Auteur(s) :
Adam Kardash, Andrew MacDougall
Le 1er décembre 2021
Le concept de responsabilité démontrable dans la législation sur la protection de la vie privée est dynamique et évolue, selon Adam Kardash, associé, Respect de la vie privée et gestion de l’information, chez Osler. Adam et ses invités spéciaux, Andrew MacDougall, associé, Droit des sociétés, Bojana Bellamy, présidente du Centre for Information Policy Leadership, et Martin Abrams, directeur général et stratège en chef de l’Information Accountability Foundation, ont discuté, lors de la table ronde d’AccessPrivacy de novembre, de la manière dont la responsabilité démontrable apparaît dans les discussions actuelles sur la réforme législative et interagit avec les principes de gouvernance d’entreprise.
La responsabilité est la pierre angulaire de la législation canadienne sur la protection de la vie privée dans le secteur privé et le domaine de la santé, les organisations étant responsables des renseignements personnels en leur possession et mettant en œuvre des politiques et des procédures en conséquence. En 2012, les commissaires canadiens à la protection de la vie privée ont annoncé qu’ils s’attendaient à ce que les organisations faisant l’objet d’une enquête soient en mesure de démontrer que leurs programmes de protection de la vie privée sont exhaustifs. Bien que le terme lui-même n’apparaisse pas dans le texte, le projet de loi 64 récemment adopté par le Québec intègre plusieurs caractéristiques de la responsabilité démontrable, comme l’exigence de politiques internes, de transparence et d’évaluations des incidences sur la vie privée dans le cadre d’un régime d’application. Le concept se manifestera probablement dans d’autres territoires au fur et à mesure que les conversations se poursuivent autour de la réforme législative sur la protection de la vie privée à l’échelle du pays.
Au niveau mondial, la responsabilité démontrable s’est considérablement développée au cours de la dernière décennie. Le concept apparaît dans la législation du Brésil, de Singapour et de l’Australie, ainsi que dans le Règlement général sur la protection des données (le « RGPD ») de l’Union européenne, entre autres sources juridiques. Non seulement les organismes de réglementation attendent des entreprises qu’elles démontrent la solidité de leurs programmes de protection de la vie privée, mais les actionnaires, les médias et le grand public exigent que ces organisations soient tenues pour responsables et agissent de manière responsable dans la façon dont elles stockent et utilisent les données. Alors que les entreprises réévaluent leur rôle dans la société dans le cadre du mouvement ESG plus large, elles doivent également se demander si leur traitement des données est conforme à leurs valeurs et aux attentes de la société. Les volumes de données qu’elles contrôlent augmentant rapidement, les entreprises doivent se conformer à la fois à la perception du public et à la loi afin de tirer parti en toute sécurité des occasions commerciales que ces données présentent.
L’un des défis auxquels sont confrontés les organismes de réglementation est d’éviter que la responsabilité ne devienne le simple exercice d’une case à cocher. Pour être une organisation responsable en matière de données, il ne suffit pas de produire certains documents, même s’il peut être difficile de disposer simultanément d’un programme actif et solide et d’innover et de créer de la valeur grâce à l’utilisation des données. Le passage d’un système de conformité à un système où les opinions de la société sur l’information et la vie privée évoluent, à un système où les entreprises ont la flexibilité de trouver de nouvelles façons d’utiliser les données de manière créative et de démontrer leur responsabilité, constituera une grande partie de la conversation à l’avenir.
Écoutez la conférence téléphonique AccessPrivacy du mois de décembre 2021 sur osler.com.