Fiducie de données et confiance accrue

30 janvier, 2023

​Jordan Prokopy, leader nationale, Protection des renseignements personnels
Jessica Wiseman, première directrice, Cybersécurité et protection des renseignements personnels

Les sociétés d’envergure mondiale ont connu d’intenses et coûteux cycles de préparation et de conformité en raison de l’adoption rapide, coup sur coup, d’une série de nouvelles réglementations portant sur la protection des renseignements personnels : le Règlement général sur la protection des données (RGPD), la California Consumer Privacy Act (CCPA) et plus de 2 500 lois régissant la confidentialité des données.1 Pour se conformer à cet éventail de réglementations, elles ont dû mettre en place des programmes de conformité à la pièce. Quatre-vingts pour cent des sociétés mondiales affirment qu’à elle seule, la conformité au RGPD leur coûte plus de 1 million de dollars par année, et 40 % d’entre elles y consacrent plus de 10 millions de dollars.2

Cette approche incohérente, à la pièce, est intenable.

Premièrement, la législation et la réglementation sur la protection des renseignements personnels ne montrent aucun signe d’essoufflement à l’échelle mondiale ou au Canada. La Loi 25 (anciennement projet de loi 64) a récemment été adoptée au Québec. L’Ontario, l’Alberta et la Colombie-Britannique proposent aussi de nouvelles exigences qui ajouteraient aux contraintes de conformité des entreprises canadiennes. Le projet de loi fédéral C-27 édicterait la Loi sur la protection de la vie privée des consommateurs du Canada (LPVPC) et mettrait à jour des parties de la Loi sur la protection des renseignements personnels et les documents électroniques. Ces changements seront considérables : selon un récent sondage de PwC Canada, une entreprise canadienne sur cinq (21 %) s’attend à dépenser 10 millions de dollars ou plus pour se préparer à la LPVPC, et 37 % prévoient l’embauche de 10 employés à temps plein au cours des deux à trois prochaines années.

Deuxièmement, les responsabilités des professionnels en protection des renseignements personnels n’ont cessé de s’étendre au-delà de l’inventaire et du mappage des données. Les évaluations de l’impact sur la vie privée (ÉIVP), de plus en plus exigées par les nouvelles réglementations, sont les fondements des programmes de protection des renseignements personnels. Plus les consommateurs affinent leurs connaissances en matière de confidentialité des données, plus ils sont susceptibles d’exercer leurs droits. De nombreuses entreprises constatent une augmentation du nombre de demandes d’accès de la part des consommateurs, et l’innovation s’accélère dans le domaine des technologies de protection des renseignements personnels.

Pour le bien de votre équipe de protection des renseignements personnels et de l’ensemble de votre entreprise, vous devez prendre une longueur d’avance. Il est toutefois important, pour y arriver, d’adopter une approche stratégique à long terme, résolument axée sur la protection des renseignements personnels et moins tributaire des listes de contrôle et des audits de conformité.

La sécurité et la confidentialité des renseignements personnels sont essentielles au succès de n’importe quelle entreprise, tout comme s’assurer que les clients et les actionnaires savent que leurs données sont protégées et comment. Heureusement, en protégeant ces renseignements de façon stratégique et en obtenant l’adhésion de l’entreprise, vous devriez avoir beaucoup plus de facilité à maintenir la conformité.

Cette approche stratégique à long terme, résolument axée sur la protection des renseignements personnels, repose sur une base solide que nous appelons la fiducie de données, qui consiste à utiliser les données de façon responsable, sûre et éthique afin de pouvoir s’y fier au moment de prendre des décisions d’affaires dans une perspective de croissance. Dans notre récent rapport Perspectives canadiennes du sondage Digital Trust 2022, seul le tiers environ des personnes interrogées affirment avoir des processus de fiducie de données établis et entièrement mis en œuvre dans quatre domaines clés : découverte, gouvernance, protection et minimisation des données. Qui plus est, seulement 36 % des organisations ont mappé toutes leurs données. Elles sont encore moins nombreuses (29 %) à disposer de processus matures de minimisation des données.

Alors, comment votre organisation peut-elle prioriser la protection des renseignements personnels et l’ancrer dans la fiducie de données?

Aussi contre-intuitif que cela puisse paraître, ce n’est pas le moment de faire passer votre programme de protection des renseignements personnels à la vitesse supérieure. Il s’agit d’abord de prendre du recul et de considérer cet enjeu dans son ensemble. Ce n’est qu’ensuite que vous commencerez à faire de grands projets pour positionner votre organisation comme un chef de file de la protection des renseignements personnels, aujourd’hui et dans l’avenir.

Étape 1 : Repenser et réactualiser votre stratégie de protection des renseignements personnels

Faites le point sur la situation actuelle et réactualisez votre stratégie de protection des renseignements personnels (en anglais seulement) pour l’harmoniser avec l’ensemble de vos stratégies d’affaires et en matière de données. Déterminez les mesures à prendre pour y arriver, notamment repenser votre modèle de protection des renseignements personnels et vos ressources et talents sous-jacents.

  • Comprenez les lacunes, les inefficacités et les risques de vos processus actuels.

  • Dressez un portrait de vos outils technologiques actuels en matière de protection des renseignements personnels. Comment pouvez-vous automatiser et renforcer vos capacités technologiques afin de gagner en efficacité?

  • Comprenez votre modèle d’exploitation. Déterminez comment et où les ressources sont utilisées, cernez vos lacunes en matière de talents et évaluez vos besoins en ressources.

Alignez votre stratégie de protection des renseignements personnels sur votre stratégie de fiducie de données. Évaluez les quatre capacités définies dans notre cadre de fiducie de données (en anglais seulement) : l’efficacité de l’entreprise en matière de découverte, de gouvernance, de protection et de minimisation des données qu’elle détient. Si la gouvernance des données est le processus, la fiducie de données est le résultat : des données auxquelles les décideurs peuvent se fier, et une utilisation éthique et sûre de ces données.

Près d’une entreprise sur cinq ayant répondu à notre sondage Global Digital Trust Insights 2023 de PwC ne dispose d’aucun processus formel relatif à la fiducie de données, une étape pourtant essentielle à l’exécution d’une stratégie correspondante.

Ayez une meilleure vue d’ensemble des tâches et des défis de vos partenaires d’affaires, et le plus tôt sera le mieux, y compris en matière de marketing, de gouvernance des données, d’analytique des données, de TI et de cybersécurité. Commencez à percevoir cet objectif comme un défi horizontal pour votre organisation structurée verticalement. Comme nous l’a montré notre sondage LPVPC – impact et préparation au printemps 2021, non seulement les chefs de la conformité consacrent des ressources à la préparation, mais également les chefs des systèmes d’information et les chefs des données. Il est essentiel de réunir des équipes de l’ensemble de l’entreprise pour saisir les occasions les plus pressantes, celles qui nécessitent du soutien en matière de protection des renseignements personnels, notamment les gains rapides qui exigent moins d’efforts et de collaboration.

Pour réactualiser votre stratégie et en améliorer l’efficacité, vous devez mettre en place un programme de protection des renseignements personnels qui harmonise votre stratégie d’affaires, votre stratégie de programme et votre stratégie à l’égard des ressources. Idéalement, ces trois stratégies doivent être synchronisées.

Étape 2 : Accélérer l’efficacité des mesures de conformité en normalisant et en automatisant certains processus

Une part importante du travail qu’effectuent actuellement vos équipes de protection des renseignements personnels pourrait être prise en charge par des technologies numériques avec beaucoup plus d’efficacité. Au lieu d’augmenter considérablement le nombre d’équivalents temps plein (ETP) au sein de vos équipes de protection des renseignements personnels, l’intelligence artificielle (IA) peut exécuter un nombre croissant de tâches, en particulier celles que vos équipes font à répétition, comme évaluer l’impact sur la vie privée, répondre aux demandes d’accès et mapper les données. Grâce à l’automatisation, il est plus facile de se conformer aux lois et exigences actuelles et émergentes et de maintenir cette conformité.

  • Rationalisez les processus de conformité en tenant compte des problèmes, des défis et des risques avec lesquels vous composez en matière de confidentialité des données. Le traitement des demandes d’accès, par exemple, est devenu en soi une tâche à temps plein (ou plusieurs), mais un processus normalisé pourrait automatiser cette tâche fastidieuse tout en vous permettant de respecter les lois applicables.

  • Ayez recours à des services gérés pour certaines fonctions. En impartissant certaines tâches fréquentes et répétitives de vos équipes de protection des renseignements personnels, comme les évaluations de l’impact sur la vie privée, les demandes d’accès, le mappage des données et la gestion des incidents, vous pouvez alléger votre budget et la charge de travail de vos employés. Les services gérés peuvent également s’avérer un soutien essentiel en cas de pénurie de ressources, en plus de garantir votre conformité.

  • Utilisez la technologie et l’automatisation pour exécuter un maximum de tâches et ainsi économiser temps et argent. Au lieu de recourir à des feuilles de calcul pour faire le suivi des flux de travail, pour gérer les données et pour administrer les projets, par exemple, utilisez des logiciels et des solutions qui automatisent ces tâches tout en garantissant votre conformité. La mesure dans laquelle vous utilisez la technologie et l’automatisation dépendra de la taille, de la complexité et du profil de risque de votre organisation.

  • Pensez à une stratégie de dépersonnalisation. En stockant un volume élevé de renseignements personnels, les organisations augmentent intrinsèquement leur fardeau de conformité et doivent déployer des mesures de contrôle pour protéger ces données. En examinant la possibilité d’adopter une stratégie de dépersonnalisation, les organisations déterminent dans quelle mesure elles peuvent aller de l’avant avec leurs priorités stratégiques sans accroître les efforts de conformité qu’exige un volume de données toujours plus imposant.

Étape 3 : Reconfigurer vos ressources et votre modèle d’exploitation à long terme

Maintenant que vous avez redynamisé votre stratégie, votre équipe de direction doit déterminer de quelles compétences l’équipe de protection des renseignements personnels aura besoin pour atteindre les objectifs de l’organisation et comment tirer le maximum du personnel. Voici trois modèles parmi lesquels choisir.

  • Équipe entièrement interne (nombre d’employés le plus élevé). Selon ce modèle, votre entreprise accorde une grande priorité à la protection des renseignements personnels, décide que c’est une compétence fondamentale et adjoint des employés à long terme à son équipe de protection des renseignements personnels.

  • Équipe interne et consultants (nombre moyen d’employés). Certaines entreprises souhaitent rapidement mettre en place des mesures de protection des renseignements personnels pour de multiples marques et secteurs d’activité tout en limitant les coûts liés aux effectifs. Au lieu de consacrer du temps à trouver et à former des employés qualifiés (une denrée rare), vous pouvez embaucher des consultants qui renforcent votre équipe de protection des renseignements personnels.

  • Technologies et services gérés (nombre d’employés le moins élevé). Une vague d’investissements privés dans les technologies de protection des renseignements personnels et l’émergence d’offres de services gérés mondiaux ont créé une troisième voie pour les entreprises. Ce modèle peut améliorer votre conformité, contribuer à réduire vos coûts et permettre à votre personnel de se concentrer sur les tâches stratégiques.

Une bonne part de ce contenu a été publié au départ par PwC États-Unis. Vous trouverez l’article original ici.


1 Jay Cline. « The 2021 global privacy regulation wave », LinkedIn Pulse, 30 novembre 2020, https://www.linkedin.com/pulse/2021-global-privacy-regulation-wave-jay-cline/.

2 Luke Irwin. « How much does GDPR compliance cost in 2021? », IT Governance European Blog, 10 juin 2021, https://www.itgovernance.eu/blog/en/how-much-does-gdpr-compliance-cost-in-2020.

Suivre PwC Canada