Vous avez complété le tronc commun. Bienvenue dans le parcours bâti pour les personnes qui conçoivent, développent et maintiennent les systèmes qui hébergent et traitent les renseignements personnels.
Six leçons vous attendent : privacy by design et confidentialité par défaut, le besoin de savoir et la pseudonymisation en dev/test, la journalisation et la révocation des accès, la rétention automatisée et les processus de suppression, les transferts hors Québec côté technique, et l'implémentation des décisions automatisées et de la portabilité.
On commence par les deux principes qui changent tout le reste : bâtir avec la vie privée comme contrainte de départ, et régler les valeurs par défaut au plus protecteur. Quand ces deux principes sont en place, la majorité des autres obligations deviennent plus simples à tenir. Quand ils manquent, on rattrape sans cesse.
Le cadre légal en deux articles
Deux articles posent ce qui suit.
L'article 3.3 exige que les paramètres d'un produit ou d'un service technologique offrant un service au public, par défaut, assurent le plus haut niveau de confidentialité sans intervention de la personne concernée. C'est la confidentialité par défaut.
L'article 3.4 prévoit qu'avant d'acquérir, de développer ou de revoir un système qui implique des...