La question revient dans presque tous mes mandats de conformité Loi 25.
“Patrick, quand tu dis inventaire des renseignements personnels, c’est une liste de quoi, exactement?”
Pour rappel : la Loi 25 exige que toute organisation qui collecte des renseignements personnels sache ce qu’elle détient. Avant de pouvoir gérer quoi que ce soit, il faut d’abord savoir ce que vous cherchez.
Ce que dit la loi
La Loi sur la protection des renseignements personnels dans le secteur privé définit un renseignement personnel comme toute information qui concerne une personne physique et permet de l’identifier, directement ou indirectement.
Deux mots sont importants dans cette définition.
« Physique » : la loi ne s’applique pas aux personnes morales. Le numéro d’enregistrement d’une entreprise ou l’adresse de son siège social ne sont pas des renseignements personnels au sens de la loi.
« Indirectement » : c’est le mot qui élargit tout. Un renseignement n’a pas besoin d’identifier une personne à lui seul pour être qualifié de personnel. Il suffit que, combiné à d’autres informations, il le permette. Une adresse IP seule ne vous nomme pas. Croisée avec un horodatage et un identifiant de session, elle peut identifier une personne avec précision. La loi couvre ce type d’information.
Et si vous vendez à des clients en Europe?
Le GDPR s’applique à votre organisation, même si vous êtes établi à Québec.
Le Règlement général sur la protection des données ne s’applique pas qu’aux entreprises européennes. Il couvre toute organisation qui traite des données de résidents de l’Union européenne, peu importe où elle est établie. Une PME québécoise qui vend en ligne à des clients français, allemands ou espagnols doit s’y conformer.
La définition du GDPR est quasi identique à celle de la Loi 25 : toute information relative à une personne physique identifiée ou identifiable. Ce n’est pas un hasard. La Loi 25 s’est largement inspirée du cadre européen lors de sa rédaction. Les deux régimes reposent sur le même principe : ce qui compte, c’est la capacité d’identifier un individu, pas le fait de le nommer directement.
Il y a pourtant deux nuances importantes à connaître.
La première touche les coordonnées professionnelles. Sous la Loi 25, le nom, le titre et le courriel professionnel d’un contact d’affaires ne sont généralement pas considérés comme des renseignements personnels dans un contexte purement professionnel. Sous le GDPR, une adresse comme untel@companie.com identifie clairement un individu. C’est une donnée personnelle, point final. Si vous maintenez une liste de contacts clients en Europe, traitez-les en conséquence.
La deuxième touche les catégories sensibles. Le GDPR en a une liste formelle à son article 9 : l’origine raciale ou ethnique, les opinions politiques, les croyances religieuses, les données génétiques, les données biométriques utilisées à des fins d’identification, les données de santé et l’orientation sexuelle. Ces catégories sont soumises à des règles beaucoup plus strictes. La Loi 25 utilise aussi la notion de sensibilité, sans liste formelle. La sensibilité y est évaluée selon le contexte et les risques pour la vie privée.
Ce que vous cherchez dans votre organisation
Voici les catégories. Pour chacune, la question à poser est simple : est-ce que j’en ai quelque part?
Identification directe. Nom complet, date de naissance, numéro d’assurance sociale (NAS), numéro d’assurance maladie (RAMQ), numéro de passeport, numéro de permis de conduire. C’est la catégorie la plus évidente et la plus risquée : une fuite permet directement l’usurpation d’identité.
Coordonnées personnelles. Adresse postale, courriel personnel (@gmail.com, @hotmail.com), téléphone résidentiel, numéro de cellulaire. Un numéro de téléphone reste un renseignement personnel même s’il figure dans l’annuaire public.
Empreinte numérique. C’est là que la plupart des organisations sont surprises. L’adresse IP d’un visiteur de votre site web est un renseignement personnel dès qu’elle peut être croisée avec d’autres données pour identifier un individu. Il en va de même pour les identifiants de témoins (cookies), les historiques de navigation liés à un compte, les identifiants uniques d’appareils mobiles (IMEI), les adresses MAC, les données de géolocalisation et les métadonnées de fichiers qui révèlent l’auteur, la date de création et l’appareil utilisé.
C’est précisément pour ça que votre site web doit afficher une bannière de consentement aux témoins. Les outils de marketing numérique que vous utilisez comme Google Analytics, Meta Pixel, pixels publicitaires, collectent l’adresse IP de vos visiteurs, construisent un profil de leur comportement et transmettent ces données à des tiers à des fins de ciblage. Tout cela constitue une collecte de renseignements personnels. Sans consentement explicite du visiteur, ce n’est pas conforme à la Loi 25. Ni au GDPR si votre audience inclut des résidents européens.
Votre site web collecte probablement des renseignements personnels, même si vous n’avez aucun formulaire d’inscription visible. (Vous pouvez tester votre site web gratuitement ici : https://loi25.certi360.com)
Données biométriques. Une photo qui permet d’identifier une personne est un renseignement personnel. Empreintes digitales, données de reconnaissance faciale, empreinte vocale, données de rétine ou d’iris. Ces données méritent une attention particulière parce-qu’elles sont permanentes. On ne peut pas changer ses empreintes digitales après une fuite.
Données financières. Numéro de carte de crédit ou de débit, numéro de compte bancaire, historique de transactions lié à un individu, cote de crédit, revenus déclarés ou estimés, informations sur les polices d’assurance.
Données de santé. Dossier médical, diagnostics, liste de médicaments, résultats d’analyses, groupe sanguin, données génétiques, informations sur un handicap ou une condition chronique. Ces données figurent parmi les plus sensibles dans les deux régimes.
Données de ressources humaines. Souvent le volume le plus important dans une PME et le plus dispersé. Curriculum vitae, lettres de présentation, évaluations de rendement, dossiers disciplinaires, relevés de paie, informations sur les assurances collectives, résultats de vérifications d’antécédents. Ces données se retrouvent fréquemment dans des feuilles de calcul sur des postes individuels, dans des courriels archivés et dans des services infonuagiques dont personne ne tient de registre formel.
Données sensibles. Origine raciale ou ethnique, opinions politiques, croyances religieuses ou philosophiques, appartenance syndicale, orientation sexuelle, identité de genre. Ne les collecter que si une raison légale claire le justifie.
Quand je fais un inventaire avec un client, on procède par flux. D’où vient l’information, qui la traite, où elle est stockée, qui y a accès et combien de temps elle est conservée.
Ce n’est pas une liste à cocher une fois. C’est un registre vivant qui doit être mis à jour quand vos processus changent.
La plupart des organisations découvrent en cours d’exercice qu’elles détiennent des renseignements personnels dans des endroits inattendus. C’est normal. C’est justement pour ça que l’inventaire est la première étape.
Bref, un renseignement personnel, c’est toute information qui permet d’identifier une personne physique, directement ou indirectement. La définition est plus large que ce que la plupart des organisations réalisent au départ. Avant de protéger ce que vous détenez, vous devez d’abord savoir ce que vous cherchez.
Avez-vous cette liste?