La transformation vers le numérique n’est plus un projet futuriste. Il n’y a plus de doute, nous sommes en plein «dedans». En tant qu’entreprise, vous disposez, échangez, accumulez et sollicitez un nombre considérable de données personnelles chaque jour. Cela est maintenant ancré dans notre quotidien. Celles-ci proviennent de plusieurs sources liées à votre entreprise : vos client.e.s, vos employé.e.s, vos fournisseurs, etc. Êtes-vous certain.e de bien protéger les données personnelles dont vous disposez?
Selon l’Autorité canadienne pour les enregistrements Internet (ACEI, 2020), 18% des PME sont affectés par un cyber événement au moins une fois dans le cours de leur existence et 60% d’entre elles fermeront à la suite de ce même événement. En 2020, Statistiques Canada publiait une étude selon laquelle 42% des Canadiens ont dû composer personnellement avec au moins un type de menace contre leur cybersécurité au cours de la dernière année. À la lumière de ces données, il n’est pas étonnant que l’Assemblée nationale du Québec ait adopté la loi n°25, anciennement le projet de loi n°64; Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, dans le but de mieux encadrer la protection des renseignements personnels.
La Loi 25 entrera en vigueur progressivement au cours des prochaines années et des sanctions monétaires pourraient être imposées aux entreprises ne s’y étant pas conformée. Trois phases sont à prévoir et la première débutait le 22 septembre 2022.
Phase 1
Depuis le 22 septembre 2022, votre entreprise doit désigner une personne responsable de la protection des renseignements personnels dont vous disposez (art. 3.1). Cette personne a pour rôle de veiller au respect et à la mise en œuvre de la Loi sur le secteur privé et ses coordonnées doivent être publiées sur le site Web de votre entreprise.
De plus, les incidents de confidentialités devront être signalés à la Commission d’accès à l’information (CAI) et aux personnes touchées présentant un risque de préjudice sérieux. Votre entreprise devra donc se doter d’un registre compilant ces incidents.
Phase 2
La deuxième phase, qui entrait en vigueur le 22 septembre 2023, est sans doute la plus complexe, car elle implique la mise en place de procédures ou processus pour encadrer la gouvernance et garantir la conformité. Votre entreprise doit travailler à former une équipe dont le rôle sera de mettre en place et diffuser les politiques permettant de protéger les renseignements personnels dont vous disposez, en plus de créer un système de traitement des plaintes.
Plusieurs obligations doivent être satisfaites par votre entreprise durant cette phase, telles que:
Finalement, c’est lors de la phase 2 que des sanctions administratives et pénales peuvent être appliquées contre votre entreprise. Il vous faut agir avec rigueur, car ces dernières peuvent atteindre jusqu’à 25 millions de dollars et engendrer des recours en dommages punitifs.
Phase 3
La dernière phase entrera en vigueur le 22 septembre 2024. Celle-ci concède le droit aux personnes dont votre entreprise a recueilli des renseignements personnels à leur sujet de recevoir, lorsque la demande est formulée, ces mêmes renseignements dans un format technologique structuré et contemporain.
Il est nécessaire que votre entreprise soit proactive pour gérer les risques liés à l’atteinte des renseignements personnels qui lui sont confiés. Depuis déjà quelques années, les probabilités de subir un cyber événement compromettant ces données augmentent en flèche. L’actualité nous a démontré à plusieurs reprises que toutes les entreprises, de la PME à la multinationale en passant par l’entreprise agricole, sont susceptibles d’être la cible d’un cyber événement. L’assurance cyber est désormais incontournable et votre courtier d’assurances Lareau est au-devant pour vous conseiller.
Pour en savoir plus sur la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels:
