Critères ESG et protection de la vie privée et des données : aller au-delà de la conformité réglementaire

INTRODUCTION

Les organisations choisissent de plus en plus d’intégrer dans leur cadre de présentation de rapports relatif aux critères environnementaux, sociaux et de gouvernance (« ESG ») différents paramètres et divers renseignements liés à leurs pratiques de gouvernance en matière de protection de la vie privée et des données. Le projet de loi n^o 64 ayant reçu par ailleurs la sanction royale au Québec, tandis que de nouvelles pressions s’exercent sur le gouvernement fédéral pour réformer la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») et que les atteintes à la protection des données se multiplient, il ne fait alors guère de doute que la protection de la vie privée et des données figure au premier rang des préoccupations de la plupart des organisations.

L’intégration de la protection de la vie privée et de la gestion des données aux rapports ESG peut amener une organisation à surpasser ses obligations réglementaires habituelles en lui permettant notamment de fournir de l’information sur des risques que pourrait comporter le cycle des données, même si cette organisation respecte pleinement les lois applicables. Le fait pour une organisation d’intégrer de tels renseignements à ses rapports ESG lui permet d’expliquer plus en détail aux parties prenantes (c’est-à-dire, entre autres, aux clients, aux actionnaires, aux employés, aux partenaires faisant partie de la chaîne logistique et aux organismes de réglementation) comment, dans l’ensemble, elle cerne et gère les risques liés à la protection de la vie privée et des données. De plus, pour une telle organisation, l’établissement de liens entre ses pratiques de gouvernance en matière de protection de la vie privée et des données et des critères ESG plus larges fait en sorte qu’elle est mieux placée pour s’adapter de manière proactive aux changements réglementaires et pour déceler de possibles occasions de croissance associées aux données. Plus important encore, une organisation qui inclut la protection de la vie privée et la gestion des données dans ses rapports augmente la transparence dont elle fait preuve envers ses parties prenantes et contribue à établir une relation de confiance durable avec ces dernières.

Dans le présent bulletin, nous expliquons en quoi les pratiques de gouvernance en matière de protection de la vie privée et des données se rapportent aux critères ESG et nous explorons comment les organisations peuvent intégrer de l’information à ce sujet dans leurs rapports ESG.

LIENS ENTRE LES PRATIQUES DE GOUVERNANCE EN MATIÈRE DE PROTECTION DE LA VIE PRIVÉE ET DES DONNÉES ET LES CRITÈRES ESG

Environnement

Les politiques et les protocoles de gestion des données que choisissent de mettre en place les organisations peuvent avoir une incidence sur l’impact environnemental de ces dernières. La collecte, le stockage et le traitement de données exigent de l’énergie et l’utilisation de serveurs physiques. Plus une organisation collecte, traite et stocke des données, plus elle consomme de l’énergie, et plus elle a besoin d’espace pour son équipement et ses serveurs. La collecte excessive de données peut donc avoir des effets néfastes sur l’environnement, notamment au chapitre de l’efficacité énergétique, des émissions de carbone, des changements climatiques et de la gestion des déchets électroniques.

Société

Les entreprises qui collectent et traitent des données ont la responsabilité sociale de protéger les renseignements en leur possession et de respecter la vie privée des personnes concernées. De plus, les décisions qui reposent sur la technologie, notamment sur des algorithmes ou des processus automatisés, dans des domaines comme la santé et la médecine, l’emploi, la solvabilité et la justice pénale soulèvent d’importantes questions éthiques, particulièrement en ce qui a trait aux préjugés et à la discrimination. Le fait de reconnaître la vie privée en tant que valeur sociale et de respecter une éthique des données peut accroître la délicatesse avec laquelle une organisation traite les données en sa possession ainsi que la transparence dont elle fait preuve envers ses parties prenantes, ce qui mène assurément à de meilleures pratiques de gestion des données et d’atténuation des risques. L’adoption de politiques supérieures en matière de gestion des données peut rehausser l’image sociale d’une organisation, tout en limitant les risques qu’elle court sur le plan financier et au chapitre de la réputation qui sont susceptibles de se matérialiser à la suite d’une atteinte à la protection des données.

Gouvernance

La décision d’inclure de l’information sur les pratiques de gouvernance en matière de protection de la vie privée et des données dans les rapports ESG ne peut être prise à la légère par les organisations en raison de la nature de la réglementation relative à la vie privée. Les organisations qui gèrent des renseignements personnels doivent maintenir des politiques rigoureuses en matière de sécurité de l’information qui protègent la confidentialité et l’intégrité des renseignements, et l’accessibilité à ces derniers, en empêchant, entre autres, toute divulgation non autorisée de ceux-ci ou tout accès interdit à ceux-ci. Les organismes de réglementation en matière de protection de la vie privée semblent s’intéresser de plus en plus au principe de la responsabilisation démontrable, selon lequel les organisations devraient non seulement adopter les politiques requises en matière de protection de la vie privée et des données, mais aussi prendre des mesures leur permettant de surveiller activement la mise en application de ces politiques ainsi que réaliser des audits, afin de déceler toute lacune et d’y remédier en temps réel. Qui plus est, pour s’assurer de tenir compte de tous les aspects associés à la propriété et à l’utilisation de données, y compris dans le cadre de contrats, les organisations devraient instaurer des politiques qui protègent d’autres formes de données, comme les renseignements confidentiels ou exclusifs.

Le défaut de se conformer aux exigences réglementaires applicables peut comporter des risques considérables sur les plans financier et juridique, ainsi qu’au chapitre de la réputation. Alors que, d’une part, les législateurs entendent accorder aux particuliers un plus grand contrôle sur leurs données, ils confèrent, d’autre part, d’importants pouvoirs aux organismes de réglementation en ce qui a trait à l’application de la loi afin d’inciter les organisations à s’acquitter de leurs obligations réglementaires. Au Québec, par exemple, le projet de loi n^o 64 confère des pouvoirs accrus à la Commission d’accès à l’information du Québec, laquelle pourrait infliger des sanctions administratives pécuniaires allant jusqu’à 10 M$ CA à des entreprises privées en cas de non-conformité. Également aux termes de ce projet de loi, les organisations du secteur privé pourraient écoper de sanctions pénales sous forme d’amendes allant jusqu’à 25 M$ CA ou, si ce montant est plus élevé, d’un montant correspondant à 4 % de leur chiffre d’affaires mondial pour l’exercice financier précédent, en cas d’infraction à la Loi sur la protection des renseignements personnels dans le secteur privé (Québec).

INTÉGRATION DE LA PROTECTION DE LA VIE PRIVÉE ET DES DONNÉES AUX RAPPORTS ESG

1. Établir une structure de gouvernance en matière de protection de la vie privée et des données tournée vers l’avenir

Il n’existe pas de structure de gouvernance universelle pour ce qui est de la protection de la vie privée et des données. Pour bien évaluer les besoins d’une organisation, nous recommandons d’examiner les lois applicables, de même que les normes et les cadres propres au secteur d’activités (par exemple, le Privacy Framework du National Institute of Standards and Technology), afin de comprendre la manière dont les systèmes, les produits et les services d’une organisation peuvent représenter des risques sur le plan de la protection de la vie privée et des données, soit pour elle, soit pour les parties prenantes auprès desquelles elle collecte de l’information. En alignant leurs pratiques sur ces normes et cadres, les organisations peuvent ainsi affirmer de manière concrète et transparente que leurs programmes internes de gestion de données répondent à des critères spécifiques de contrôle qualitatif et quantitatif.

Les organisations devraient évaluer en profondeur chacune des étapes de leur processus de gestion de données, c’est-à-dire de la collecte et de la rétention des données jusqu’à leur destruction. De fait, pour élaborer des solutions qui permettront réellement d’atténuer leurs facteurs de risque, les organisations doivent d’abord comprendre les risques particuliers auxquels elles s’exposent en collectant, en traitant et en gérant des données. La structure de gouvernance variera donc d’une organisation à l’autre.

Ces évaluations permettront également aux organisations d’élaborer des politiques et de mettre en place des pratiques adaptées aux risques techniques, administratifs et physiques auxquels elles sont exposées. Idéalement, les politiques établies devraient instaurer un mécanisme de contrôle en vue de surveiller, de gérer et de modérer continuellement les facteurs de risque cernés. Elles devraient aussi prévoir des examens et des audits réguliers des pratiques mises en place en matière de protection de la vie privée, de gestion des données et de cybersécurité (conformément au principe de la responsabilisation démontrable). Les politiques ne devraient par ailleurs pas s’arrêter uniquement aux risques au sein de l’organisation, mais s’élargir aussi à ceux auxquels l’organisation est exposée tout le long de sa chaîne de valeur, y compris ses partenaires d’affaires et ses fournisseurs de services (lesquels constituent des vecteurs supplémentaires de menaces à la protection de la vie privée, à la propriété de données et à la cybersécurité).

2. Définir des paramètres associés aux pratiques de gouvernance en matière de protection de la vie privée et des données

Les organisations devraient définir des paramètres associés à leurs pratiques de gouvernance en matière de protection de la vie privée et des données. De tels paramètres leur permettraient ainsi de faire le suivi des progrès qu’elles accomplissent à l’égard des objectifs ESG ayant trait à la gestion des données. Lorsqu’une organisation rend mesurables ses pratiques de gouvernance en matière de protection de la vie privée et des données dans le contexte des critères ESG, ses dirigeants et les membres de son conseil d’administration peuvent avoir une meilleure compréhension des questions liées aux données et demander que des comptes concrets en la matière leur soient rendus à l’égard des programmes et unités fonctionnelles de l’organisation.

Les paramètres au sujet desquels les organisations divulgueront de l’information varieront vraisemblablement d’une organisation à une autre, notamment en fonction de leur profil de risques, de leurs besoins particuliers et de leurs secteurs d’activités. Cela dit, une organisation pourrait fournir de l’information, entre autres, sur ses attestations en matière de sécurité de l’information, ses approches en ce qui concerne l’analyse de données et l’intelligence artificielle, la fréquence des séances de formation portant sur la protection de la vie privée et la cybersécurité, des statistiques relatives aux atteintes à la protection des données, ainsi que ses investissements dans des ressources pertinentes. Les résultats d’une analyse approfondie des facteurs de risque d’une organisation, et le degré de probabilité qu’un incident se produise, peuvent aider une organisation à établir des paramètres relatifs aux risques associés aux données et à en faire le suivi. Des objectifs ESG clairs relativement aux pratiques de gouvernance en matière de protection de la vie privée et des données peuvent favoriser l’adoption de stratégies à ce chapitre à l’échelle de l’organisation. De tels objectifs fournissent également aux parties prenantes des paramètres tangibles leur permettant de demander à l’organisation de rendre des comptes à l’égard de ses engagements.

3. Appliquer le principe de protection de la vie privée et de cybersécurité dès la conception

Les organisations devraient intégrer la protection de la vie privée et la cybersécurité à la conception, à l’exploitation et à la gestion de leurs systèmes et processus opérationnels. Essentiellement, cela revient à intégrer des considérations et des caractéristiques liées à la protection de la vie privée et des données dès la conception, et au cours de l’exploitation et de la gestion, de tout système, de tout processus opérationnel ou de tout produit susceptible de servir à la collecte ou au traitement de renseignements personnels.

Certains ressorts le font déjà, en exigeant l’adoption de pratiques intégrées en matière de protection de la vie privée dans leur réglementation. Par exemple, le Règlement général sur la protection des données (« RGPD ») de l’Union européenne oblige les organisations à prendre des « mesures techniques et organisationnelles appropriées » en vue de mettre en œuvre des principes de protection des données de façon efficace. Au Québec à compter de septembre 2023, aux termes du projet de loi n^o 64, les entreprises du secteur privé qui collectent des renseignements personnels au moment d’offrir un produit ou un service technologique devront s’assurer que, par défaut, les paramètres de ce produit ou de ce service assurent le plus haut niveau de confidentialité, sans aucune intervention de la personne concernée. Le principe de la protection de la vie privée dès la conception a par ailleurs été intégré dans une norme de l’ISO (ISO 31700, Protection des consommateurs : respect de la vie privée assuré dès la conception des biens de consommation et services aux consommateurs).

4. Créer une culture de responsabilisation

Diverses lois canadiennes en matière de protection de la vie privée exigent des organisations qu’elles adhèrent à des principes de « responsabilisation » de diverses façons, notamment en désignant un directeur chargé de la protection des renseignements personnels et en mettant en œuvre un programme de gestion de la protection de la vie privée. L’adoption d’un tel programme complet est une bonne façon pour une organisation de satisfaire aux exigences des organismes de réglementation et d’assurer sa conformité aux lois applicables en matière de protection des données, tout en favorisant la création d’une culture axée sur la protection de la vie privée au sein de l’ensemble de l’organisation.

Pour s’assurer qu’une structure de gouvernance en matière de protection de la vie privée et des données sera efficace et favorisera la création d’une culture axée sur la protection de la vie privée, les organisations devraient :

• s’assurer de l’engagement de la haute direction et du conseil d’administration, ce qui signifie que les hauts dirigeants et les administrateurs devraient être informés régulièrement de tout enjeu lié aux pratiques de gouvernance en matière de protection de la vie privée et des données; établir des mécanismes de surveillance (p. ex., par le biais des comités de gestion de risques habituels ou en formant un comité de gouvernance distinct chargé de la protection des données); et communiquer régulièrement avec les employés et les parties prenantes pour présenter les initiatives associées aux données;

• désigner un directeur chargé de la protection de la vie privée et des données, lui conférer des pouvoirs, ou créer un bureau responsable de gérer le programme de protection de la vie privée et des données, leur fournir des ressources suffisantes et, si le directeur n’est pas un membre de la haute direction, lui donner accès régulièrement à la haute direction et au conseil d’administration;

• réaliser régulièrement des audits internes des pratiques de l’organisation en ce qui concerne la collecte, le partage et le traitement des données et des systèmes de contrôle mis en place; examiner régulièrement les pratiques en matière de protection et de gestion des données des fournisseurs et des partenaires d’affaires de l’organisation en vue de cerner, de gérer et d’atténuer tout risque.

5. Adopter des stratégies de minimisation des données

La minimisation des données consiste en une variété de stratégies qui visent à collecter, à utiliser et à divulguer uniquement les renseignements nécessaires à la fourniture d’un bien ou d’un service. En adoptant une stratégie de minimisation des données, une organisation s’assure d’aligner ses politiques sur les exigences énoncées dans la LPRPDE et le RGPD, lesquels obligent les organisations à limiter la collecte, l’utilisation et la divulgation d’information uniquement aux renseignements qui sont nécessaires à la fourniture d’un bien ou d’un service. La minimisation des données peut également améliorer le rendement d’une organisation du point de vue des facteurs sociaux et de gouvernance de ses objectifs en diminuant la vulnérabilité des renseignements personnels en sa possession en cas d’atteinte à la sécurité des données.

La minimisation des données peut de surcroît atténuer les effets néfastes d’une organisation sur l’environnement en réduisant la quantité d’énergie utilisée par les serveurs de celle-ci pour traiter et stocker les données, ainsi que la quantité de déchets électroniques générée par le matériel informatique mis au rebut.

6. Envisager de suivre les préceptes de l’éthique des données et de la transparence des algorithmes

Les organisations qui prennent des décisions fondées sur la technologie ou l’analyse de données devraient songer à intégrer des mécanismes de contrôle associés à l’éthique des données (p. ex., en tenant compte de considérations liées à l’éthique des données dans leur processus d’évaluation des facteurs relatifs à la vie privée) dans leur stratégie globale de traitement de données. Les organisations devraient également envisager d’inclure les préceptes de l’éthique des données et de la transparence des algorithmes dans leurs politiques de gouvernance internes et externes en matière de protection de la vie privée et des données. Une transparence accrue au moyen de divulgations additionnelles en matière d’éthique des données contribue à la responsabilisation des organisations. De plus, elle améliore la confiance des clients et des parties prenantes, du fait qu’ils savent que leurs données sont recueillies, stockées et traitées de manière éthique. Qui plus est, elle fait grimper la note ESG accordée à l’organisation, puisqu’une telle initiative démontre que l’organisation tient compte des répercussions sociales découlant de l’utilisation de données lorsqu’elle évalue de nouveaux systèmes de traitement de données ou des systèmes à risques plus élevés, comme l’intelligence artificielle et les processus de décision automatisés.

CONCLUSION

Les recommandations formulées précédemment donnent un aperçu des mesures que peuvent prendre les organisations pour inclure les pratiques de gouvernance en matière de protection de la vie privée et de gestion des données dans leur cadre de présentation de rapports ESG. En prenant de telles mesures, les organisations vont au-delà de l’approche qu’elles emploient habituellement pour s’acquitter de leurs obligations réglementaires en adoptant une stratégie globale de gestion des risques qui place au premier rang la protection de la vie privée et la sécurité des données. Ces mesures pourraient en outre contribuer à prolonger la durabilité de ces organisations et à affermir la confiance des parties prenantes envers ces dernières.

Pour en savoir davantage, communiquez avec :

Anne Drost                             514-982-4033                       

ou un autre membre de nos groupes ESG ou Protection de la vie privée et des données.