Cinq façons de protéger votre lieu de travail et la vie privée de vos employés
Cet article est une version condensée et adaptée du document d'orientation de l'OIPC intitulé "Sécurité informatique et protection de la vie privée des employés".]
Nous attendons tous des organismes publics et des entreprises qu'ils sécurisent leurs réseaux informatiques contre les menaces extérieures, mais qu'en est-il de celles qui peuvent survenir sur votre lieu de travail ? Les outils logiciels peuvent fournir une certaine protection, mais ils peuvent aussi conduire à la collecte involontaire des informations personnelles de vos employés.
Lorsqu'un employé utilise l'ordinateur de son lieu de travail pendant sa pause déjeuner, par exemple, pour consulter ses opérations bancaires en ligne, accéder aux résultats d'un laboratoire médical ou communiquer avec son conjoint pour planifier la prise en charge de la garderie, des informations personnelles peuvent être en jeu. Un outil de sécurité qui contrôle, suit ou vérifie cette activité peut collecter les informations personnelles des employés.
Les lois provinciales sur la protection de la vie privée imposent des limites légales aux entreprises des secteurs public et privé qui peuvent collecter, utiliser ou divulguer des informations personnelles. Bien qu'il n'existe pas de solution universelle, les conseils suivants vous aideront à vous assurer que vos protocoles de sécurité informatique sont conformes aux lois sur la protection de la vie privée de la Colombie-Britannique.
1. Veillez à ce que le personnel chargé des technologies de l'information et des achats consulte votre responsable de la protection de la vie privée lorsqu'il envisage de nouveaux outils et protocoles de sécurité.
Chaque fois que vous envisagez un nouveau protocole de sécurité, votre personnel des TI et des achats devrait être en étroite communication avec le responsable de la protection de la vie privée ou le conseiller juridique de votre organisation avant de prendre des décisions sur la mise en œuvre, ainsi que tout au long du processus de mise en œuvre. Il existe des solutions qui tiennent compte de la protection de la vie privée et de la sécurité des systèmes, mais vous devez veiller à ce que les deux intérêts soient pleinement pris en compte à tout moment.
2. Réaliser une évaluation des facteurs relatifs à la vie privée
L'une des meilleures façons pour les organisations d'évaluer les risques d'atteinte à la vie privée liés à un programme, à une politique ou à un logiciel est de procéder à une évaluation des facteurs relatifs à la vie privée. Cela vous permettra de vous assurer que vous avez planifié non seulement le fonctionnement du programme, mais aussi le type d'informations personnelles que vous collecterez et la manière dont vous pouvez atténuer les problèmes potentiels en matière de protection de la vie privée. Faites ce travail dès les premières étapes de la planification ; n'attendez pas d'avoir acheté un logiciel ou des dispositifs de surveillance qui pourraient vous mettre hors la loi sur la protection de la vie privée.
3. Informer vos employés
Vos employés ont le droit de savoir quelles informations votre organisation recueille à leur sujet lorsqu'ils utilisent les ordinateurs, les réseaux et les appareils intelligents mis à leur disposition sur leur lieu de travail. Ces informations figurent généralement dans les conditions d'utilisation de l'employeur, qui sont signées par les employés lorsqu'ils commencent un nouvel emploi. Vous devez rédiger ces avis avec soin.
Indiquez l'objectif du programme, l'autorité statutaire pour la collecte d'informations personnelles résultant de leurs protocoles de sécurité informatique, et donnez les coordonnées d'une personne qui peut répondre aux questions de vos employés. Les employeurs doivent également être prêts à expliquer aux employés le fonctionnement de la technologie, l'étendue des informations personnelles qu'ils collecteront et ce qui sera fait de ces informations.
4. Ne pas procéder à la collecte continue et en temps réel d'informations personnelles sur les employés
La collecte continue ou en temps réel d'informations personnelles sur les employés, telle que l'enregistrement des frappes et la capture d'écran, doit être limitée à des enquêtes ciblées lorsqu'il existe des motifs raisonnables de suspicion ou d'actes répréhensibles, et seulement lorsque d'autres mesures moins attentatoires à la vie privée ont été épuisées.
5. En cas de doute, demandez à l'OIPC
Notre bureau est à votre disposition pour répondre à vos questions sur tout type de sécurité informatique que vous envisagez. Nous pouvons vous aider à identifier les défis en matière de conformité et discuter des solutions potentielles aux problèmes. Lesemployés peuvent également nous contacter s'ils ont des questions ou des inquiétudes concernant le droit à la vie privée sur le lieu de travail.
Cliquez ici pour lire l'intégralité du document d'orientation de l'OIPC, IT Security and Employee Privacy : Conseils et orientations.
