la loi sur la protection des renseignements personnels)
Aujourd’hui toutes les organisations qui détiennent des renseignements personnels, quelles qu’elles soient, doivent se préoccuper de la gestion et de la protection de ces données.
À une époque où la donnée est le bien le plus précieux, les renseignements personnels sont de plus en plus accessibles, disponibles et en quantité astronomique, les gens, avec raison, s’en préoccupent !
La norme ISO/IEC 27701, publiée en 2019, propose un modèle de gouvernance d’entreprises vis-à-vis de ces renseignements personnels autant pour ceux qui sont contrôleurs que ceux qui sont des processeurs. La norme fournit des lignes directrices pour la mise en œuvre, la maintenance et l’amélioration continue d’un système de gestion des informations relatives aux renseignements personnels. (PIMS —privacy information management System)
Exemple de rôle
Par exemple une firme offrant un service SaaS sur une plate-forme infonuagique tel que AWS, la firme SaaS est un contrôleur puisqu’elle recueille des renseignements personnels et en décide du traitement et des mesures à mettre en œuvre. AWS est le processeur puisqu’il ne dicte aucune mesure de sécurité et exécute les exigences de la forme SaaS. La firme SaaS a le choix de déterminer les objectifs et les moyens de traitement à mettre en œuvre à même les services offert par AWS.
Définitions:
Ces définitions prises du règlement général sur la protection des données(RGPD) la loi en vigueur en Europe.
Contrôleur : “ contrôleur des données “ Est une personne physique ou morale qui, seul ou conjointement avec d’autres, détermine les objectifs et les moyens du traitement des renseignements personnels.
Processeur : responsable du traitement des données en tant que personne physique ou morale qui traite les renseignements personnels pour le compte du contrôleur.
Vous êtes le contrôleur des données si vous décidez :
- De collecter les informations personnelles de vos clients, visiteurs du site et autres cibles.
- De collecter quoi;
- De changer ou de modifier les données que vous collectez;
- Effectuer un traitement ou une analyse des données;
- Où et comment utiliser les données et dans quel but;
- De garder les données en interne ou de les partager avec des tiers;
- De combien de temps les données sont conservées, et quand les éliminer.
Vous êtes le processeur des données si vous agissez pour le compte du contrôleur du traitement des données, ou effectuez certaines des tâches suivantes :
- Mettre à la disposition des contrôleurs des outils de traitement (Espace disque, mémoires, capacité de traitement, etc.)
- Concevoir, créer et mettre en œuvre des processus et des systèmes informatiques selon les instructions du contrôleur, qui permettraient a celui-ci de recueillir des données à caractère personnel;
- Utiliser des outils et des stratégies pour collecter des données personnelles au nom du contrôleur;
- Mettre en œuvre des mesures de sécurité pour protéger les données personnelles en suivant les objectifs d’un contrôleur;
- Opérer des systèmes pour tiers contrôleurs tels qu’un “MSP — Managed Service Provider”.
- Stocker les données personnelles recueillies par le contrôleur;
- Transférer les données du contrôleur de données à une autre organisation et vice versa.
Notez que la norme ISO 27018 concerne les processeurs infonuagiques seulement(Amazon, Azure, Google, OVH, R2i) et la norme ISO 27701 concerne autant le rôle de contrôleur que celui de processeur.
Afin de complexifier les choses un peu, il existe aussi des “contrôleurs conjoints” qui partage la responsabilité d’un contrôleur des données.
Donc il est possible pour une firme d’agir autant comme contrôleur que comme processeur et elle doit donc voir à respecter les deux guides de contrôles pour bien protéger les renseignements personnels, il reste que de définir les types de données sous sa responsabilité permet d’avoir une vision claire de ses risques et de ses obligations envers les “gens” à qui appartiennent ces renseignements personnels.
Source:
Je vous invite à cliquer sur “Follow” pour continuer d’en apprendre plus sur le domaine de la sécurité de l’information.
