Comme vous en avez sans doute entendu parler, la nouvelle Loi 25 (anciennement projet de Loi 64) a fait son apparition en septembre 2022. Échelonnée sur 3 ans (de 2022 à 2024), cette loi met en place de nouvelles règlementations pour les entreprises, autant au privé qu’au public. Nous avons déjà fait un article sur la Loi 25, cependant, nous croyions qu’un article plus détaillé avait aussi sa place sur notre blog. Nous vous expliquerons en détail, ce qu’est la Loi 25, les avantages et conséquences, ainsi que les sanctions qui peuvent sans suivre dans le cas d’un non-respect de la loi.
Premièrement, pourquoi le gouvernement québécois a décidé d’adopter cette loi ? Même avant aujourd’hui, mais encore plus étant donné que les années avancent, nous vivons dans un monde numérique. Tout le monde dépend de la technologie, que ce soit pour leurs loisirs ou le travail, elle nous entoure et elle entraine une dépendance qui fait en sorte que nous ne pouvons pas travailler sans avoir accès à internet. Cela dit, ce n’est pas sans danger ! Toute cette technologie est accompagnée de risques, que nous pouvons appeler de la cybercriminalité ; des pirates informatiques qui s’empare et utilise des données d’une entreprise ou même d’un individu pour commettre des crimes et des attaques par rançongiciel. Beaucoup d’incidents de ce genre ont été rapportés dans les dernières années par les médias (nous ne pouvons pas oublier la fuite de données chez Desjardins en 2019). Pour empêcher le plus possible d’autres incidents de ce genre, le gouvernement se devait d’intervenir. En Europe, avec le RGPD (règlement général sur la protection des données), ils ont été les premiers à prendre le contrôle de la situation ; le Québec a décidé de suivre l’initiative. En effet, le gouvernement voulait mettre un peu d’ordre dans la gestion des renseignements personnels, car avant la mise en place de la Loi 25, les entreprises conservaient les renseignements des particuliers sans protection (ou du moins, un minimum de protection), sans obtenir leurs consentements clairs, sans préciser les motifs pour lesquels ces renseignements étaient collectés et sans être exposées à des sanctions en cas d’incident de confidentialité. Évidemment, ce n’est pas toutes les entreprises qui agissaient de cette façon, mais cela va sans dire que pour la plupart des entreprises, c’était le cas. Les entreprises qui ne seront pas conformes et qui ne protègeront pas les renseignements personnels de façon adéquate s’opposeront à des sanctions administratives et pénales sévères.Au Québec, la commission d’accès à l’information est l’autorité responsable d’assurer le respect de la Loi 25. Ce qui distingue cette loi de ce qui était déjà en vigueur est les sanctions pour non-conformité. Comme mentionné plus haut, le Québec s’inspire du règlement européen et va dorénavant obliger toutes les entreprises, autant publiques que privées, à assumer les obligations et assurer le respect de certains droits pour les particuliers donc ils ne jouissaient pas auparavant.
Septembre 2022
Avant de commencer sur les dates importantes, savez-vous que les entreprises doivent s’assurer que les tiers fournisseurs avec qui elles font affaire pour la traite des renseignements personnels souscrivent à des obligations de confidentialité (entente écrite). Ces tiers acceptent de prendre les moyens nécessaires pour utiliser les renseignements que pour les fins elles ont été collecter et nulle autre fin, de les détruire lorsque l’utilisation pour laquelle les renseignements ont été collectés a été remplie et de ne surtout pas les transmettre à un tiers. L’entreprise est responsable de son fournisseur, même s’ils ont une entente. Si le fournisseur est hors province, l’entreprise doit procéder à une entente en plus de faire une évaluation des facteurs relatifs de la vie privée pour analyser le risque et s’assurer qu’en faisant affaire avec ce fournisseur, qu’il va répondre adéquatement à l’objectif de la Loi 25.
Dans un premier temps, les entreprises doivent désigner un responsable de la protection des renseignements personnels ; cette responsabilité revient à la personne avec la plus haute autorité de l’entreprise seulement si une personne n’a pas été nommée responsable, et cette désignation doit être écrite. À la suite de l’appellation du responsable, toutes entreprises se doivent de déclarer tous les incidents de confidentialité à la commission (toutes menaces, ou tout incident qui implique la compromission des renseignements personnels, même les tentatives non réussies). Il sera aussi désormais obligatoire de détenir un registre des incidents de confidentialité survenus, que le risque soit élevé ou non, car un incident dit non risqué peut rapidement escalader et devenir un risque beaucoup plus sérieux.
Le registre d’incident devrait regrouper les informations suivantes :
- Les renseignements personnels touchés par l’incident
- Dans quelles circonstances l’incident s’est-il produit
- La date de l’incident
- La date à laquelle l’entreprise a pris connaissance de l’incident
- Le nombre de personnes touchées par l’incident
- Le niveau de gravité de l’incident (faible, moyen, élevé ou sérieux)
- Les mesures prises par l’entreprise
Si le niveau de gravité de l’incident est élevé, la personne responsable des renseignements personnels devra communiquer avec les personnes concernées (si par exemple, l’incident porte atteinte à la réputation ou au dossier de crédit, ou qui cause un vol d’identité) et la Commission d’accès à l’information.
Septembre 2023
C’est en septembre 2023 que la plupart des nouvelles dispositions rentrent en vigueur. Les entreprises doivent revoir leur politique de confidentialité ; elle doit expliquer comment les renseignements seront traités et protégés dans cette entreprise. La politique de confidentialité devrait facilement être trouvable sur le site de l’entreprise. Les termes doivent être clairs et simples pour la compréhension de tous et elle doit inclure les coordonnées de la personne responsable des données personnelles. Les entreprises doivent aussi élaborer des règles de gouvernance qui devront traiter de la conservation et la destruction des renseignements personnels, les rôles et responsabilités du responsable des renseignements, le processus du traitement des plaintes ainsi que le protocole des gestions des incidents de confidentialités.
Les sanctions pour les entreprises sont très salées. Si les entreprises ne sont pas conformes, les sanctions administratives sont de 10 millions de dollars ou 2 % du chiffre d’affaires mondial et les sanctions pénales sont de 25 millions de dollars ou 4 % du chiffre d’affaires mondial. La mise en place de recours collectif est aussi possible pour toutes entreprises qui ne sont pas conformes à la Loi 25. Mais ce n’est pas tout ; les victimes d’incident ont la possibilité d’obtenir un minimum de 1 000 $, dans le cas où l’entreprise a été négligente ou responsable de fautes lourdes dans l’exercice de ses obligations.
Le consentement est un gros morceau de la Loi 25. Les entreprises devront obtenir le consentement clair des utilisateurs avant la collecte des renseignements personnels. Ce qui fait que l’utilisateur peut retirer son consentement en tout temps ; dans ce cas, l’entreprise dispose de 30 jours pour supprimer de leurs bases de données les renseignements. De plus, l’entreprise doit supprimer ou anonymiser les renseignements dès la fin de la collecte. Tout client doit avoir accès aux données personnelles qui les concernent et a le droit de les modifier ou supprimer des renseignements.
Comme mentionné plus haut, tout incident de confidentialité doit être signalé à la commission. Ce qui fait en sorte que l’évaluation des risques et la vérification de l’impact de la collecte de renseignement sont plus qu’importantes. Un incident de confidentialité c’est un accès non autorisé par la loi à un renseignement personnel, l’utilisation ou la communication non autorisée par la loi d’un renseignement personnel ou la perte de renseignements personnels ou toute autre atteinte à la protection.
Septembre 2024
C’est en septembre 2024 que la dernière étape de la loi s’applique. Ne vous en faites pas, il y a moins d’étapes pour ce mois-ci ! Les entreprises devront donner droit à la portabilité ; la portabilité est le fait de transférer tout renseignement que l’entreprise détient sur une personne, soit à cette personne ou à un tiers, (exemple, dans le cas d’un changement d’assureur). L’entreprise à un délai de 30 jours pour le transfert des renseignements personnels, et il se doit d’être fait dans un format utilisable (compatible avec toutes autres plateformes).
Quoi faire ou ne pas faire, demandez-vous
Pour protéger vos données au maximum, et celle des autres, voici quelques exemples de chose à faire ou ne pas faire :
- Saviez-vous qu’une date de naissance fait partie d’un renseignement personnel? Nous ne disons pas de ne pas souhaiter joyeux anniversaire à quelqu’un au bureau, mais si vous le faites sur les réseaux sociaux (sur le mur du fêté par exemple) cela pourrait être considéré comme une communication de renseignement personnel. À faire avec prudence !
- Pour faire suite au point précédent, soyez vigilants avec ce que vous partagez comme renseignement sur les réseaux sociaux. Limitez l’information que vous y partagez et assurez-vous de réellement connaître toutes les personnes dans votre liste d’amis.
- Nous savons que c’est tentant, mais les fameux Wi-Fi publics… c’est votre pire ennemi. C’est une énorme porte d’entrée pour les pirates informatiques.
- Cela peut sembler banal pour certains, mais le simple fait d’envoyer un courriel avec plusieurs personnes en copie conforme (CC) est considéré comme une communication de renseignement personnel non autorisé, car les adresses courriel sont visibles par tous les destinataires du. Vous pouvez donc remédier à ce problème en mettant tous vos destinataires en copie conforme invisible (CCI).
Avantages et inconvénients
Évidemment, les premiers inconvénients qui nous viennent en tête sont les sanctions administratives (10 millions de dollars ou 2 % du chiffre d’affaires mondial) et pénales (25 millions ou 4 % du chiffre d’affaires mondial) ainsi que d’infliger des dommages punitifs aux contrevenants qui sont responsables d’une faute lourde (fuite de données par exemple) ; donc chaque victime peut recevoir un minimum de 1 000 $ en cas d’incident de confidentialité. La réputation de l’entreprise peut aussi être en jeu si, par exemple, elle n’était pas conforme à la loi et que quelqu’un décide de procéder à un recours contre cettedite entreprise.
Pour ce qui est des avantages, pour le département de TI, c’est une bonne nouvelle ! C’est fini le temps où l’on disait que la protection des données, des renseignements et des systèmes d’information c’était strictement un problème de TI. On voit que ça implique beaucoup plus de gens que l’on pense, autant les ressources humaines, les techniciens informatiques évidemment et le personnel exécutif. L’application de la Loi 25 oblige les organisations à faire du ménage dans leurs données, leurs processus pour leur permettre d’être moins exposés au risque. Les entreprises qui négligent de le faire s’exposent à de grand risque. De toute façon, c’est désormais la loi. 😉
Saviez-vous qu’au niveau des assurances aussi il y a des risques ? Si vous décider de souscrire à une assurance cyber, vous allez devoir évaluer votre risque pour savoir quelle sera l’étendu de votre couverture, se conformer aux exigences de l’assureur (la mise en place d’un système de protection des renseignements) et faire une déclaration véridique. Si un incident arrive, et que votre déclaration n’était pas véridique ou que l’assureur se rend compte que les mesures nécessaires n’ont pas été prises pour prévenir un incident, un refus de payer peut s’appliquer.
Nouveau droit pour les citoyens
Les citoyens ont désormais le droit d’appeler l’entreprise pour demander à quoi va servir la récolte de leurs renseignements et aussi de savoir où le tout sera stocké (c’est la personne responsable qui va devoir répondre à toutes ces questions).
Le droit à l’oubli fait aussi partie des nouveaux droits pour les citoyens. Le droit à l’oubli traite de la suppression de liens ou de pages Web contenant des renseignements personnels pouvant porter atteinte à la vie privée. Donc toutes personnes pourront demander aux entreprises de cesser de diffuser leurs renseignements personnels ou de désindexer tout lien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice.
Actions à prendre
Voici la liste des actions à prendre dans les plus brefs délais pour être conforme à la Loi 25.
- Nous recommandons fortement de planifier une consultation pour vous éclairer si vous n’êtes pas familier avec la Loi 25. (Psst, nous donnons cette consultation, nous ne faisons pas simplement du support informatique 😉)
- Identification des services donc vous avez besoin pour l’accompagnement du processus de conformité. Nous ne conseillons pas de le faire seul à l’interne si c’est quelque chose de flou pour vous
- À la suite de l’identification des services, une audite de conformité sera de mise. Elle permettra d’établir les démarches qui restent à faire pour être conforme et établir un plan de match en fonction des priorités.
- La nomination du responsable des données. Cela doit se faire par écrit.
- Élaboration d’un plan d’urgence en cas d’incident. Ce plan permettra de prendre les moyens pour minimiser le risque d’incident. Dans ce plan, vous devriez retrouver les tâches de chacun, qui appeler en cas d’incident. Le risque zéro n’existe pas ; il faut être prêt. Nous vous recommandons fortement de le pratiquer ; une simulation d’incident pourrait être une bonne idée. Ce n’est pas un plan d’urgence si vous ne savez pas comment l’appliquer, non ? Très important : ayez une copie papier en main. Difficile d’y avoir accès via votre ordinateur si ceux-ci sont cryptés.
- Revoir vos politiques de confidentialités. Elles devront traiter de comment sont traité et protégé les renseignements personnels et qui rejoindre pour toutes questions ou plaintes.
- Avoir des règles de gouvernance, telle que le consentement clair, le cycle de conservation et la destruction des renseignements personnels, comment sont protégé les données auprès de l’entreprise, la responsabilité de tous en entreprise ainsi que les responsabilités du responsable.
- Une révision des ententes avec les tiers fournisseurs, s’assurer que le tout est conforme et que les renseignements sont bien protégés.
- Le plus important : une formation pour les employés. Le maillon faible est sans aucun doute le facteur humain. Un incident peut arriver très rapidement si un employé clique sur un lien dans un courriel qui croyait être sans danger.
La Loi 25 est un gros morceau pour les entreprises, mais elle est désormais plus que nécessaire. Si vous avez des questionnements ou inquiétudes, que vous soyez de la Rive-Nord ou de la Rive-Sud, écrivez-nous ; nous pouvons vous aider à être conforme !
