Cynthia Chassigneux a tout un parcours ! S'il y a une personne pour qui le mot "experte" prend tout son sens, c'est elle ! Entre son expérience académique (Doctorat et post Doc...), et professionnelle (avocate, juge à la Commission d'accès à l'information du Québec...), elle baigne dans la protection des données personnelles en TI depuis plus de 25 ans.
Nous avons eu le privilège d'accueillir Cynthia au dernier #trumontreal. Elle a entamé la journée en échangeant avec nous sur cette fameuse Loi 25 et sur la sécurité et protection des données dans le contexte actuel. Entre les données trouvées en modne sourcing, l'IA, les données personnelles... elle a été submergée de questions. Et voici les réponses à certaines d'entre elles:
Cynthia peux-tu nous en dire un peu plus sur toi et ton parcours ?
Après des études en droit, dont une thèse de doctorat en co-tutelle entre la France et le Québec portant sur l'encadrement juridique des renseignements personnels sur les sites de commerce en ligne, je suis devenue avocate au Barreau du Québec. Par la suite, j'ai été membre de la section surveillance de la Commission d'accès à l'information du Québec, à ce titre j'ai eu à me prononcer sur différents dossiers en lien avec la protection des renseignements personnels tant à l'égard des secteurs public et privé.
Depuis bientôt un an, j'ai fondé mon propre bureau d'avocat qui oeuvre principalement en cette matière, une matière qui me passionne encore presque 30 ans après. En effet, les enjeux de protection des renseignements personnels évoluent constamment au fil des innovations et des influences internationales. C'est une matière qui n'est pas statique mais dynamique et qui s'immisce dans tous les aspects de la vie économique et sociale.
La loi 25 fait beaucoup jaser dans notre milieu. Comme tu as pu le constater à #trumontreal, on a mille questions. Par quoi devrait-on commencer pour valider notre conformité face à cette loi ?
Avant de dire par quoi commencer, je voudrais préciser que la Loi25 vient moderniser un cadre juridique qui existe depuis 1982 dans le secteur public et 1994 dans le secteur privé.
La Loi 25 révise des notions existantes, comme celles de nécessité, de consentement, d'information préalable à transmettre aux personnes concernées, de mesures à prendre pour assurer la protection des renseignements personnels ou encore de droit d'accès et de rectification des personnes concernées.
Elle vient surtout ajouter des droits et des obligations, comme le fait de nommer un responsable de la protection des renseignements personnels au sein d'une entreprise (cela existait déjà pour le secteur public), de déclarer les incidents de confidentialité, de se doter d'un cadre de gouvernance à l'égard des renseignements personnels que l'on détient ou confie à un tiers, de publier une politique de confidentialité, de réaliser des évaluations de facteurs relatifs à la vie privée (EFVP) dans certains cas ou encore d'informer les personnes concernées du fait qu'une décision fondée exclusivement sur un traitement automatisé de renseignements personnels a été rendue à son endroit.
Partant pour être en mesure de répondre aux exigences découlant de la Loi25, il est recommandé à une entreprise de:
- nommer un responsable de la protection des renseignements personnels;
- faire un inventaire des renseignements personnels qu'elle détient ou qu'elle confie à un tiers afin, notamment, de déterminer la nature de ceux-ci (personnels, sensibles, à caractère publics), leurs supports (papier, électronique, infonuagique, par ex.), leur circulation (interne, externe, hors Québec), les mesures de sécurité prises à leur égard;
- faire un inventaire des consentements demandés, des politiques, directives, procédures en place, mais aussi des contrats / mandats avec des prestataires / partenaires externes
- déterminer les rôles et les responsabilités des personnes / catégories de personnes qui à l'interne et à l'externe traitent des renseignements personnels recueillis.
Une fois cet exercice réalisé, il est recommandé de réviser / d'adopter des politiques, directives, procédures quant à la gouvernance des renseignements personnels, incluant un plan de réponse aux incidents de confidentialité, une démarche pour réaliser les évaluations des facteurs relatifs à la vie privée ou encore pour répondre aux demandes des personnes concernées, de revoir les consentements demandés pour que ceux-ci répondent aux nouveaux critères de validité.
Pour accompagner les entreprises , la Commission d'accès à l'information propose différents outils, notamment: Aide-mémoire sur les nouvelles responsabilités, Lignes directrices sur le consentement, Guide d'accompagnement pour réaliser une EFVP et modèle de rapport, Guide pour les politiques de confidentialité.
Quels sont à ton avis les plus grands impacts de cette loi dans nos activités quotidiennes ?
Même si l'ensemble des exigences issues de la Loi25 a un impact en matière d'acquisition de talents et de « sourcing », j'insisterai sur la notion de responsabilité qui est désormais inscrite dans les lois applicables au Québec en matière de renseignements personnels.
En effet, même si les réseaux sociaux regorgent d'informations multiples et diverses sur des candidats potentiels, il est de la responsabilité des recruteurs de ne collecter que les renseignements nécessaires à l'embauche, à l'analyse d'une candidature. Il est aussi de leur responsabilité de protéger adéquatement les renseignements personnels qu'ils détiennent, qu'ils inscrivent dans leur(s) ATS ou CRM ou qu'ils confient à des tiers, par exemple. Il est également de leur responsabilité d'être en mesure de répondre aux demandes qu'un candidat pourrait poser quant au processus d'évaluation de son profil et ce, même si cette évaluation est fondée exclusivement sur une décision automatisée.
Comme tu peux le constater la responsabilité est présente tout au long du cycle de vie des renseignements personnels, au même titre que les enjeux liés à la nécessité, au consentement ou encore à la sécurité des renseignements personnels.
Tu t'intéresses beaucoup à la technologie. Comment vois-tu à l'arrivée de l'IA dans nos processus ?
Comme dans tous les domaines, l'IA peut produire les meilleurs effets comme les pires. Il est, par conséquent, important d'encadrer adéquatement son développement et son utilisation, notamment en réalisant des évaluations de facteur relatifs à la vie privée et des analyses d'impacts algorithmiques afin d'éviter ou encore de réduire les risques d'atteinte à la vie privée des personnes concernées ou encore les biais discriminatoires.
La question de la chasse de tête (sourcing) revient souvent. En gros, si je fais une recherche et tombe sur un profil sur un réseau social tel que Linkedin, est-ce que je peux le solliciter pour un emploi en toute légalité ? Et est ce que peux le contacter avec son courriel (pro ou perso) si j'ai pu trouver cette information via un autre site de recherche ?
Comme mentionné précédemment, le recours aux réseaux sociaux fait partie intégrante du processus. De plus, les mentions « #hiring », « #opentowork », par exemple, sont des indications à l'effet qu'un employeur / recruteur est à la recherche de candidats ou qu'une personne est à l'écoute d'un nouveau poste.
En indiquant « être à l'écoute de ... », la personne s'attend à être contactée par le biais des coordonnées associées à son profil sur un réseau tel que LinkedIn. D'ailleurs, n'est-ce pas la mission d'un tel réseau de mettre en relation des professionnels, incluant à des fins de recrutement.
*Un merci spécial à Mathieu Barreau, Directeur, Affaires, communication et partenariats au CRIM, grâce à qui j'ai pu rencontrer Cynthia,
Et bien à Cynthia, pour avoir pris le temps de répondre à nos questions :)
Ajouter un commentaire