Cette dernière leçon du tronc commun rassemble ce qui n'a pas été détaillé jusqu'ici : la sécurité au sens large.
Pas la théorie, mais les gestes du quotidien qui empêchent les incidents avant qu'ils n'arrivent. Une fois ces fondations en place, le plan spécialisé qui suit reviendra plus en profondeur sur les enjeux propres à votre rôle.
L'obligation générale : des mesures raisonnables
La loi exige que toute entreprise prenne des mesures de sécurité raisonnables pour protéger les renseignements personnels qu'elle détient (art. 10).
« Raisonnables » est relatif à trois facteurs :
- la sensibilité du renseignement,
- la finalité de la collecte, et
- la quantité de données concernées.
En clair, on n'attend pas le même niveau de protection pour la liste des participants à une réunion d'équipe que pour les dossiers médicaux d'un cabinet de santé. Mais dans tous les cas, des mesures doivent exister, et elles doivent être à la mesure du risque.
L'autre principe central, c'est le besoin de savoir (art. 20) : un renseignement n'est accessible qu'aux employés qui en ont vraiment besoin pour faire leur travail. Pas aux autres, même si techniquement ils auraient les droits d'accès.
C'est un filtre humain autant qu'un filtre technique.