Dans la leçon précédente, on a couvert la désignation du RPRP : qui est responsable.
On s'attaque maintenant à ce qu'il ou elle pilote au quotidien, avec l'appui de la direction : les politiques de protection des renseignements personnels.
Deux familles de politiques, exigées par la loi, qui répondent à deux logiques distinctes. Mélanger les deux est l'erreur qui revient le plus souvent en PME.
Deux familles de politiques, deux logiques
D'un côté, les politiques internes de gouvernance (art. 3.2). Elles encadrent ce qui se passe à l'intérieur de l'organisation : qui fait quoi, comment, avec quels contrôles. Le RPRP et les employés en sont les premiers utilisateurs.
De l'autre, la politique de confidentialité publique (art. 8.2). Elle s'adresse aux personnes dont vous traitez les renseignements (clients, utilisateurs, candidats, etc.). C'est ce qu'on retrouve sur votre site web, en bas de page, à côté des conditions d'utilisation.
Une seule loi, deux exigences distinctes. Une PME conforme doit avoir les deux.
Les politiques internes de gouvernance
La loi exige que toute entreprise établisse et mette en œuvre des politiques et des pratiques internes pour encadrer sa gestion des renseignements personnels (art. 3.2). Ce ne sont pas des suggestions :...