Ce n’est pas nous qui vous parlons de la Loi 25. C’est la CAI!

Oui! La Commission d’accès à l’information, l’organisme qui gère l’application de la Loi 25.

Elle vient de publier deux ressources pratiques pour aider les entreprises à prévenir les incidents de confidentialité touchant des renseignements personnels, soit un guide explicatif et une liste de contrôle.

Elle propose une démarche en sept étapes:

• Connaître vos obligations.
• Faire l’inventaire des renseignements personnels. Pour ce faire, la CAI propose de répondre à six questions essentielles :

• • Quoi? – Identifier le type de renseignement collecté.
  • Pourquoi? – Préciser les raisons pour lesquelles cette collecte est nécessaire.
  • Qui? – Définir les catégories de personnes autorisées à y accéder.
  • Comment? – Décrire le contexte d’utilisation et le support concerné.
  • Où? – Indiquer le lieu de conservation.
  • Quand? – Déterminer le moment où le renseignement doit être détruit.

• Identifier et évaluer les risques.
• Déterminer les mesures appropriées.
  • administratif (politiques de gouvernance, formation, droits d’accès);
  • physique (contrôle des accès aux locaux et aux espaces de rangement); et
  • technique (utilisation de mots de passe robustes; chiffrement des données; défense du périmètre réseau).
• Déployer les mesures de sécurité.
• Mesurer l’efficacité des mesures.
• Surveiller et réviser.

On vous propose justement un aide-mémoire pour vous aider à comprendre les éléments à mettre en place.

Et dites-nous comment vous vivez l’implantation de la Loi 25 au sein de votre entreprise. On est curieux de savoir. ☺️

Photo par Chuttersnap