Gestion des renseignements personnels : 3 conseils pratiques de notre équipe en gestion intégrée des documents

La Loi modernisant des dispositions légales en matière de protection des renseignements personnels (Loi 25) peut apporter son lot de questionnements pour le personnel des établissements d’enseignement. Notre équipe de conseillères et conseillers en gestion intégrée des documents (GID) vous propose trois trucs et conseils qui sauront sans doute vous aider à adopter de nouvelles pratiques sécuritaires et conformes à Loi 25!

1. Savoir reconnaître un renseignement personnel : la première étape!

La Commission d’accès à l’information du Québec décrit la notion de renseignement personnel comme une information qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier. Le gouvernement du Québec présente les concepts clés liés aux renseignements personnels et la façon de les reconnaître.

Les principales catégories :

Renseignements d’identification;
Renseignements de santé;
Renseignements financiers;
Renseignements relatifs au travail;
Renseignements scolaires et relatifs à la formation;
Renseignements relatifs à la situation sociale ou familiale.

Être en mesure de bien identifier un renseignement personnel, c’est la première étape pour mieux le protéger! Si vous vous posez des questions en consultant une donnée qui vous parait personnelle, n’attendez pas pour vérifier. En cas de doute, avoir le réflexe de valider constitue un excellent moyen de prévenir une mauvaise gestion des renseignements personnels et de réduire les risques de fuite. Pour vous aider, voici quelques exemples :

Renseignements personnels	Renseignements génériques
Nom, prénom et code permanent	Nom et prénom
Nom, prénom et date de naissance	Nom, prénom et fonction au sein d’un établissement
Nom, prénom et inscriptions à un cours	Nom, prénom et coordonnées professionnelles (adresse courriel avec le domaine de l’établissement, numéro de téléphone de l’établissement, etc. )

2. Être vigilant en tout temps : identifier où peut se retrouver un renseignement personnel

Quels sont les documents, outils et emplacements où l’on peut retrouver un renseignement personnel? La réponse est simple : partout! En effet, les renseignements personnels sont souvent documentés ou transmis dans des fichiers (Word, Excel, PowerPoint, PDF, etc.), des courriels, des documents papier, des bases de données, des conversations Teams ainsi que des métadonnées.

On en retrouve également dans tous les statuts de documents, qu’ils soient des ébauches, brouillons, documents finaux, versions principales ou secondaires, copies, etc.

Plus encore, des renseignements personnels sont souvent cachés et conservés dans des endroits où on ne le soupçonne pas, notamment dans les lieux de stockage de l’organisation et souvent, dans des lieux de stockage personnels. On peut donc en retrouver :

Dans les dossiers « Téléchargements » des postes de travail;
Dans des dossiers papier rangés ou « oubliés » dans les tiroirs;
Dans des disques durs externes ou des clés USB « de sauvegarde »;
Dans des copies temporaires pour travailler hors connexion ;
Dans des dossiers sur les postes de travail suite à la synchronisation des dossiers;
Dans des notes « personnelles », dans les OneNote ou les cahiers de notes des employés;
Dans certains champs « Notes » ou « Commentaires » dans les bases de données;
Dans des dossiers « archives » des courriels (ex. : fichiers .pst) ;
Dans des listes de candidats ou d’étudiants;
Dans des pièces jointes des courriels;
Dans des courriels supprimés d’une boîte courriel qui n’est jamais vidée;
Et autres !

La vigilance est donc de mise! Des mécanismes de gestion et protection de l’information bien établis, en phase avec votre politique organisationnelle et conformes aux obligations légales, vous aideront certainement à ne laisser passer aucun renseignement personnel à travers les mailles de votre établissement!

3. Faire sa part : facile et important!

Et après, qui est concerné? Tout le monde! Ou presque! La Loi sur l’accès mentionne que les renseignements personnels sont accessibles à toute personne qui a qualité pour le recevoir au sein d’un organisme public lorsque ce renseignement est nécessaire à l’exercice de ses fonctions (art. 62).

Que ce soit aux ressources humaines, aux services éducatifs ou encore aux ressources financières, les renseignements personnels se retrouvent dans les processus de plusieurs services des organisations, et ce, à tous les échelons. Autrement dit, toute personne employée doit jouer un rôle dans la mise en place de pratiques d’encadrement des renseignements personnels.

Analyser vos pratiques personnelles et vos outils vous réservera certainement des surprises! Courriels conservés « au cas où », fichiers enregistrés au mauvais endroit ou partages de documents non sécurisés sont des pratiques courantes auxquelles il faut porter attention. Commencer dès maintenant à développer le « réflexe renseignement personnel » facilitera votre transition vers des pratiques plus sécuritaires.

Faites appel à nos spécialistes en gestion intégrée des documents pour vous accompagner et vous conseiller. Plusieurs de nos services en gouvernance et gestion de l’information ont été développés pour vous soutenir dans l’adaptation de vos méthodes de travail et processus de gestion informationnelle, en conformité avec vos différentes obligations légales.

Pour obtenir plus d’information sur nos services, veuillez communiquer avec nous à l’adresse courriel suivante : gid@collecto.ca