Êtes-vous suffisamment conscient des enjeux et des réglementations imposés par la Loi 25 au Québec maintenant en vigueur et le projet de loi C-27 au Canada ?
Notre plus récente étude annuelle, le Portrait TI, révèle une méconnaissance persistante des nouvelles réglementations au sein des entreprises canadiennes. D'après le rapport, près de 30% des répondants ne sont toujours pas familiers avec la Loi 25, et 28% ne connaissent pas le projet de loi C-27.
Tout au long de cet article, orientez vos réflexions afin d’assurer la conformité de votre entreprise, et de vous prémunir contre des répercussions significatives, tant sur le plan financier que réputationnel.
Entrée en vigueur en septembre 2022 au Québec, la Loi 25 a pour objectif de protéger les renseignements personnels et de ce fait qu’ils soient sécurisés et respectent votre vie privée.
À l’échelle fédérale, le projet de loi C-27 (déposé à la Chambre des communes le 4 novembre 2022, fait toujours l’objet d’une lecture et n’a pas encore été promulgué) doit, en l'état, établir trois lois déjà en vigueur :
En outre, il propose des mesures pour protéger la vie privée des consommateurs mais surtout il cherche à réguler l’usage de l’intelligence artificielle (IA) de sorte qu’il soit éthique.
Le Portrait TI nous apprend que près de la moitié des répondants expriment des préoccupations concernant divers aspects de ces deux lois, notamment la sécurité des données, la gestion de l’information et le consentement relatif à la collecte des données.
Selon Roger Ouellet, directeur de la pratique sécurité chez NOVIPRO, « beaucoup d’entreprises ont une mauvaise compréhension des attentes et des réels besoins. Elles ont des craintes, mais n’ont peut-être pas la bonne compréhension de l’impact et de l’investissement humain à mettre en place pour se conformer. »
Pour plus d'informations pertinentes en TI, téléchargez le Portrait TI
La question de la conformité à la Loi 25 est légitime et revient fréquemment. Voici un aperçu des principaux points à retenir :
L'application de la Loi 25 exige une transparence accrue dans la collecte des données personnelles. Vous êtes tenus d'informer explicitement les individus sur l'objectif de la collecte de leurs données et sur la manière dont celles-ci seront utilisées.
Le consentement doit être donné de manière formelle, souvent par le biais d'une case à cocher sur un formulaire spécifiant clairement les modalités de collecte et d'utilisation des données, par exemple :
De plus, les individus ont le droit de retirer leur consentement à tout moment, ce qui vous oblige à cesser toute utilisation ultérieure de leurs données. Ils peuvent également demander un inventaire de ces dernières et exiger qu’elles soient effacées.
En cas de brèche de sécurité compromettant des données personnelles, il est impératif d'informer rapidement les individus affectés. Cette communication doit préciser la nature de l'incident, les données compromises, ainsi que les mesures prises et à prendre pour minimiser les risques encourus.
Un registre des incidents doit être maintenu et il est important de comprendre qu’un incident n’est pas uniquement une brèche de sécurité mais aussi une action involontaire tel que l’envoie d’un courriel avec des informations personnelles à la mauvaise personne.
Tout incident de sécurité susceptible de causer un préjudice significatif aux personnes concernées doit être rapporté à la CAI dans un délai de 72 heures. Ce signalement doit détailler l'incident survenu, identifier les personnes impactées, décrire les actions correctives déjà mises en œuvre et celles planifiées pour prévenir de futures violations.
Dans un environnement réglementaire en constante évolution, il est impératif pour les entreprises de saisir l'importance des renseignements personnels et de leur protection. Beaucoup d'entre elles croient à tort qu'elles ne traitent pas de données personnelles, et par conséquent, ne se sentent pas concernées par la Loi 25. Cette perception est une erreur fondamentale.
Les renseignements personnels les plus sensibles incluent :
Bien que toutes les entreprises ne collectent pas nécessairement ce type de données, il est primordial de savoir que même des informations jugées moins sensibles peuvent également être classées comme des renseignements personnels tels que :
Prénom | Nom | Adresse courriel | Adresse postale |
Âge | Assurance sociale | Permis de conduire | Informations bancaires |
Adresse IP | Taille | Poids | Mot de passe |
Si votre entreprise détient ces informations, vous devez être conscient de votre responsabilité en matière de protection des renseignements personnels et vous conformer à la loi !
Ce visuel représente les échéances et les devoirs associés.
Êtes-vous à jour ?
Si vous n’êtes pas à jour, contactez un expert NOVIPRO pour vous accompagner !
Contactez un expert
Si votre entreprise est établie en dehors du Québec mais qu'elle fait affaire avec des clients situés dans cette province, vous êtes effectivement soumis à la Loi 25. Cette législation s'applique non seulement aux entreprises présentes au Québec, mais également à celles qui traitent des renseignements personnels de résidents québécois. Il est donc essentiel de vous conformer à cette loi afin d'assurer la protection des données personnelles de vos clients et d'éviter d'éventuelles sanctions.
Bien que vous disposiez encore de temps pour vous préparer à la prochaine Loi C-27, il est recommandé d'initier dès maintenant certaines pratiques au sein de votre entreprise afin de prendre de l'avance et d'éviter une mise en œuvre précipitée.
Elle reprend certains principes déjà en vigueur dans les Generally Accepted Privacy Principles (GAPP) tels que :
Et d’autres règles provenant du Privacy by Design (PbD) :
Ces principes peuvent se trouver dans une politique de confidentialité présente sur votre site internet, comme ici pour NOVIPRO.
Consultez la politique de confidentialité de NOVIPRO
« Nous rencontrons de nombreux clients qui pensent être à jour sur la Loi 25 ou qui croient ne pas être concernés. Cependant, lors de nos audits, il devient évident que peu d’entreprises sont réellement conformes. Cela m’inquiète, car les risques de cyberattaques sont élevés, et les conséquences peuvent être significatives tant pour les clients que pour l’entreprise elle-même. » indique Roger Ouellet.
La Loi 25 prévoit des sanctions financières lorsque les entreprises ne prennent pas au sérieux la protection des données. Ces sanctions peuvent atteindre jusqu’à 10 M$ d’amendes ou 2% du chiffre d’affaires mondial de l’entreprise, selon le montant le plus élevé.
En ce qui concerne les retards dans la mise en conformité, les sanctions peuvent varier en fonction de la nature et de la gravité du manquement. Il peut s’agir tout autant d’amendes moins sévères ou de mesures administratives que de pénalités plus lourdes. Au-delà de ces pénalités, les entreprises risquent également de perdre la confiance de leurs clients et de subir des torts à leur réputation.
Le projet de loi C-27 indique que les entreprises peuvent se voir infliger une amende maximale s'élevant à 10 M$ ou à 3% du revenu mondial brut de l'organisation pour l'exercice précédent, selon le montant le plus élevé.
Toute organisation qui enfreint de façon délibérée la loi ou entrave le travail du commissaire dans le cadre d'une enquête peut être reconnue coupable :
Pour éviter des répercussions sur la santé financière et la réputation de votre entreprise, assurez-vous de vous conformer aux exigences du gouvernement québécois. Anticipez les exigences du projet de loi C-27 en révisant vos pratiques actuelles et en apportant les ajustements nécessaires pour rester conforme.
Nous savons que le chemin vers la réglementation et la conformité peut être complexe et fastidieux. Il est facile de s’y perdre dans les nombreuses exigences légales demandées. C'est pour cette raison que les experts de NOVIPRO sont à votre disposition pour vous accompagner tout au long de ce processus.
Voici quelques étapes clés que nous proposons :
Découvrez les solutions de services de sécurité gérés (MSSP) de NOVIPRO qui reposent sur des piliers stratégiques, soigneusement sélectionnés pour maximiser les bénéfices tout en optimisant le rapport coût-efficacité.
La conformité et la gouvernance de données sont disponibles dans notre offre !
Découvrez comment notre MSSP peut vous guider à travers les exigences de conformité !
Envie d’explorer plus de sujets ?
Découvrez notre dossier cybersécurité
Explorez notre article sur les 5 mythes sur la cybersécurité
Accédez à toutes nos ressources en sécurité