L’agronome doit s’assurer de la confidentialité et de la sécurité des renseignements personnels recueillis auprès de son client[1], que ce soit lors de leur collecte, de leur utilisation, de leur communication, de leur conservation ou de leur destruction. Quand un agronome conserve ces renseignements dans son ordinateur, sa tablette, son cellulaire ou encore son service infonuagique, aussi appelé le « cloud », il s’expose à des risques de fuite, vol ou perte de données ainsi que d’usurpation d’identité.
La protection des renseignements personnels est un élément intrinsèque du droit au respect de la vie privée.
En voici les principes fondamentaux [2]:
- Toute personne a droit à la protection de sa vie privée ;
- Lorsqu’une personne consulte ou constitue un dossier sur une autre personne, elle doit avoir un intérêt légitime et sérieux pour ce faire ;
- Il n’est permis de recueillir pour un dossier que les renseignements personnels pertinents à l’objet du dossier ;
- Il est interdit de communiquer des renseignements personnels à des tiers sans le consentement de la personne concernée, à moins d’y être autorisé par la loi.
En raison de l’utilisation de plus en plus fréquente des technologies de l’information (TI) dans le cadre des services conseils en agronomie, la protection des renseignements personnels et de l’entreprise agricole sont devenues un enjeu de conformité particulièrement important. Lorsque l’agronome utilise les technologies de l’information pour transmettre ou conserver des renseignements sur un client, il doit être vigilant et prendre les mesures de protection nécessaires. Certaines relèvent directement de l’agronome, d’autres des employeurs ou des responsables des services informatiques, le cas échéant, auquel vous devriez vous adresser au besoin pour valider la sécurité informatique.
Si des données sont archivées sur votre ordinateur personnel et que celui-ci se trouve à la résidence, vous devriez toujours vous assurer de le sécuriser dans un lieu adéquat. Ne le laissez pas dans la voiture. Verrouillez vos classeurs et sécurisez l’accès à tous les médias (CD, clé USB, disque dur de sauvegarde, etc.). Protégez l’accès par un mot de passe robuste.
Surveillez particulièrement le partage de session par Internet ou par Bluetooth. Ne partagez pas ces services en tout temps, faites-le seulement lors de nécessité précise et assurez-vous de décocher le partage de fichier une fois terminé.
Prenez soin de ne pas laisser votre matériel informatique (téléphone, portable, tablette) sans surveillance dans les lieux publics. Si vous prêtez votre matériel, faites-le seulement avec des personnes de confiance et dûment autorisés. Si vous utilisez un ordinateur public pour accéder à votre infonuagique, prenez soin d’effacer vos traces de téléchargement (incluant les documents imprimés qui sont nécessairement téléchargés).
Privilégiez les nuages composés de serveurs situés uniquement en sol canadien et sous le contrôle d’entité canadienne. Notez qu’en ce qui concerne les renseignements confidentiels hébergés sur des sites infonuagiques étrangers, le problème tient au fait qu’ils sont soumis à la juridiction du pays hôte. Procédez régulièrement à des sauvegardes automatiques des données et conservez une copie de toute information hébergée dans le nuage afin d’assurer la disponibilité de cette information en cas de panne ou de différend avec le fournisseur de services.
Lors d’un risque réel de préjudice
En présence d’un risque réel de préjudice, vous devrez peut-être aviser les victimes, la police, la Commission d’accès à l’information (CAI) et d’autres intervenants, si nécessaire. Tout d’abord, vérifiez auprès de votre entreprise, celle-ci a peut-être mis une politique en place et des procédures définies. Si vous n’avez pas accès à un tel service, vous devez mettre de l’avant, vous-même certaines procédures. Vous pourriez consulter l’aide-mémoire à l’intention des organismes et des entreprises « Que faire en cas de perte ou de vol de renseignements personnels ? » publié par la Commission d’accès à l’information.
Lorsqu’il est question de sécurité, le support utilisé devrait permettre d’identifier l’expéditeur et le destinataire et éviter toute possibilité de contestation quant à l’intégrité et la provenance des messages. De plus, il devrait permettre de sécuriser l’échange des données, de fiabiliser la conservation des données échangées et de bloquer l’accès aux données confidentielles.
Par exemple, l’utilisation d’un code d’accès, d’un logiciel antivirus et d’un pare-feu, la suppression des courriels louches et de leurs pièces jointes ainsi que l’activation de la mise en veille automatique constituent de bons moyens de protéger les renseignements personnels que l’agronome détient sur ses clients.
[1] Code de déontologie des agronomes, c. A-12, r.6, art. 18 et 34
[2]Loi sur la protection des renseignements personnels dans le secteur privé. Chapitre P-39.1