Enjeux et bonnes pratiques : vers l’amélioration de la conservation de données. Le cas d’étude de Tomat

Dans le cadre du programme d’une communauté d’innovation nommé Montréal en commun, pilotée par la Ville de Montréal, portée par le Collectif Récolte, Tomat, la plateforme de gestion de coupons nourriciers basés sur des cartes rechargeables, a suivi un accompagnement personnalisé afin d’améliorer sa gestion de données sensibles et, par le fait même, d’élaborer des politiques et procédures de conservation de données au sein de leur organisation. Par la suite, l’organisation à implanter des actions concrètes liées aux sujets mentionnés, issues du Cadre de gouvernance des données et Montréal en commun. Cette démarche itérative a été découpée en plusieurs sessions, notamment l’identification des blocages, la formulation d’hypothèses, l’observation des progrès, et ce, afin d'en tirer des apprentissages.

Aperçu de l’organisation : Tomat

La plateforme Tomat est une solution technologique qui permet aux participantes et participants d’un programme de coupons nourriciers de bénéficier d'une carte solidaire alimentaire rechargeable et de valider le solde disponible sur leurs cartes d’achats. En outre, cette plateforme permet également aux  gestionnaires des programmes une gestion des fonds, des versements et la distribution des cartes.La plateforme détient donc des données personnelles sur les personnes utilisant celle-ci. Par mesure de sécurité, une sauvegarde de la base de données est effectuée régulièrement.

Introduction

Dans le contexte actuel, l’information occupe une place prépondérante dans tous les domaines. Ainsi, la conservation de données constitue un élément crucial. Que ce soit dans le cadre professionnel, personnel ou scolaire, la gestion appropriée des données revêt une importance majeure. Dans cet article, nous explorerons les enjeux rencontrés par Tomat quant à l’amélioration de la conservation des données. Cet enjeux de conservation des données étant lié à une problématique de départ reliée à la gestion des données sensibles et personnelles a pu être éclairci grâce à un accompagnement ciblé portant sur une réflexion quant à la gestion limitée de données sensibles et personnelles stockées sur la plateforme Tomat. Voyons ensemble le parcours de Tomat et ses apprentissages.

Importance de la conservation des données

Tout d’abord, une première question émerge : pourquoi est-il si essentiel de conserver les données correctement ? Les données représentent souvent des actifs précieux pour les organisations, les chercheurs, les entreprises et les particuliers également. Une gestion efficace des données permet de préserver l’héritage informationnel, d’optimiser les processus et de prendre des décisions éclairées et d’assurer une traçabilité.

Les enjeux de début de parcours de Tomat

Pour Tomat, la gestion des données sensibles et personnelles stockées sur la plateforme Tomat était très limitée. Par ailleurs, Tomat n’avait pas de procédures ni d’outils de suivi formels pour l’automatisation et la suppression des données saisies ou importées au sein de la plateforme. Cette situation ne permettait pas de déterminer à quel moment, par qui et comment les données devaient être conservées, archivées ou supprimées.

Les enjeux de la conversation de données

La conservation des données présente plusieurs défis. L’un des principaux enjeux consiste en la sécurité des données. Les menaces telles que les cyberattaques, les virus informatiques et les erreurs humaines peuvent également compromettre l’intégrité des données. La mise en place de mesures de sécurité robustes telles que des sauvegardes régulières, l’utilisation de pare-feux et de logiciels antivirus est essentielle afin de garantir la protection des données.

Les risques et enjeux concernant la conservation de données personnelles sont ainsi multiples dans le cas d’une base de données. Ainsi, l’organisation Tomat souhaitait établir des politiques et des procédures internes de conservation des données, qui soient complètes et adaptées à leurs besoins, afin d’être en conformité avec la Loi 25.

Actions concrètes implantées par Tomat afin de résoudre les problématiques de départ

Lors de l’accompagnement ciblé, ces actions ont permis, de manière transversale, de réduire les risques et enjeux rencontrés par l’organisation.

• Établissement d’une politique de conservation des données complète et adaptée aux besoins ;
  
  
• Conception d’une stratégie d'archivage autour des efforts de classification des données, et ce, en déterminant la durée de vie utile des différents types de données ;
  
  
• Développement et documentation d’un processus de destruction décrivant les étapes nécessaires à la destruction des données ;
  
  
• Élaboration d’une gestion des risques de la conservation et la destruction des renseignements personnels.

Des résultats concrets !

Des résultats concrets ont découlé de cet accompagnement ciblé pour résoudre cette problématique de départ et par la suite, des actions ont été mises en place. Tout d’abord, des règles d’affaires ont été établies quant à la conservation des renseignements personnels des personnes utilisatrices de la plateforme Tomat et des personnes participantes au programme de coupons nourriciers. Ces données ont été conservées dans un format brut et les règles suivantes ont été mises en place : 

• les personnes utilisatrices (qui se connectent) voient leurs données conservées 5 ans après la dernière connexion à la plateforme ;
  
  
• les personnes participantes (celles qui ne se connectent pas, mais qui ont des données ou des cartes) voient leurs données conservées selon leur type d’abonnement :
  
  • Abonnement : les données sont conservées 5 ans après la date d’expiration de l’abonnement ;
  • Pas d’abonnement et de montant cadeau : les données sont conservées 5 ans après la date d’entrée dans la plateforme ;
  • Pas d’abonnement, mais un montant cadeau (aucune date d’expiration) : les données sont conservées 5 ans après la dernière utilisation de la carte par la personne détentrice de la carte.

L’importance de l’élaboration de politiques et de procédures internes et l’art de poser les bonnes questions quant à la conservation de données

L’aspect de l’importance de l’élaboration de politiques et de procédures internes est primordial afin de couvrir l’ensemble du cycle de vie des renseignements personnels détenus par une organisation. Ces politiques et procédures doivent également être rédigées dans un langage simple et clair. En outre, la création d’un calendrier de conservation de données détaillé est nécessaire.

Mentionnons ici quelques points d’une liste de vérification qui pourrait être utile à tous types d’organisation afin d’élaborer des politiques et des procédures de conservation des données, notons, entre autre:

• Les renseignements détenus font-ils l’objet d’un examen périodique afin de déterminer si la fin visée par la collecte a été respectée? Si oui, à quelle fréquence ?
  
  
• Existe-t-il un inventaire des renseignements personnels conservés, à quelles fins et pendant combien de temps ?
  
  
• Est-ce que l’organisation a déjà mis en place un délai de conservation minimum précis prévu par la loi ?
  
  
• À quel moment l’organisation devrait-elle procéder au retrait des renseignements personnels ?
  
  
• Quelles mesures devraient être prises pour veiller à ce que l’équipement ou les dispositifs servant au stockage des renseignements personnels soient convenablement détruits ou aseptisés ?
  
  
• Qui est la personne chargée d’établir une politique en matière de conservation et de retrait ?
  
  
• Dispose-t-on d’une zone sécuritaire désignée pour la destruction des documents ?

Les apprentissages

• Il est important de documenter soigneusement les données produites, et ce, tout au long de leur cycle de vie.
  
  
• Le retour d’expérience sur l’analyse d’éléments avec d’autres participants peut être d’une grande aide pour nos propres projets. Ces échanges permettent un partage d’outils  et une meilleure compréhension des actions à prendre pour une meilleure sécurisation de nos données.
  
  
• Bien que le partage d’outils avec d’autres participants soit fort utile, il faut toujours garder en tête les particularités des différentes organisations. Ainsi, leurs réalités et leurs visions divergent largement.

« Oui, notre accompagnement a permis de clarifier certains éléments concernant la conservation de données, mais également d’avoir une meilleure connaissance des éléments entourant ce sujet que ce soit au niveau légal ou sécurité, et ce, d’une manière adaptée à notre cas. Nous avons pu approfondir et aller dans les détails par rapport à notre conservation de données » - L’équipe Tomat

À propos du Chantier de la gouvernance des données de Montréal en commun

Nord Ouvert, en tant que porteur du Chantier de la gouvernance des données de Montréal en commun, propose un parcours de la gouvernance des données à la communauté d’innovation afin de progressivement opérationnaliser les principes de la Charte de données numériques de la Ville de Montréal. Le programme mise explicitement sur la collecte, le partage et la valorisation des données pour éclairer la prise de décisions collectives et individuelles. 

Montréal en commun rassemble une communauté d’innovation pilotée par la Ville de Montréal dont les partenaires expérimentent avec des solutions en accès à l’alimentation, en mobilité et en données et règlementation municipale dans un désir de repenser la métropole. Les projets sont mis en œuvre grâce au prix de 50 M$ octroyé à la Ville de Montréal par le Gouvernement du Canada dans le cadre du Défi des villes intelligentes.

Cet article a piqué votre curiosité et vous aimeriez en savoir plus sur la gouvernance des données ? Vous ne savez pas par où commencer ? Trouvez d’autres ressources, des formations gratuites et plus encore sur notre site Web : https://opennorth.ca/fr/  

Auteur: Nord Ouvert
Contributions à la recherche et la rédaction: Mathilde Ravenel (Tomat) et Judith François-Langevin (Nord Ouvert)
Remerciements à l’ensemble de nos collègues et clients de Nord Ouvert qui contribuent sans cesse à approfondir et faire évoluer notre compréhension de la gouvernance des données et de ses bonnes pratiques.