Êtes-vous suffisamment conscient des enjeux et des réglementations imposés par la Loi 25 au Québec maintenant en vigueur et le projet de loi C-27 au Canada ?
Notre plus récente étude annuelle, le Portrait TI, révèle une méconnaissance persistante des nouvelles réglementations au sein des entreprises canadiennes. D'après le rapport, près de 30% des répondants ne sont toujours pas familiers avec la Loi 25, et 28% ne connaissent pas le projet de loi C-27.
Tout au long de cet article, orientez vos réflexions afin d’assurer la conformité de votre entreprise, et de vous prémunir contre des répercussions significatives, tant sur le plan financier que réputationnel.
La Loi 25 et le projet de loi C-27 en bref
Comment résumer la Loi 25 et le projet de loi C-27 en quelques lignes ?
Entrée en vigueur en septembre 2022 au Québec, la Loi 25 a pour objectif de protéger les renseignements personnels et de ce fait qu’ils soient sécurisés et respectent votre vie privée.
À l’échelle fédérale, le projet de loi C-27 (déposé à la Chambre des communes le 4 novembre 2022, fait toujours l’objet d’une lecture et n’a pas encore été promulgué) doit, en l'état, établir trois lois déjà en vigueur :
- La loi sur la protection de la vie privée des consommateurs
- La loi sur le Tribunal de la protection des renseignements personnels et des données
- La loi sur l’intelligence artificielle et les données
En outre, il propose des mesures pour protéger la vie privée des consommateurs mais surtout il cherche à réguler l’usage de l’intelligence artificielle (IA) de sorte qu’il soit éthique.
Le Portrait TI nous apprend que près de la moitié des répondants expriment des préoccupations concernant divers aspects de ces deux lois, notamment la sécurité des données, la gestion de l’information et le consentement relatif à la collecte des données.
Selon Roger Ouellet, directeur de la pratique sécurité chez NOVIPRO, « beaucoup d’entreprises ont une mauvaise compréhension des attentes et des réels besoins. Elles ont des craintes, mais n’ont peut-être pas la bonne compréhension de l’impact et de l’investissement humain à mettre en place pour se conformer. »
Pour plus d'informations pertinentes en TI, téléchargez le Portrait TI
Les questions les plus fréquentes de nos clients
Qu’est-ce que la Loi 25 nous impose concrètement ?
La question de la conformité à la Loi 25 est légitime et revient fréquemment. Voici un aperçu des principaux points à retenir :
1. Respect de normes strictes pour la collecte, l’utilisation et la conservation des informations personnelles :
L'application de la Loi 25 exige une transparence accrue dans la collecte des données personnelles. Vous êtes tenus d'informer explicitement les individus sur l'objectif de la collecte de leurs données et sur la manière dont celles-ci seront utilisées.
Le consentement doit être donné de manière formelle, souvent par le biais d'une case à cocher sur un formulaire spécifiant clairement les modalités de collecte et d'utilisation des données, par exemple :
De plus, les individus ont le droit de retirer leur consentement à tout moment, ce qui vous oblige à cesser toute utilisation ultérieure de leurs données. Ils peuvent également demander un inventaire de ces dernières et exiger qu’elles soient effacées.
2. Obligation d’informer les personnes concernées en cas de violation de leurs données
En cas de brèche de sécurité compromettant des données personnelles, il est impératif d'informer rapidement les individus affectés. Cette communication doit préciser la nature de l'incident, les données compromises, ainsi que les mesures prises et à prendre pour minimiser les risques encourus.
Un registre des incidents doit être maintenu et il est important de comprendre qu’un incident n’est pas uniquement une brèche de sécurité mais aussi une action involontaire tel que l’envoie d’un courriel avec des informations personnelles à la mauvaise personne.
3. Signalement des incidents de confidentialités à la Commission d’Accès à l’Information (CAI)
Tout incident de sécurité susceptible de causer un préjudice significatif aux personnes concernées doit être rapporté à la CAI dans un délai de 72 heures. Ce signalement doit détailler l'incident survenu, identifier les personnes impactées, décrire les actions correctives déjà mises en œuvre et celles planifiées pour prévenir de futures violations.
Qu’est-ce qu’un renseignement personnel exactement ?
Dans un environnement réglementaire en constante évolution, il est impératif pour les entreprises de saisir l'importance des renseignements personnels et de leur protection. Beaucoup d'entre elles croient à tort qu'elles ne traitent pas de données personnelles, et par conséquent, ne se sentent pas concernées par la Loi 25. Cette perception est une erreur fondamentale.
Les renseignements personnels les plus sensibles incluent :
- Données biométriques : empreintes digitales, ADN, caractéristiques faciales utilisées pour la reconnaissance faciale
- Informations sur la santé : conditions physiques et mentales, antécédents médicaux, etc
- Préférences personnelles : opinions politiques, croyances religieuses, orientation sexuelle, et autres
Bien que toutes les entreprises ne collectent pas nécessairement ce type de données, il est primordial de savoir que même des informations jugées moins sensibles peuvent également être classées comme des renseignements personnels tels que :
Prénom | Nom | Adresse courriel | Adresse postale |
Âge | Assurance sociale | Permis de conduire | Informations bancaires |
Adresse IP | Taille | Poids | Mot de passe |
Si votre entreprise détient ces informations, vous devez être conscient de votre responsabilité en matière de protection des renseignements personnels et vous conformer à la loi !
Quand dois-je me conformer à cette loi ?
Ce visuel représente les échéances et les devoirs associés.
Êtes-vous à jour ?
Si vous n’êtes pas à jour, contactez un expert NOVIPRO pour vous accompagner !
Contactez un expert
Mon entreprise est située hors du Québec, est-ce que je suis soumis à la loi ?
Si votre entreprise est établie en dehors du Québec mais qu'elle fait affaire avec des clients situés dans cette province, vous êtes effectivement soumis à la Loi 25. Cette législation s'applique non seulement aux entreprises présentes au Québec, mais également à celles qui traitent des renseignements personnels de résidents québécois. Il est donc essentiel de vous conformer à cette loi afin d'assurer la protection des données personnelles de vos clients et d'éviter d'éventuelles sanctions.
Comment mon entreprise peut se préparer à la prochaine loi C-27 ?
Bien que vous disposiez encore de temps pour vous préparer à la prochaine Loi C-27, il est recommandé d'initier dès maintenant certaines pratiques au sein de votre entreprise afin de prendre de l'avance et d'éviter une mise en œuvre précipitée.
Elle reprend certains principes déjà en vigueur dans les Generally Accepted Privacy Principles (GAPP) tels que :
- Responsabilité : Les organisations sont responsables de la protection des renseignements personnels qu'elles ont en leur possession et un responsable de la sécurité des informations personnelles doit être identifié et publié
- Identité : Les entreprises doivent identifier clairement les raisons de la collecte des renseignements personnels
- Consentement : Les personnes doivent accorder leur consentement avant la collecte et l'utilisation de leurs données
- Limitation de la collecte : La collecte de renseignements doit être limitée aux données nécessaires pour atteindre les objectifs identifiés
- Utilisation et divulgation : Les données doivent être utilisées ou divulguées dans le seul cadre précis pour lesquelles elles ont été collectées
Et d’autres règles provenant du Privacy by Design (PbD) :
- Sécurité : Vous êtes tenu d’assurer des mesures de sécurité robustes pour protéger les données personnelles
- Visibilité et transparence : Vous devez mettre en place des pratiques de gestion des données transparentes pour permettre aux utilisateurs de comprendre comment leurs informations sont utilisées
- Respect des choix : Vous devez donner la possibilité aux personnes d'exercer un contrôle sur leurs données personnelles, y compris le droit de donner ou retirer leur consentement
Ces principes peuvent se trouver dans une politique de confidentialité présente sur votre site internet, comme ici pour NOVIPRO.
Consultez la politique de confidentialité de NOVIPRO
« Nous rencontrons de nombreux clients qui pensent être à jour sur la Loi 25 ou qui croient ne pas être concernés. Cependant, lors de nos audits, il devient évident que peu d’entreprises sont réellement conformes. Cela m’inquiète, car les risques de cyberattaques sont élevés, et les conséquences peuvent être significatives tant pour les clients que pour l’entreprise elle-même. » indique Roger Ouellet.
Les conséquences en cas de non-respect de la loi
La Loi 25 prévoit des sanctions financières lorsque les entreprises ne prennent pas au sérieux la protection des données. Ces sanctions peuvent atteindre jusqu’à 10 M$ d’amendes ou 2% du chiffre d’affaires mondial de l’entreprise, selon le montant le plus élevé.
En ce qui concerne les retards dans la mise en conformité, les sanctions peuvent varier en fonction de la nature et de la gravité du manquement. Il peut s’agir tout autant d’amendes moins sévères ou de mesures administratives que de pénalités plus lourdes. Au-delà de ces pénalités, les entreprises risquent également de perdre la confiance de leurs clients et de subir des torts à leur réputation.
Le projet de loi C-27 indique que les entreprises peuvent se voir infliger une amende maximale s'élevant à 10 M$ ou à 3% du revenu mondial brut de l'organisation pour l'exercice précédent, selon le montant le plus élevé.
Toute organisation qui enfreint de façon délibérée la loi ou entrave le travail du commissaire dans le cadre d'une enquête peut être reconnue coupable :
- D'un acte criminel, passible d'une amende de 25 M$ ou de 5% du revenu mondial brut
- D'une infraction punissable par déclaration de culpabilité par procédure sommaire, pouvant entraîner une amende de 20 M$ ou de 4% du revenu mondial brut
Pour éviter des répercussions sur la santé financière et la réputation de votre entreprise, assurez-vous de vous conformer aux exigences du gouvernement québécois. Anticipez les exigences du projet de loi C-27 en révisant vos pratiques actuelles et en apportant les ajustements nécessaires pour rester conforme.
NOVIPRO, votre partenaire de confiance dans le parcours vers la conformité
Nous savons que le chemin vers la réglementation et la conformité peut être complexe et fastidieux. Il est facile de s’y perdre dans les nombreuses exigences légales demandées. C'est pour cette raison que les experts de NOVIPRO sont à votre disposition pour vous accompagner tout au long de ce processus.
Voici quelques étapes clés que nous proposons :
- Diagnostic complet : Nous réalisons un audit détaillé de votre entreprise concernant toutes les exigences requises par la loi
- Feuille de route : Nous mettons en place un plan d’actions pour respecter les exigences réglementaires à la suite du diagnostic
- Conformité légale : Nous vous accompagnons dans la préparation légale en lien avec la loi
- Gouvernance des données : Nous établissons des pratiques de gouvernance de données strictes
- Découverte et classification des données sensibles : Identifier et catégoriser vos données pour une gestion optimale
- Simplification du respect de la confidentialité des données : Élaboration de stratégies claires et efficaces pour garantir la protection des informations
- Gouvernance des données sensibles : Mise en place de politiques de gouvernance robustes pour assurer une gestion adéquate des données
- Évaluation des risques liés aux données : Mesurer et remédier aux risques associés à la gestion de vos données personnelles
- Automatisation des processus de demande d’accès aux renseignements (DSAR), d'évaluation d'impact sur la vie privée (PIA) et de transfert de informations (TIA) : Organiser ces processus pour obtenir une conformité adaptée
- Gouvernance active des données : Instaurer une surveillance continue et proactive de la gestion des données pour s’assurer de leur conformité
Découvrez les solutions de services de sécurité gérés (MSSP) de NOVIPRO qui reposent sur des piliers stratégiques, soigneusement sélectionnés pour maximiser les bénéfices tout en optimisant le rapport coût-efficacité.
La conformité et la gouvernance de données sont disponibles dans notre offre !
Découvrez comment notre MSSP peut vous guider à travers les exigences de conformité !
Envie d’explorer plus de sujets ?
Découvrez notre dossier cybersécurité
Explorez notre article sur les 5 mythes sur la cybersécurité
Accédez à toutes nos ressources en sécurité