Gestion des risques liés à la conservation des données au Québec : cas d’études de Tomat

Dans le cadre du programme d’une communauté d’innovation nommée Montréal en commun, pilotée par la Ville de Montréal et portée par le Collectif Récolte, Tomat, une plateforme de gestion de coupons nourriciers basés sur des cartes rechargeables a également suivi un accompagnement personnalisé afin d’améliorer sa gouvernance de données étape par étape, et ce, en intégrant trois aspects spécifiques très importants, soit l’aspect juridique, éthique et un dernier aspect axée sur l’efficacité au sein de leur organisation. Ce dernier leur a permis de renforcer leurs capacités à cet égard.
Par la suite, l’organisation a pu examiner les diverses étapes conduisant à l’implantation d’une bonne gouvernance des données, ce qui a permis de mettre en place des actions au sein de son organisation ou lors de projets par la suite.

Aperçu de l’organisation: Tomat

La plateforme Tomat est une solution technologique qui permet aux participantes et participants d’un programme de coupons nourriciers de bénéficier d’une carte rechargeable. La plateforme permet également à ces participants de consulter le solde disponible de leur carte d’achat. En outre, Tomat permet également aux gestionnaires du programme une bonne gestion des fonds, des versements et de la distribution des cartes.
La plateforme détient donc des données personnelles sur les participants recevant les cartes et sur les utilisateurs se connectant à la plateforme. Par mesure de sécurité, une sauvegarde de la base de données est effectuée régulièrement.

Introduction

La gestion des risques liés à la conservation des données est devenue cruciale dans un contexte où les entreprises au Québec sont confrontées à des défis croissants en matière de protection des données et de conformité légale. Cette gestion efficace vise à garantir la sécurité, la conformité et la durabilité des informations, tout en naviguant à travers les spécificités des lois québécoises quant à la protection des renseignements personnels.

Les enjeux de début de parcours de Tomat

Dans le cas présent, la gestion des données sensibles et personnelles stockées au sein de la plateforme Tomat était très limitée. En outre, Tomat n’avait aucun processus ou outil de suivi formel en place tels que des mécanismes d’automatisation de la suppression des données saisies ou importées au sein de la plateforme. Dans ces conditions, il devenait impossible de déterminer les lignes directrices quant à la gestion de ces données

Analyse des risques autour de la conservation et de la destruction: possible solution aux enjeux

Pour contrer ces enjeux, Tomat a travaillé sur la gestion des risques de la conservation et de la destruction des renseignements personnels, et ce, afin de renforcer la sécurité de leurs données, ce qui a permis d’améliorer la conformité de leurs processus et de leurs politiques. Ces mesures ont permis de réduire les dommages potentiels.

La première étape consistait à déterminer ces risques et à développer un outil d’analyse des risques. La seconde étape, quant à elle, consistait à vérifier l’efficacité de l’étape précédente. Dans ce but, Tomat a créé un tableau d’analyse des risques permettant d’identifier ces risques, de les classifier, de les évaluer et de développer des stratégies de mitigation, ce qui permettra de les atténuer, puis de suivre l’évolution de ces risques.

Tactiques implantées par Tomat afin de résoudre les problématiques de départ

En combinant des tactiques fondamentales et opérationnelles, Tomat a pu établir ses tactiques, ci-dessous, afin de mettre en place la stratégie de gestion des risques suivante :

Tomat: Apprentissages liés à la gestion de risques

• Réaliser une analyse des risques a permis de mettre en évidence les faiblesses dans des processus et des outils de protection des renseignements personnels et sensibles. Cette analyse a également permis d’établir des actions à mettre en place pour réduire les risques mis en évidence pour la plateforme Tomat;
  
  
• Une rencontre avec FabMob, une autre organisation faisant partie de l’accompagnement ciblé, a permis de bons résultats,  notamment en raison des rétroactions sur l’expérience de leur propre analyse des risques ;
  
  
• Tomat a pu utiliser des outils de FabMob afin d’avoir une vue de bonnes pratiques et des actions à mettre en place pour sécuriser leurs données. Toutefois, il est important de retenir que les plateformes de Tomat et FabMob  présentent des différences et vivent des réalités distinctes avec une vision de l’analyse des risques qui diffère.

Somme toute, grâce à l’accompagnement ciblé, Tomat a pu:

• spécifier les délais de conservation appropriés pour chaque catégorie de données en fonction des obligations légales et opérationnelles ;
• produire un calendrier de conservation des données ;
• mettre en place des procédures formelles pour l’anonymisation ou la destruction sécurisée des données obsolètes ou inutiles, et ce, conformément aux règles de conservation en vigueur ;
• identifier les éventuelles menaces et vulnérabilités intrinsèques à leur projet ;
• prioriser les risques ;
• Déterminer des mesures proactives pour amoindrir les risques, et ce, tout en identifiant des responsables de leur mise en œuvre.

Au Québec, la gestion des risques liés à la conservation des données est indissociable d’une conformité aux lois provinciales et de la lutte contre les menaces émergentes. En adoptant une approche stratégique et en restant informées quant aux évolutions légales, les entreprises peuvent préserver la confidentialité et l’intégrité de leurs données, et ce, de manière proactive.

« Oui, notre accompagnement a permis de clarifier certains éléments de la gouvernance de données, mais aussi d’avoir une connaissance beaucoup plus précise et spécifique liée à notre cas. Nous avons pu approfondir et aller dans les détails par rapport à la gouvernance des données » - L’équipe Tomat

À propos du Chantier de la gouvernance des données de Montréal en commun 

Nord Ouvert, en tant que porteur du Chantier de la gouvernance des données de Montréal en commun, propose un parcours de la gouvernance des données à la communauté d’innovation afin de progressivement opérationnaliser les principes de la Charte de données numériques de la Ville de Montréal. Le programme mise explicitement sur la collecte, le partage et la valorisation des données pour éclairer la prise de décisions collectives et individuelles. 

Montréal en commun rassemble une communauté d’innovation pilotée par la Ville de Montréal dont les partenaires expérimentent avec des solutions en accès à l’alimentation, en mobilité et en données et règlementation municipale dans un désir de repenser la métropole. Les projets sont mis en œuvre grâce au prix de 50 M$ octroyé à la Ville de Montréal par le Gouvernement du Canada dans le cadre du Défi des villes intelligentes.

Cet article a piqué votre curiosité et vous aimeriez en savoir plus sur la gouvernance des données ? Vous ne savez pas par où commencer ? Trouvez d’autres ressources, des formations gratuites et plus encore sur notre site Web : https://opennorth.ca/fr/  

Auteur: Nord Ouvert
Contributions à la recherche et la rédaction: Mathilde Ravenel (Tomat) et Judith François-Langevin (Nord Ouvert)
Remerciements à l’ensemble de nos collègues et clients de Nord Ouvert qui contribuent sans cesse à approfondir et faire évoluer notre compréhension de la gouvernance des données et de ses bonnes pratiques.