De nos jours, les organisations collectent de plus en plus de données à travers leur site Internet ou leurs applications. Ces données sont des actifs essentiels pour permettre à ces organisations de fonctionner, et elles ouvrent un univers de possibilités pour améliorer les services offerts à la clientèle.
Toutefois, ces données sont souvent très sensibles (par exemple, quand il s’agit de renseignements personnels), ce qui génère de nouvelles responsabilités en lien avec les lois et l’éthique et soulève des enjeux en matière de sécurité, de protection de la vie privée, de transparence et de responsabilité.
Ces principes sont au cœur d’une gestion éthique des données, et peuvent aider à guider les décisions quotidiennes en matière de collecte et d’utilisation de celles-ci.
Protection de la vie privée
Ce principe repose notamment sur l’idée que nos renseignements personnels nous appartiennent, et non aux organisations avec qui nous les partageons. Toute collecte de renseignements personnels constitue une intrusion potentielle dans la vie privée des individus qui les divulguent.
Afin de minimiser ce risque d’intrusion, toute collecte et toute utilisation de renseignements personnels doivent absolument être justifiées (par exemple, pour assurer le bon fonctionnement des services offerts), librement consenties (par exemple, en fournissant des informations très claires aux utilisateurs à chaque étape où une collecte de renseignements personnels est requise au cours de leur parcours), transparentes (par exemple, grâce à une politique de protection de la vie privée librement accessible aux utilisateurs des services), et responsables.
Responsabilité
Les organisations qui collectent des renseignements personnels sont légalement responsables de mettre en œuvre les mesures requises pour protéger ceux-ci (par exemple, des balises de sécurité technologique), et imputables en cas de bris de confidentialité (par les utilisateurs ou la loi), et d’incidents de sécurité (par exemple, une fraude de données).
D’un point de vue éthique plutôt que strictement légal, les organisations qui collectent et utilisent des données sensibles doivent également s’assurer qu’elles le font dans un objectif de bienfaisance (par exemple, les données collectées pourraient servir à améliorer les futurs services offerts à la population en permettant à l’organisation de mieux connaître les besoins de sa clientèle) et sont responsables de ne pas agir de manière malfaisante (par exemple, divulguer des renseignements personnels sans le consentement des utilisateurs).
Sécurité
Au cours des dernières années, les cyberattaques visant les entreprises du Québec se sont à la fois multipliées et complexifiées. Afin d’éviter de causer du tort aux personnes dont les renseignements personnels pourraient faire l’objet d’un accès non autorisé, les organisations doivent garantir que les données sont manipulées de manière sécuritaire à toutes les étapes de leur cycle de vie.
Des données bien protégées passent nécessairement par des infrastructures technologiques sécurisées, incluant notamment des méthodes de stockage robustes, et par une gouvernance reposant entre autres sur des politiques et des procédures de sécurité informatique strictes et solides (par exemple, sensibiliser les employés à la cybersécurité plusieurs fois par an).
Transparence
En termes de transparence, les organisations doivent fournir des informations claires et compréhensibles à tous les utilisateurs au sujet des données collectées, de leur utilisation, des mesures de protection de la vie privée, ainsi que des façons dont les utilisateurs peuvent retirer leur consentement à la collecte de renseignements personnels, contacter le responsable de la protection des renseignements personnels et, éventuellement, faire supprimer les données collectées à leur sujet.
Si des algorithmes sont utilisés pour traiter les données en vue de prendre des décisions pouvant affecter les droits des utilisateurs, les organisations doivent expliquer, avec transparence, la manière dont l’algorithme fonctionne, et permettre à l’utilisateur (dans la mesure du possible), de demander une révision de la décision.
Bien évidemment, ces quatre principes ne sont pas exhaustifs et il appartient à chaque organisation de déterminer l’ensemble des valeurs qui guident sa gestion des données (par exemple, placer l’utilisateur au centre des décisions), en plus de demeurer agile afin de s’adapter à l’évolution des exigences légales en la matière.