L’importance d’une évaluation de l’impact sur la vie privée
La réglementation canadienne en matière de protection de la vie privée, qui comprend des lois fédérales telles que la LPRPDE et des lois provinciales sur la protection de la vie privée dans le domaine de la santé telles que la LPRPDE de l’Ontario, offre une protection solide pour les données relatives aux soins de santé. Pour aligner les services Google Cloud sur ces lois strictes, et en particulier pour soutenir les clients canadiens du secteur de la santé et du secteur public qui utilisent Google Cloud pour traiter des données relatives à la santé, il était essentiel de faire appel à un tiers de confiance pour réaliser une évaluation des incidences sur la vie privée (PIA).
L’objectif de la PIA pour Google Cloud est de :
- répondre aux exigences de confidentialité des clients canadiens du secteur de la santé qui sont soumis à la PIPEDA et à la PHIPA
- fournir une référence prête à l’emploi aux clients afin de rationaliser le processus, les coûts et les ressources nécessaires à la réalisation de leurs propres évaluations
Les services Google Cloud étant de plus en plus utilisés dans le secteur de la santé en Ontario, Google Cloud est devenu un fournisseur de services clé, aidant les clients à respecter leurs obligations en matière de protection de la vie privée, comme l’exige la loi sur la protection des personnes à l’égard du traitement des données à caractère personnel. Google assure que, tout en aidant ses clients à se mettre en conformité, il remplit simultanément ses propres obligations légales, y compris celles qui découlent des lois sur la protection de la vie privée.
Toutefois, il est essentiel de se rappeler que, qu’il s’agisse d’organismes de santé ou de fournisseurs de produits finaux (EPP) offrant des produits et des services au secteur de la santé, chaque client de Google Cloud doit gérer ses obligations en matière de confidentialité de manière individuelle et se conformer aux directives lors de la création de produits et de services.
Lire le PIA ici : https://services.google.com/fh/files/misc/pipeda_phipa_gcp_pia_assessment_06_2023.pdf
Les évaluations de la menace et du risque fournissent des orientations et de la confiance
Les évaluations des menaces et des risques (EMR) sont des outils importants pour identifier l’exposition d’une entreprise en déterminant les faiblesses potentielles en matière de sécurité et en prenant des mesures pour réduire leur impact. L’EMR indépendante d’iSecurity fournit des conseils aux clients canadiens qui utilisent Google Cloud pour traiter ou stocker des informations de santé personnelles (PHI). L’évaluation porte sur la confidentialité, l’intégrité et la disponibilité des ressources de Google Cloud dans l’environnement d’un client, dans le cadre de la gestion et de l’exploitation de sa solution.
Les recommandations et les meilleures pratiques de sécurité incluses dans l’évaluation des menaces et des risques sont basées sur un instantané des éléments au moment de l’évaluation. Mais la gestion des risques est un processus dynamique qui met constamment en balance les activités de l’entreprise et les coûts de mise en œuvre des contrôles de sécurité destinés à réduire le risque global. Les clients qui déploient des ressources sur Google Cloud doivent exercer leur propre gestion des risques et définir leur niveau de risque résiduel cible. L’EMR menée par iSecurity comprend une approche qui atténue les risques associés aux mauvaises configurations potentielles des clients et aux mauvaises pratiques en matière de sécurité.
La décision de Google d’engager iSecurity pour réaliser l’évaluation des facteurs relatifs à la vie privée et l’évaluation des risques liés aux services Google Cloud témoigne d’un engagement à maintenir la confiance des clients, la confidentialité et la sécurité des données, tout en s’alignant sur les lois canadiennes strictes en matière de protection de la vie privée. Il s’agit d’une étape importante pour garantir les capacités de Google Cloud pour les clients canadiens du secteur de la santé et du secteur public, en leur fournissant des conseils et des recommandations essentiels pour naviguer dans leurs propres parcours de conformité.
Lisez l’EMR ici : https://services.google.com/fh/files/misc/pipeda_phipa_gcp_tra_assessment.pdf
Pour en savoir plus sur les capacités en matière de cybersécurité et de gestion des risques, consultez le site https://www.calian.com/itcs/cybersecurity/.
