Par Jennifer Blanchette
Texte rédigé en collaboration avec notre partenaire formatrice, Emeline Manson, fondatrice de CY-Clic et chargée de cours en cyberfraude à l’école Polytechnique Montréal
Depuis le 22 septembre 2022, tous les entrepreneurs québécois ont l’obligation de se conformer à une série de mesures en lien avec la protection des renseignements personnels. Ces exigences découlent de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, communément appelée la Loi 25. Découvrez quelles sont vos nouvelles responsabilités légales et ce, que vous soyez solopreneur ou à la tête d’une industrie.
Largement inspirée du Règlement général sur la protection des données (RGPD) européen, la Loi 25 vise à offrir un meilleur contrôle aux citoyens sur leurs renseignements personnels et à responsabiliser davantage les organisations quant à leur gestion de ces renseignements. Dès lors, tout individu ou entreprise qui recueille des données personnelles devient responsable de ces renseignements aux yeux de la loi.
« C’est pour cela que nous sommes tous concernés! Pour cette année, l’objectif sera principalement de démontrer que nous cherchons à nous conformer aux dispositions de la loi », explique Emeline Manson, formatrice en prévention des fraudes et cybersécurité.
Pour permettre aux entreprises de s’adapter graduellement aux nouvelles dispositions de la Loi 25, celles-ci entreront en vigueur en trois étapes, soit les 22 septembre 2022, 2023 et 2024.
Principales obligations au 22 septembre 2022
1. Désigner un responsable de la protection des renseignements personnels
Nul ne peut ignorer la loi. C’est encore plus vrai pour les propriétaires d’entreprise dans le cadre de la Loi 25 puisqu’ils sont directement concernés.
En effet, les entreprises du secteur privé ont l’obligation de désigner un responsable de la protection des renseignements personnels. Par défaut, cette responsabilité est attribuée à la personne exerçant la plus haute autorité dans l’entreprise. Les entrepreneurs peuvent toutefois choisir de déléguer ce rôle par écrit à un membre de leur équipe ou encore l’externaliser auprès d’un professionnel.
Une fois le responsable nommé, il sera important de publier son titre et ses coordonnées sur le site web de l’entreprise.
2. Tenir un registre des incidents de confidentialité
Vous devrez d’abord comprendre et déterminer en quoi consiste un incident de confidentialité. Selon la Commission d’accès à l’information du Québec (CAI), un incident de confidentialité correspond à un accès, à une utilisation, à une communication non autorisés de nos données personnelles ou encore à leur perte.
Nous vous suggérons par la suite de tenir votre registre dans un fichier Excel, tout simplement. Au départ, votre document sera vierge, car vous n’aurez pas encore subi d’incidents. Évidemment, l’objectif sera qu’il reste vierge pour toujours.
3. Déclarer tout incident de confidentialité
Advenant que l’incident de confidentialité présente un risque sérieux de préjudice, vous devrez en aviser la CAI ainsi que les personnes ou les organisations concernées. Vous aurez aussi l’obligation de prendre les mesures raisonnables pour diminuer les risques de préjudices et éviter que de nouveaux incidents de même nature ne se produisent.
Consultez l’aide-mémoire disponible sur le site de la CAI pour connaître la liste complète de vos nouvelles responsabilités en matière de protection des renseignements personnels.
Grande réflexion à prévoir pour 2023
« On peut rapidement rayer la liste des choses à mettre en place pour cette année. Toutefois, le gros morceau sera la réflexion à venir en 2023 », prévient Emeline Manson.
Le responsable de la protection des renseignements personnels aura du boulot, poursuit-elle, car l’année prochaine, il aura la responsabilité d’instaurer les politiques et les pratiques encadrant la gouvernance des données. Entre autres, ce responsable devra se pencher sur la mise en œuvre d’une procédure de traitement des plaintes, de désindexation des données ou encore de gestion d’accès aux données par les employés.
« C’est difficile de créer une politique si tu ne sais pas ce que tu collectes », avance Mme Manson. Pour cette raison, nous suggérons aux entrepreneurs de débuter cette réflexion dès maintenant, même si l’entrée en vigueur de cette obligation aura lieu en 2023.
Afin d’aider les chefs d’entreprises à s’y retrouver, voici une méthode visant à cartographier votre collecte de données en trois étapes :
● Le quoi : quels types de données sont collectées par l’entreprise?
● Le où : sur quelles plateformes ces données sont-elles collectées?
● Le qui : quels employés ont accès à ces données? De quelle façon est géré l’accès à ces données lors de l’embauche ou du départ d’un employé?
Si la tâche vous semble fastidieuse, n’hésitez pas à la séquencer dans le temps. Assurez-vous également de garder papier et crayon à portée de la main et de noter vos informations au fur et à mesure. L’objectif n’est pas de faire une « overdose » de protection des renseignements personnels, mais plutôt de rester à l’affût de nos comportements et pratiques en la matière.
Et pour 2024 ?
Le principal changement sera de répondre aux demandes de portabilité des renseignements personnels. Cela signifie que l’entreprise aura l’obligation de fournir à la personne concernée les renseignements personnels qu’elle a fournis ou encore de les transmettre à une autre organisation.
Bien que déployés sur trois ans, les changements entraînés par la Loi 25 pourraient décourager certains entrepreneurs. Rassurez-vous! Des retombées positives sont à prévoir pour votre entreprise.
En vous souciant d’améliorer votre contrôle sur la protection des renseignements personnels de vos clients, vous prouvez que vous êtes une entreprise de confiance et fiable. N’hésitez pas à mettre en lumière vos efforts en ce sens sur votre site web pour rehausser la réputation de votre entreprise.
La cybersécurité, à ne pas négliger
Tant qu’à entreprendre cette modernisation obligée de vos procédures en matière de protection des renseignements personnels, pourquoi ne pas étendre votre réflexion vers la sécurité informatique de votre entreprise? Contrairement à ce que certains croient, la mise aux normes requise par la Loi 25 n’est pas un rempart contre les cyberincidents qui guettent vos plateformes numériques.
Mot de passe trop faible, méthode de sauvegarde des données déficiente, manque de formation en cybersécurité des employés… Ces champs d’intervention ne sont pas pris en compte dans la nouvelle législation.
Laissez-nous le soin de protéger adéquatement vos systèmes informatiques pendant que vous veillerez à protéger les données personnelles de vos clients.