Responsable, Programme de protection des renseignements personnels

Poste permanent – Hybride Le Bureau de la sécurité de l’information de Fasken est à la recherche d’une personne chevronnée pour diriger le programme mondial de protection des renseignements personnels du cabinet, l’opérationnaliser et en assurer la progression. Ce poste consiste à mener des évaluations des facteurs relatifs à la vie privée, des risques liés aux transferts et de la protection des données ainsi qu’à traduire les exigences réglementaires et relatives à la protection des renseignements personnels des clients en mesures de contrôle pratiques et contraignantes dans plusieurs territoires, dont le Canada, le Royaume-Uni, l’Union européenne et l’Afrique du Sud. La personne retenue travaillera en étroite collaboration avec différents groupes de parties prenantes (juridique, sécurité, TI et affaires) afin de garantir la conformité et l’adoption de pratiques efficaces en matière de traitement des données. Elle soutiendra l’adoption de l’IA responsable en évaluant les risques d’atteinte à la protection des renseignements personnels liés aux systèmes d’IA et en assurant le respect des attentes réglementaires et des normes de gouvernance de l’IA du cabinet. Ce poste relève de la fonction de gouvernance de la sécurité de l’information et nécessite une collaboration étroite avec le responsable de la protection des renseignements personnels. La personne retenue sera l’expert(e) opérationnel(le) du cabinet en matière de protection des renseignements personnels et dirigera l’élaboration et la mise en œuvre du programme de protection des renseignements personnels. À accomplir au cours des 12 premiers mois

• Mener des évaluations des facteurs relatifs à la vie privée (EFVP), des analyses d’impact relatives à la protection des données (AIPD) ainsi que des évaluations des risques de transfert (TRA) pour les initiatives prioritaires et les ententes avec les fournisseurs, en assurant le suivi documenté des mesures correctives.
• Établir des méthodologies normalisées d’évaluation des facteurs relatifs à la vie privée conformes à la LPRPDE, au RGPD, à la POPIA et aux exigences contractuelles des clients.
• Établir et tenir à jour des registres des activités de traitement pour les activités de traitement à risque élevé.
• Établir des processus d’évaluation des risques et de la protection des renseignements personnels pour les cas d’utilisation de l’IA et de l’IA générative, y compris la validation de l’utilisation des données, les mesures de protection des modèles d’entrée et de sortie et les normes documentaires.
• Réduire les délais de traitement des examens en matière de protection des renseignements personnels grâce à des flux de travail optimisés et à des processus structurés.
• Établir des indicateurs clés de rendement en matière de protection des renseignements personnels et des tableaux de bord de suivi pour la direction.
• Soutenir les démarches de vérification diligente à l’égard des clients et les lignes directrices pour conseillers juridiques externes à l’aide d’une documentation claire et défendable sur le plan de la protection des renseignements personnels.
• Renforcer la collaboration transversale entre les équipes juridique, de la sécurité, des TI et des affaires afin de promouvoir l’adoption du principe de la « protection de la vie privée par défaut ».

Principales responsabilitésMise en œuvre du programme de protection des renseignements personnels

• Assurer la direction opérationnelle du programme de protection des renseignements personnels du cabinet sous la supervision du responsable de la protection des renseignements personnels.
• Mener des évaluations des facteurs relatifs à la vie privée, des analyses d’impact relatives à la protection des données, des évaluations des risques de transfert et des évaluations des risques d’atteinte à la protection des renseignements personnels pour les nouvelles technologies, les fournisseurs et les initiatives d’affaires.
• Repérer les risques liés à la protection des renseignements personnels et coordonner les mesures correctives avec les équipes responsables.
• Tenir à jour les registres des risques liés à la protection des renseignements personnels et assurer le suivi des enjeux à cet égard.
• Élaborer et dispenser des formations sur la protection des renseignements personnels à l’échelle du cabinet.

Harmonisation aux lois, aux règlements et aux cadres de référence

• Traduire les obligations réglementaires (comme la LPRPDE, le RGPD, la POPIA et les lois provinciales et étatiques applicables) en mesures de contrôle et en directives concrètes.
• Mettre en correspondance les mesures de protection des renseignements personnels de la norme ISO 27001, les attentes des clients en matière d’audit et les exigences de gouvernance interne.
• Surveiller l’évolution de la réglementation et recommander des améliorations au programme.

Surveillance des enjeux de protection des renseignements personnels liés à l’IA et aux technologies émergentes

• Mener des évaluations des risques liés à la protection des renseignements personnels à l’égard des solutions d’IA et d’IA générative.
• Évaluer l’utilisation des données, les données d’entraînement, la conservation des données et le traitement des données de sortie en vue d’assurer la conformité en matière de protection des renseignements personnels.
• Collaborer avec les équipes des technologies et de la gouvernance pour s’assurer que les systèmes d’IA répondent aux obligations de protection des renseignements personnels, de confidentialité et envers les clients.
• Soutenir l’élaboration de mécanismes de protection des renseignements personnels et examiner les normes de déploiement de l’IA.

Gouvernance du cycle de vie des données

• Soutenir la classification, la conservation et la réduction au minimum des données ainsi que l’utilisation légale des données à l’échelle des systèmes et des processus.
• Collaborer avec les équipes des TI et de la sécurité pour s’assurer que les contrôles techniques répondent aux exigences relatives à la protection des renseignements personnels.
• Fournir des conseils sur les transferts transfrontaliers de données et les risques liés au traitement des données par des tiers.

Évaluations de la protection des renseignements personnels auprès des fournisseurs et des tiers

• Mener des évaluations sur les risques liés à la protection des renseignements personnels auprès des tiers qui traitent des données personnelles ou confidentielles.
• Évaluer les mesures de protection contractuelles, les mécanismes de transfert et les obligations de traitement.
• Fournir des recommandations aux équipes juridique, d’approvisionnement et de sécurité.

Assistance lors des interventions en cas d’incident

• Participer, à titre d’expert ou d’experte en protection des renseignements personnels, aux enquêtes portant sur des incidents potentiels d’exposition de données personnelles.
• Évaluer les obligations réglementaires et contractuelles en matière de notification.
• Soutenir les activités liées aux leçons tirées après un incident et la mise en œuvre des améliorations apportées aux mesures de contrôle.

Outiller les parties prenantes

• Fournir des conseils pratiques en matière de protection des renseignements personnels aux gestionnaires, aux avocats et aux équipes opérationnelles.
• Offrir des séances de sensibilisation ciblées visant à promouvoir l’adoption de pratiques découlant du principe de la protection de la vie privée par défaut.
• Offrir de l’aide concernant les offres de services, les questionnaires des clients et les demandes d’audit.

Mesures et rapports

• Définir et surveiller les indicateurs clés de rendement et les indicateurs clés de risque du programme, notamment :

• Délais de traitement des évaluations
• Taux de réussite des mesures correctives
• Tendances en matière de gravité des risques
• Profil de risque des tiers

• Fournir des rapports et des analyses exploitables destinés à la haute direction.

QualificationsExpérience et compétences requises

• De 7 à 10 ans d’expérience professionnelle en protection de la vie privée, en conformité ou en gouvernance de l’information.
• Solides connaissances pratiques des lois et des cadres applicables en matière de protection des renseignements personnels (LPRPDE, RGPD, POPIA et exigences internationales liées au transfert des données).
• Expérience avérée dans la réalisation d’évaluations liées à la protection des renseignements personnels et des risques en la matière.
• Capacité à traduire les exigences légales et réglementaires en mesures de contrôle opérationnelles.
• Expérience en collaboration transversale avec différents groupes de parties prenantes (juridique, sécurité, TI et affaires).
• Excellentes habiletés communicationnelles, tant à l’écrit qu’à l’oral; être à l’aise d’interagir efficacement avec les autorités réglementaires, les clients et les membres de la haute direction.

Atouts

• Expérience dans le soutien de programmes multiterritoriaux de protection des renseignements personnels.
• Expérience dans les services professionnels, juridiques ou financiers ou dans d’autres secteurs réglementés.
• Bonne connaissance des normes ISO 27001, ISO 42001 ou d’autres cadres de gouvernance comparables.
• Expérience en soutien aux audits des clients ou aux enquêtes réglementaires.
• Certifications pertinentes, notamment :

• CIPP/C, CIPP/E, CIPM
• CDPSE
• Chef de la mise en œuvre/auditeur (Lead Implementator/Auditor) des normes ISO 27001/42001

Modèle de travail

• Rôle hautement collaboratif comprenant des interactions régulières avec les équipes juridique, de la sécurité, des TI et de l’approvisionnement ainsi qu’avec les responsables des groupes de pratique.
• Visibilité directe auprès de la haute direction et incidence mesurable sur la confiance des clients, la préparation réglementaire et le profil de risque.
• Possibilité d’influencer les pratiques protégeant par défaut la vie privée à mesure que de nouvelles technologies et capacités d’IA sont adoptées au cabinet.

À propos de Fasken Situé à l’intersection de l’excellence et de l’expertise, Fasken est un cabinet d’avocats de premier plan comptant plus de 950 avocats et avocates à l’échelle mondiale. Nous nous engageons auprès de nos clients à façonner l’avenir qu’ils imaginent, précisément au moment où cela compte le plus. Pour plus de renseignements, visitez fasken.com. Chef de file du milieu juridique, nous avons été reconnus comme étant « le plus grand cabinet juridique au Québec en 2024 », « le meilleur cabinet d’avocats où travailler au Canada en 2023 et en 2024 » en plus d’être l’un des « meilleurs employeurs pour la diversité en 2023 ». Équité, diversité et inclusion Nous croyons en un milieu de travail diversifié, composé de personnes ayant des expériences et des qualités uniques. Il est important que tous nos membres trouvent notre milieu de travail accueillant et bienveillant. Un milieu de travail inclusif crée un environnement équitable où les personnes sont respectées et valorisées. Ainsi, nous sommes heureux d'offrir à nos candidats et membres Fasken les mesures raisonnables nécessaires afin que chacun puisse se réaliser pleinement. N'hésite pas à nous faire part de tout aménagement que nous pourrions te proposer pour t’offrir la meilleure expérience possible.