La protection de la vie privée et des données en ligne est devenue un enjeu si criant dans les dernières années que plusieurs gouvernements ont décidé de légiférer sur ce problème. Le gouvernement Legault est à l’origine de plusieurs innovations reliées au numérique, il n’est donc pas surprenant de voir une loi comme celle-ci.
Cette loi est une mise à jour législative puisque les lois en place encadrent inadéquatement les données numériques. Il est à noter qu’il ne s’agit pas seulement d’une loi préparatoire, la Loi 25 a des dents. Les sanctions légales pour une infraction peuvent aller jusqu’à 25 millions de dollars ou 4% du chiffre d’affaires mondial de votre organisation.
De plus, cette loi est considérée comme évolutive ; de nouvelles obligations s’ajouteront au cours des années afin de garder les demandes de la loi à jour. Cet article fait le point sur les clauses de la loi, vos obligations en tant qu’organisme public ou entreprise et les façons de rester conformes maintenant et à l’avenir.
Survol de la Loi
Souvent comparée au RGPD européen, la Loi 25 met en place plusieurs mesures pour amener les organismes publics et les entreprises à moderniser leurs pratiques en ce qui concerne la protection des renseignements personnels. La loi ne force pas l’utilisation de technologies, mais pointe vers certaines solutions à l’aide de sanctions pénales et pécuniaires.
Par exemple, avec cette loi, l’authentification multi-facteur devient presque une nécessité pour toutes les organisations, car elle permettra d’éviter efficacement les amendes salées reliées à une brèche de données. Le cryptage des données serait également une bonne pratique à adopter.
Une autre importante disposition de cette loi est un droit à l’effacement des données et au déréférencement des citoyens. Les entreprises devront donc avoir une bonne politique de traitement des données pour ne pas rendre ce processus plus compliqué.
Cette loi crée également un droit à la portabilité des données. Ce droit est similaire à celui mentionné dans le paragraphe précédent, mais oblige les organismes publics et les entreprises à fournir, sur demande, tous les renseignements personnels prélevés sur une personne afin qu’elle puisse y avoir accès.
Mesures pour les organisations
Les entreprises québécoises devront mettre en place plusieurs mesures afin d’être conformes à la Loi 25, dont plusieurs d’entre elles d’ici le mois prochain. Certaines de ces mesures devraient déjà avoir été mises en place pour être conforme au RGPD, mais réviser ces demandes dans le cadre de cette nouvelle loi québécoise demeure une bonne idée. Les trois mesures ci-dessous devront toutes être mises en place à compter du 22 septembre 2022.
Responsable de la protection des renseignements personnels
Toute organisation devra nommer un responsable de la protection des renseignements personnels. Si une entreprise ne procède pas à une nomination officielle, le plus haut dirigeant de l’entreprise est nommé et sera tenu responsable de la mise en place de ces programmes et des infractions. Il était déjà une bonne idée d’avoir une personne dédiée à ce type de rôle afin d’assurer la cybersécurité des données d’entreprises. Toutefois, la Loi 25 rend désormais cette pratique une obligation.
Plan de gestion et registre d’incidents
Cette mesure est relativement simple, elle oblige les entreprises québécoises à avoir un plan prédéterminé en cas d’incidents et de garder un registre de tout incident qui survient dans le cadre de leurs opérations. Le plan et le registre peuvent être très simples et la loi n’introduit pas d’encadrement spécifique par rapport à cette mesure. Cependant, c’est une bonne idée d’impliquer tous les départements de votre entreprise dans ce processus pour que tout le monde sache ce qui constitue une infraction et comment la signaler.
Obligation de divulgation
Lors d’une brèche de données, les entreprises québécoises ont maintenant une obligation légale d’aviser toute personne concernée par cet incident. Des amendes sont reliées aux manquements à cette directive. Cette pratique est maintenant relativement commune au sein d’organisations qui manipulent des données client, et est considérée comme une bonne façon de contrer l’impact des brèches de données en amenant les utilisateurs à changer leurs mots de passe.
Une culture de cybersécurité
La Loi 25 constitue une mise à jour importante pour le cadre législatif québécois en mettant en place des mesures claires par rapport à la protection des renseignements personnels et de la cybersécurité. Bien que les indications mentionnées dans ce texte soient importantes, la meilleure façon de prévenir ces infractions est à l’aide d’une culture d’entreprise axée sur la sensibilisation à la cybersécurité. Les problèmes encadrés par la Loi 25 sont évitables en donnant à vos employés accès à une formation sur la cybersécurité robuste.
Contactez-nous dès aujourd’hui pour mettre en place un programme de sensibilisation à la cybersécurité au sein de votre organisation.
Atteignez facilement la conformité provinciale en matière de protection des données en incluant la protection des renseignements personnels dans le secteur privé au Québec dans votre programme de sensibilisation à la sécurité.