|
Protéger la vie privée, une question de confiance Je suis entrée au service de l’Association des musées canadiens (AMC) en juillet 2019, après avoir travaillé pendant 18 ans au Commissariat à la protection de la vie privée du Canada. Maintenant passée au secteur patrimonial, je suis très heureuse de présenter aux lecteurs de Muse certaines pratiques exemplaires en matière de protection de la vie privée. Je le précise d’entrée de jeu; à titre de responsable des communications, je ne travaillais pas dans le domaine de la conformité ni dans celui des enquêtes sur les plaintes. Je ne m’occupais pas non plus des aspects juridiques, ni des champs de compétence, ni des poursuites judiciaires. Mon équipe était chargée de sensibiliser les citoyens à leur droit à la vie privée et les organisations à leurs obligations dans le domaine. Or, en mettant en œuvre cet ambitieux programme, j’ai appris deux ou trois choses concernant la protection de la vie privée. C’est avec plaisir que je vous en fais part. Vous avez une foule de bonnes raisons de veiller à ce que votre musée gère les questions de protection de la vie privée comme il se doit. Premièrement, il y a de fortes chances que la loi vous y oblige. En effet, que votre organisation soit assujettie à une loi applicable au secteur privé ou public, son fonctionnement est probablement régi par une loi sur la protection des renseignements personnels. Deuxièmement, la question de la confiance entre aussi en jeu. Le succès des musées repose sur la confiance du public. Pour établir une relation de confiance, il faut notamment vous assurer de toujours faire ce qu’il faut au chapitre de la gestion des renseignements personnels. On peut s’imaginer combien il serait difficile de regagner la confiance des différents acteurs si vous gériez mal une atteinte à la sécurité de données. Ce genre de situation peut avoir un effet dévastateur sur la réputation d’une organisation. Troisièmement, c’est la chose à faire sur le plan éthique. C’est simple : dans notre monde moderne, les gens sont disposés à vous fournir une certaine quantité de renseignements personnels. Ils s’attendent toutefois à ce que vous traitiez ces renseignements avec respect, que vous les protégiez et que vous les utilisiez uniquement aux fins pour lesquelles ils vous les ont fournis. Élaborer un cadre de gestion de la vie privée, ce n’est pas sorcier. L’ampleur de la tâche variera en fonction de la taille de votre organisation. Avant de commencer votre planification, prenez un peu de recul et posez-vous certaines questions importantes. Vous en viendrez rapidement à prendre en compte systématiquement la protection de la vie privée dans vos décisions de fonctionnement quotidiennes. Vous commencerez à adopter le concept de protection de la vie privée dès la conception — en gros, à protéger la vie privée dès le début. La protection des renseignements personnels deviendra votre approche par défaut et vous constaterez rapidement que des pratiques adéquates à ce chapitre sont avantageuses sur le plan des affaires. Alors, de quoi avez-vous besoin pour vous lancer? Premièrement, vous devriez déterminer à quelle loi est assujettie votre organisation. La loi ne fait pas foi de tout lorsqu’il s’agit de bien protéger la vie privée, mais c’est un point de départ essentiel. Il y a probablement une loi qui prévoit le cadre général des mesures que vous devez prendre. Ce pourrait être la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), loi fédérale qui s’applique aux activités commerciales dans la plupart des provinces et des territoires, une loi provinciale « essentiellement similaire » (par exemple au Québec, en Alberta et en Colombie-Britannique) ou encore une loi qui s’applique au secteur public, comme la Loi sur la protection des renseignements personnels. Une fois que vous saurez quel cadre législatif s’applique à votre organisation, prenez un peu de temps pour déterminer quels renseignements personnels vous recueillez. Faites l’inventaire des renseignements recueillis, par exemple dans le cadre des visites quotidiennes; de l’établissement de la liste des membres; du marketing et des communications; des activités spéciales; du commerce de détail; des programmes éducatifs; des consultations publiques ainsi que de la gestion des employés et des bénévoles. Après avoir déterminé les diverses sphères d’activité susceptibles de donner lieu à la collecte de renseignements personnels, vous devriez déterminer avec exactitude les champs d’information en question. De façon générale, on entend par « renseignements personnels » tout renseignement concernant un individu identifiable. Soyons clairs. Cette définition est très large. Qui plus est, les tribunaux et les commissaires à la protection de la vie privée l’interprètent de façon souple. D’autres lois en vigueur un peu partout au Canada définissent différemment ce concept. Vous devez déterminer le rôle que joue le consentement dans le traitement des renseignements personnels. Si la loi vous oblige à obtenir le consentement des intéressés (par exemple lorsque vous leur envoyez des courriels), avez-vous mis en place un mécanisme pour bien obtenir ce consentement et vous assurer qu’il est valable? Votre politique ou énoncé de confidentialité indique aux gens ce que vous faites en ce qui concerne la collecte, l’utilisation ou la communication des renseignements personnels. Nous avons tous consulté des avis de confidentialité qui laissaient à désirer — pensons, par exemple, aux énoncés interminables rédigés dans un jargon juridique incompréhensible et imprimés en caractères minuscules. Il y a lieu de se demander si ces énoncés aident vraiment à obtenir un consentement valable. Dans votre énoncé de confidentialité, vous devez indiquer en termes clairs et simples quels types de renseignements personnels vous recueillez et à qui vous les communiquez et, le cas échéant, préciser les risques connexes. Si les renseignements personnels recueillis peuvent être accessibles à partir d’un autre pays ou y être stockés, vous devez aussi aviser les intéressés. La mise en œuvre de mesures de protection appropriées constitue un autre aspect important de la protection de la vie privée. Il peut s’agir de mesures techniques ou physiques. On s’attend à ce que vous protégiez les renseignements personnels en utilisant un système acceptable qui prend en compte le degré de sensibilité des renseignements. On part du principe qu’il faut chiffrer tous les renseignements personnels et se doter de processus garantissant que seuls ceux ayant besoin de connaître les renseignements personnels peuvent y avoir accès. Selon la taille de votre organisation et le type et la quantité de renseignements personnels que vous recueillez, vous devez confier à une ou à plusieurs personnes la responsabilité de leur collecte. La protection de la vie privée doit faire partie de leur description de poste. Ces personnes peuvent vous aider à vous assurer que votre musée :
Voilà! L’idée était de vous donner un aperçu de certaines mesures de protection de la vie privée qui sont nécessaires et auxquelles s’attendent les individus, plus que jamais soucieux du respect de leur vie privée. La bonne nouvelle, c’est que les organismes de réglementation de la protection de la vie privée ne semblent pas jusqu’à présent porter attention aux musées. Pour préparer le présent article, Muse a communiqué avec le Commissariat à la protection de la vie privée du Canada et des commissariats provinciaux. Ces dernières années, la plupart des commissariats contactés ont reçu peu de plaintes, voire aucune, portant sur les pratiques de protection de la vie privée adoptées par les musées. Dans les cas où il y a eu enquête, cellesci portaient sur une atteinte à la vie privée ou le droit d’accès d’un individu aux renseignements personnels le concernant. Le rôle des musées revêt manifestement une importance croissante dans la société — une société de plus en plus axée sur les données, entre autres les renseignements personnels — et cette situation présente toute une gamme d’avantages. On ne peut le nier. Dans un monde où les musées misent sur la confiance du public envers eux, le maintien de cette confiance est primordial. Une protection de la vie privée adéquate peut s’avérer utile à cet égard. C’est une bonne idée de demander l’aide d’un professionnel de la protection de la vie privée. Mon ancien employeur, le Commissariat à la protection de la vie privée du Canada, donne une excellente orientation sur son site Web au www.priv.gc.ca. Les commissariats provinciaux et territoriaux constituent aussi de précieuses sources d’information. En plus de proposer un large éventail de ressources, l’Association internationale des professionnels de la protection de la vie privée (IAPP) offre un moyen formidable d’établir des liens avec des spécialistes du domaine (http://www.iapp.org/lang/fr/). Je vous encourage à visiter la galerie d’art mise sur pied par l’IAPP, où vous pourrez admirer des œuvres sur le thème de la protection de la vie privée, au https://iapp.org/resources/privacy-art-gallery/. M Anne-Marie Hayden Directrice adjointe, Affaires publiques et avancement des musées Ce rapport muséologique a été rendu possible grâce au financement du Gouvernement du Canada. Ce rapport a été également publié dans le magazine Muse, numéro novembre/décembre 2019.
|
||