Nous savons tous que la qualité de l’information est inégale sur internet. On y trouve le meilleur et le pire, ce qui demande du discernement dans le choix des ressources et services en ligne qui devraient jouir d’une très bonne réputation et avoir fait leurs preuves. Ceci est évidemment d’autant plus important quand il s’agit d’informations ou de services relatifs à la santé.
Mais au-delà de la fiabilité du contenu, un autre aspect critique à prendre en compte concerne la protection des données personnelles des utilisateurs, et particulièrement celles relatives à leur santé, considérées comme sensibles, afin d’en éviter le commerce et de garantir le respect de la vie privée.
Cette phrase-choc d’un auteur anonyme résume bien le modèle d’affaires qui a permis à l’industrie du contenu et des services gratuits sur internet de générer des profits gigantesques: la gratuité attire une foule d’utilisateurs qui, en laissant des traces de leur consultation ou en s’identifiant pour personnaliser leur utilisation, deviennent le produit vendu à fort prix aux annonceurs et marchands de la planète entière. Plus de traces sont laissées, plus le profil de l’utilisateur devient complet et précieux, car on sait alors à quelles tentations il ou elle cédera. Si certaines de ces traces permettent d’inférer la condition de santé de l’utilisateur, le risque d’invasion de la vie privée augmente; à titre d’exemple, l’assurabilité de l’utilisateur pourrait être impactée.
Un problème supplémentaire – et non des moindres – est l’usurpation d’identité, rendue possible par l’interception malintentionnée de ces données personnelles et leur croisement. On imagine facilement les abus qui peuvent se produire quand cette usurpation réussit, et la réalité montre qu’il s’agit d’un risque bien réel, élevé et aux conséquences potentiellement graves.
Cette réalité a amené les autorités de plusieurs pays à réglementer l’industrie pour réduire les risques mentionnés ci-dessus. Toute entreprise faisant affaire dans une ou plusieurs de ces juridictions doit obligatoirement se conformer aux réglementations locales.
Au Canada, le Québec a été la première province à se doter d’une loi visant à assurer la protection des renseignements personnels, il y a déjà plus de 25 ans. Le gouvernement fédéral et les autres provinces ont suivi – chacune de son côté – avec le résultat qu’il y a aujourd’hui une douzaine de textes de loi plus ou moins équivalents, mais non identiques, auxquels les entreprises doivent se conformer!
Aux États-Unis, une situation semblable s’est développée, l’État de Californie ayant la réglementation la plus avancée et contraignante.
L’Union européenne quant à elle a donné l’exemple au monde entier en adoptant dès 2016 une réglementation moderne et unifiée pour tous les États membres, connue sous le nom de Règlement général sur la protection des données (RGPD), considérée un modèle à suivre et qui semble devenir la norme de référence internationale. C’est d’ailleurs ce qui est en voie de se produire au Québec avec le Projet de loi 64, au Canada avec le Projet de loi C-11 et étonnamment même aux États-Unis avec la modernisation du California Privacy Rights Act (CPRA) qui entrera en vigueur en 2023: Dans ces trois cas, il y aura convergence vers le RGPD européen !
Chez SOSCuisine.com, nous avons complété la mise en conformité complète avec l’ensemble des réglementations canadiennes fédérales et provinciales. Pour ce faire, nous avons dû mettre en place des mesures de sécurité administratives, physiques et techniques afin de protéger l’intégrité des données, la confidentialité et la sécurité de nos services en ligne.
Pour vous donner une idée de l’ampleur de l’effort, voici une liste non exhaustive de ces mesures: nouvelles procédures de travail, contrôles d’accès aux données adaptées aux différents rôles de nos employés, enregistrement de tout accès aux données de santé, stockage des données au Canada, formation continue de nos employés sur la confidentialité et la cybersécurité, tests systématiques du site pour déceler bogues et vulnérabilités de sécurité éventuelles, chiffrement (cryptage) de toutes les données transférées entre notre site et les utilisateurs et chiffrement des mots de passe avec des algorithmes robustes, migration vers les meilleurs environnements infonuagiques d’hébergement du site et de travail collaboratif du point de vue sécurité et confidentialité, utilisation de messagerie et de courriels sécurisés, vérification de la conformité de nos fournisseurs aux réglementations, ainsi que des réunions périodiques pour réviser nos méthodes dans l’esprit de l’amélioration continue.
Comme vous pouvez le constater, assurer adéquatement la protection des données personnelles n’est ni simple ni bon marché, mais nous considérons que cela relève de notre devoir d’offrir des services professionnels, fiables et sécuritaires pour tous nos utilisateurs, et notamment pour les patients que grand nombre de médecins nous réfèrent.
Soyons vigilants lorsque nous consultons des ressources et services en ligne, non seulement en ce qui a trait à la fiabilité du contenu, mais assurons-nous aussi qu’ils protègent adéquatement les données personnelles des utilisateurs, et en particulier les données relatives à la santé. En attendant que des certifications indépendantes de conformité fassent leur apparition sur le marché, la meilleure manière d’en assurer est de privilégier des ressources et services bien établis, jouissant d’une réputation de sérieux et qui déclarent explicitement la nature et l’étendue de leur conformité en regard de la réglementation.
Laisser un commentaire