Entreprises, êtes-vous prêtes pour la loi 25?

Plusieurs entreprises traitent encore les renseignements personnels de leurs employés, clients et partenaires, sans se préoccuper réellement de les protéger adéquatement.

BLOGUE INVITÉ. Je serais bien étonné d’apprendre que vous n’avez encore jamais entendu parler de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (aussi appelé projet de loi 64, qui est devenu la loi 25 une fois sanctionnée à l’Assemblée nationale en septembre 2021).

Cette réforme législative fait du Québec la première province canadienne à moderniser son régime de protection des renseignements personnels aux réalités technologiques actuelles. Le Canada va emboîter rapidement le pas, avec le dépôt récent du projet de loi C-27.

Dès le 22 septembre 2022, votre entreprise fera face à de nouvelles obligations légales liées à la loi 25. Un manquement à ces obligations exposera votre entreprise à des sanctions importantes, pouvant atteindre un montant maximal de 25 millions de dollars ou 4% de votre chiffre d’affaires mondial.

La loi 25 propose de nouvelles obligations qui devront être rencontrées graduellement sur une période de trois ans. Les premières exigences devront être rencontrées dès le 22 septembre 2022. Des exigences supplémentaires viennent s’ajouter le 22 septembre 2023 et 2024. Ces exigences seront applicables à toutes les entreprises privées qui collectent des renseignements personnels.

Dans cet article, je vous propose quelques actions concrètes pour rendre votre entreprise conforme aux premières exigences, éviter les sanctions et surtout mieux protéger les données de ceux qui vous font confiance.

 

Avez-vous votre responsable de la protection des renseignements personnels?

Dès le 22 septembre 2022, vous devrez identifier formellement un responsable de la protection des renseignements personnels et établir son rôle et ses responsabilités.

Ce responsable devrait connaître la nature des renseignements personnels que votre entreprise détient, traite et communique. Il devrait aussi savoir qui peut avoir accès à ces renseignements personnels et pour quels motifs.

C’est aussi ce responsable qui devra produire et mettre en place des politiques et des pratiques qui encadrent la gouvernance des renseignements personnels, par exemple, les règles de conservation et de destruction et la centralisation des données sensibles pour en faciliter la protection et la surveillance.

 

Avez-vous déterminé ce que constitue un incident de confidentialité?

Par exemple, quels sont les scénarios potentiels de vols ou de pertes de renseignements personnels pour votre entreprise. Le tableau suivant est un exemple de méthode simple pour identifier les incidents potentiels, les règles à mettre en place pour en réduire la probabilité d’occurrence et les impacts sur votre entreprise, vos employés, vos clients et vos partenaires.

 

 

Êtes-vous en mesure de détecter un incident de confidentialité?

La loi vous demande de tenir un registre des incidents de confidentialité. Pour tenir un registre, il faut être en mesure de détecter ces fameux incidents. Voici quelques pistes de solution:

Sensibiliser vos employés à déclarer immédiatement les accès qu’ils pourraient avoir à des renseignements personnels qui ne les concernent pas. Une simple boîte courriel ([email protected]) avec un programme de récompense pourrait faire des miracles.

Identifier les emplacements où les informations sensibles doivent se trouver, éviter d’en faire des copies et éviter de les communiquer par courriel. Sensibiliser vos employés à déclarer les informations sensibles qui se trouvent ailleurs qu’à l’endroit désigné.

Dans la mesure du possible, dotez-vous de système de détection et de réponse aux incidents de cybersécurité. Ces services sont plus abordables qu’on le croit. Assurez-vous que votre fournisseur de services détecte les incidents, prend en charge la remédiation et vous communique sur une base régulière les incidents, incluant ceux concernant la confidentialité.

Inscrivez chaque incident dans le registre avec suffisamment d’informations pour démontrer que vous avez fait une analyse suffisante de l’incident et que vous avez répondu à l’incident de façon à réduire les préjudices.

 

Êtes-vous prêt à réagir en cas d’incident?

La préparation à un incident est un facteur de succès. Malgré la bonne volonté, il est possible que votre entreprise subisse un incident de cybersécurité impliquant des renseignements personnels. La pire chose est de faire comme si ce n’était pas arrivé.

Mettez en place des procédures pour répondre aux incidents rapidement. Ces procédures dictent la marche à suivre lors d’un incident. Votre capacité à démontrer que vous avez agi promptement pourra constituer un facteur atténuant si vous deviez être sanctionné en raison d’un manquement à vos obligations légales.

 

Connaissez-vous vos obligations de divulgation en cas d’incident?

La loi vous exige aussi de faire le signalement d’un incident à la Commission d’accès à l’information ainsi qu’aux personnes concernées si l’incident présente un risque de préjudice sérieux pour les victimes. Il faut se doter d’une méthode pour évaluer la gravité d’un incident de confidentialité.

Dans le cas où un employé aurait communiqué une soumission pour un projet contenant des renseignements personnels aux mauvais clients, est-ce que le préjudice est sérieux? Qui doit l’évaluer? Quand et comment cela doit être fait?

Je vous recommande d’établir une échelle de gravité en fonction de paramètres comme le volume d’informations sensibles compromises, la nature des informations compromises ainsi que les acteurs impliqués dans l’incident. Cette méthode d’évaluation vous permettra de démontrer que chaque incident a été analysé sérieusement.

Si, après analyse, vous décidez que l’incident nécessite une divulgation. Il faut prévoir comment et par qui sera produite cette divulgation. Il faut éviter d’ouvrir la porte à des recours légaux en laissant penser que l’incident aurait potentiellement été causé par une négligence.

Si vous avez souscrit à une assurance cyberrisque, il est possible que votre assureur puisse vous proposer les services d’un «breach coach», sinon votre fournisseur de services en cybersécurité pourra peut-être vous aider avec l’aide de vos conseillers juridiques.

 

La proactivité est la clé

Trop d’entreprises attendent malheureusement d’être la proie d’une cyberattaque ou de subir un incident pour agir. Le constat est toujours le même: nous aurions dû être proactifs. Comment faire? Il n’y a malheureusement pas de solution miracle.

Je vous suggère pour commencer d’analyser mes cinq recommandations et d’identifier les écarts avec votre situation actuelle. Faites un plan et exécutez. Si vous n’avez pas les ressources qualifiées au sein de votre entreprise, allez chercher l’aide d’un partenaire.

Enfin, il ne faut jamais oublier l’importance d’une bonne préparation. Plus votre plan de réponse aux incidents est détaillé et plus vos employés sont sensibilisés à l’importance de le suivre à la lettre, que ce soit par des formations ou des exercices de simulation d’incidents, plus votre entreprise sera en mesure d’avoir la situation sous contrôle lors d’un réel incident et de minimiser le plus possible les risques de préjudice.

Vous pourrez ainsi démontrer facilement que vous avez pris les mesures adéquates pour protéger les renseignements personnels que vous détenez et que vous agissez de manière diligente dans votre gestion d’un incident.

Contactez-nous, notre équipe est en mesure de vous aider!

Montréal | Laval | Laurentides | Lanaudière | Mauricie 1-855-836-4877

 

SOURCE: LESAFFAIRES.COM

*Cet article a été rédigé en collaboration avec Me Ariane Ohl-Berthiaume, Responsable des affaires juridiques chez Mondata.

 

 

Pour détrôner l’iPad, Samsung lancerait sa première tablette pliante début 2023
Technologie

Pour détrôner l’iPad, Samsung lancerait sa première tablette pliante début 2023

Samsung annoncerait sa première tablette avec écran pliant dès février 2023. Grâce à ce nouveau type d’ardoise tactile, le groupe sud-coréen pourrait chercher à grignoter...
Lire la suite
Amazon rachète iRobot, pionnier des robots aspirateurs, pour 1,7 milliard de dollars
Divers

Amazon rachète iRobot, pionnier des robots aspirateurs, pour 1,7 milliard de dollars

Le géant du commerce en ligne s’offre le concepteur des Roomba. Un deal qui intervient à un moment charnière pour ce marché, devenu ultra-concurrentiel avec...
Lire la suite
Ce que ces deux entreprises ont appris de leurs expériences de cyberattaques
Sécurité informatique

Ce que ces deux entreprises ont appris de leurs expériences de cyberattaques

Une certaine forme de cyberattaque dans votre entreprise est presque inévitable de nos jours. Voici ce que deux organisations ont appris de leurs expériences. Les entreprises...
Lire la suite
L’intelligence artificielle est aussi dangereuse que l’arme nucléaire, met en garde Eric Schmidt, ancien PDG de Google
Technologie

L’intelligence artificielle est aussi dangereuse que l’arme nucléaire, met en garde Eric Schmidt, ancien PDG de Google

Eric Schmidt, l’ancien patron du géant Google, redoute le développement sauvage de l’intelligence artificielle. Considérant que l’IA est aussi dangereuse que l’arme nucléaire, il recommande...
Lire la suite
Google Maps va vous permettre de survoler certaines villes comme si vous y étiez
Divers Technologie

Google Maps va vous permettre de survoler certaines villes comme si vous y étiez

Google préfigure son futur concept de vue immersive avec la possibilité de survoler certains lieux connus. L’éditeur ajoute également une nouvelle option pour le partage...
Lire la suite
Entreprises, êtes-vous prêtes pour la loi 25?
Divers Sécurité informatique

Entreprises, êtes-vous prêtes pour la loi 25?

Plusieurs entreprises traitent encore les renseignements personnels de leurs employés, clients et partenaires, sans se préoccuper réellement de les protéger adéquatement. BLOGUE INVITÉ. Je serais...
Lire la suite
Tesla veut créer une centrale électrique virtuelle avec ses batteries Powerwall
Technologie

Tesla veut créer une centrale électrique virtuelle avec ses batteries Powerwall

La société d’Elon Musk propose à ses utilisateurs californiens d’être rétribués pour que leur batterie domestique fournisse de l’énergie au réseau électrique de l’Etat. Total...
Lire la suite
1995-2022: un ingénieur érige une tombe pour Internet Explorer
Divers Informatique

1995-2022: un ingénieur érige une tombe pour Internet Explorer

Internet Explorer a beau avoir rendu son quotidien pénible, un ingénieur informatique sud-coréen n'en a pas moins décidé de construire une pierre tombale, dont les...
Lire la suite
Une IA de Google affirme avoir une conscience et des sentiments
Technologie

Une IA de Google affirme avoir une conscience et des sentiments

Samedi 11 juin, un ingénieur de Google a fait dans le Washington Post des révélations qui pourraient bien nous faire basculer dans une nouvelle ère. Selon lui...
Lire la suite
On connaît maintenant la date présumée de mort d’Internet Explorer
Informatique

On connaît maintenant la date présumée de mort d’Internet Explorer

Le 15 juin 2022 marquera le débranchement d’Internet Explorer « pour certaines versions de Windows 10 », après plus de 25 ans au service des internautes. Le fureteur web, de...
Lire la suite
Les cybercriminels utilisent le référencement SEO pour augmenter les téléchargements de PDF malveillants
Sécurité informatique

Les cybercriminels utilisent le référencement SEO pour augmenter les téléchargements de PDF malveillants

Dernièrement, différents experts en cybersécurité alertent concernant l’utilisation des techniques de référencement SEO par des cybercriminels, qui profiteraient de ces outils pour améliorer le classement...
Lire la suite
Google corrige 41 failles de sécurité dans Android, dont 5 jugées critiques : mettez-vite votre téléphone à jour !
Sécurité informatique Téléphone mobile

Google corrige 41 failles de sécurité dans Android, dont 5 jugées critiques : mettez-vite votre téléphone à jour !

Les vulnérabilités découvertes par Google peuvent conduire à l’exécution d’un code à distance ou à une élévation des privilèges, sans que les pirates aient besoin...
Lire la suite
Vous pouvez maintenant installer la prochaine grande mise à jour de Windows 11 un peu plus tôt
Divers Informatique

Vous pouvez maintenant installer la prochaine grande mise à jour de Windows 11 un peu plus tôt

Nouveaux dossiers du menu Démarrer, gestes tactiles et glisser-déposer pour la barre des tâches Microsoft publie aujourd'hui sa prochaine grande mise à jour de Windows...
Lire la suite
Nouvelles applis, bureau 3D, films immersifs… Comment Apple prépare l’arrivée de son casque VR
Technologie

Nouvelles applis, bureau 3D, films immersifs… Comment Apple prépare l’arrivée de son casque VR

Et si la star de la conférence WWDC 2022 d’Apple était un produit absent ? Extrêmement attendu, le casque de réalité mixte d’Apple a peu de...
Lire la suite
Microsoft Office : comment vous protéger de cette énorme faille de sécurité utilisée pour vous pirater
Sécurité informatique

Microsoft Office : comment vous protéger de cette énorme faille de sécurité utilisée pour vous pirater

Microsoft nous alerte sur une faille de sécurité activement exploitée qui touche la suite Office. L’entreprise présente également la solution à mettre en place pour...
Lire la suite
Double authentification : nos conseils pour sécuriser l’accès à vos sites préférés sans vous prendre la tête
Sécurité informatique

Double authentification : nos conseils pour sécuriser l’accès à vos sites préférés sans vous prendre la tête

Activer l’authentification forte peut vite devenir un calvaire, en raison des multiples seconds facteurs qu’il faut gérer. Voici quelques conseils pour éviter de se perdre...
Lire la suite
10 astuces et fonctions cachées pour maîtriser vos AirPods Pro
Astuces Téléphone mobile

10 astuces et fonctions cachées pour maîtriser vos AirPods Pro

Les AirPods Pro d’Apple font partie des écouteurs sans-fil parmi les plus populaires du marché. Bien qu’en apparence très simples à utiliser, les oreillettes true...
Lire la suite
Plus rapide, moins cher… Comment l’impression 3D pourrait changer l’industrie du bâtiment
Divers Technologie

Plus rapide, moins cher… Comment l’impression 3D pourrait changer l’industrie du bâtiment

Aux États-Unis, l’entreprise Alquist a lancé l’ambitieux « Project Virginia » : construire 200 maisons en impression 3D en cinq ans dans cet État au...
Lire la suite
« Made in China » : le gouvernement chinois va remplacer 50 millions de PC
Divers Informatique

« Made in China » : le gouvernement chinois va remplacer 50 millions de PC

La Chine veut remplacer tous les ordinateurs personnels utilisés par les membres de son gouvernement et de ses administrations d’ici deux ans. Objectif principal :...
Lire la suite
Samsung va facturer la fabrication de ses puces jusqu’à 20% plus cher
Divers

Samsung va facturer la fabrication de ses puces jusqu’à 20% plus cher

Entre les pénuries, l’explosion de la demande et le coût des équipements, faire fabriquer des puces va coûter plus cher en 2023. Selon Bloomberg, la...
Lire la suite
1 2 3 29