C’est un monde numérique et il n’est pas question de retourner en arrière ! Notre dépendance de plus en plus complexe sur les données est incontestable et l’évolution fulgurante de la technologique se traduit en énormes risques en matière de confidentialité et de sécurité des données. La majorité des pays ont adopté des lois régissant la façon dont les entreprises recueillent, entreposent et utilisent leurs données personnelles. Ces données font partie intégrante de toute gestion de programme de mobilité et les fournisseurs de services doivent tous respecter les législations pertinentes aux pays où ils opèrent.

Comme mentionné ci-dessus, il existe des lois sur la confidentialité dans la plupart des pays. Le secteur privé canadien doit se conformer à la Loi sur les renseignements personnels et la protection des documents électroniques (LPRPDE).  La Loi sur la protection des renseignements personnels régit le traitement des renseignements personnels dans le secteur public fédéral. Aux États-Unis, c’est plus compliqué, car ils n’ont de législation au niveau fédéral. Les entreprises doivent naviguer les lois de chaque état en plus d’une législation sectorielle. L’Union européenne, en revanche, a adopté le Règlement général sur la protection des données (RGPD) entrée en vigueur en 2018. Cette dernière est largement reconnue comme la loi de protection de la vie privée la plus rigoureuse au monde.

Dans cette nouvelle série, nous verrons comment atteindre le juste équilibre entre la nécessité de recueillir des données personnelles et l’exigence d’une gestion sécurisée de tous les fournisseurs impliqués dans le programme de mobilité. Les appels d’offres sont le point de départ.

Les équipes de sécurité des données doivent être reconnues par leur entreprise comme contributeurs clés aux projets d’appels d’offres et être présentes dès les premières étapes. Leur rôle consiste à superviser tous les aspects du processus impliquant les données personnelles et comprend :

– définir le cadre général pour la confidentialité et la sécurité des données dans la demande de propositions,

– refléter les exigences de confidentialité et de sécurité des données dans l’énoncé des services requis et préparer les questions clés à poser aux soumissionnaires,

– assister aux démonstrations par les fournisseurs de leur portail,

– évaluer les réponses aux questions de sécurité et déterminer leur poids dans l’évaluation globale des propositions,

– évaluer le degré de risque associé à chacun des systèmes et protocoles des soumissionnaires, et

– participer à la rédaction du libellé des accords.

Sans l’expertise et la participation de l’équipe de sécurité des données, l’entreprise s’expose à un grand risque de non-conformité à la législation ou pire, à des retombées juridiques, financières et de réputation résultant d’une atteinte à la vie privée ou à la sécurité.

D’autres blogues sur ce sujet sont en préparation. Nous discuterons des questions à poser pour obtenir les informations justes sur la sécurité des données ainsi que de l’évaluation des réponses.

Restez branché !