LOI 25 : QUOI SAVOIR POUR GÉRER LES DONNÉES DE VOS CLIENTS EN TOUTE LÉGALITÉ
LOI 25 : QUOI SAVOIR POUR GÉRER LES DONNÉES DE VOS CLIENTS EN TOUTE LÉGALITÉ
Qu’est-ce que la loi 25 ?
L’annonce est tombée l’automne dernier. Dès septembre 2024, la loi 25 demandant une modernisation de la protection des renseignements personnels sera appliquée dans son entièreté auprès des entreprises et des organismes québécois.
Favorisant la transparence et souhaitant donner plus de pouvoir aux gens sur leurs renseignements personnels, cette loi affecte la collecte et l’archivage des données. Avec un peu plus de deux ans avant sa mise en place, les organismes publics et autres organisations commerciales doivent se préparer convenablement.
Votre entreprise est-elle déjà prête pour faire face à ce nouveau défi ?
Voici un aide-mémoire pour l’accompagnement et entrée en vigueur progressive, CLIQUEZ ICI
Soutenez votre plan de cybersécurité avec un plan de gouvernance
Un plan de gestion de la cybersécurité aligner avec les besoins d’affaires de l’entreprise doit être mit en place. Il permettra d’établir la tolérance au risque de la compagnie et de faire une analyse de risque des opérations. Classifier les actifs de la compagnie pour établir une meilleure stratégie de protection de l’information et pour mettre les contrôles aux endroits les plus importants en priorité.
- Offre modulable et disponible pour les très petite entreprise jusqu’à la grande entreprise.
- Soyez prêt à gérer n’importe quel type de crise.
- L’implantation d’une politique de sécurité d’entreprise ainsi que de plusieurs processus de gestion.
- Profiter de l’expertise d’un CISO et de conseiller en cybersécurité pour vous aider dans vos analyses de risques.
Gouvernance et Risque
Bénéficier de notre accompagnement dans vos prises de décisions d’affaires afin de mitiger les risques. Laisser nous vous guider dans la gouvernance et la gestion de votre cybersécurité.
- L’implantation et la maintenance d’une politique de sécurité d’entreprise.
- Politique et processus de protection des renseignements personnels.
- Politique de sauvegarde et plan de relève.
- Gestion des incidents.
- Analyse et gestion de risque.
- Gestion des tiers (lien d’affaires).
- Classification des actifs informationnels.
- Établir les modèles de gestion de cyber risque.
Conformité
Nous vous accompagnons et vous conseillons dans la conformité avec des cadres de conformité, des réglementations et des lois en matière de sécurité de l’information.
- Prérequis pour une cyberassurance.
- Préparation à Projet de loi 64 et LPRPSP (Québec)
- Planification et audit à la certification ISO 27001 et SOC 2.
- Conformité avec les requis de cybersécurité d’un client.
- Conformité avec loi Canadienne PIPEDA et LPRPN.
- Réglementation Loi 198 (C-SoX), SoX, NERC et NYDFS.
Sensibilisation et formation
L’humain joue un rôle dans 90 % des attaques et des escroqueries. Il est de notre devoir de former les entreprises à adopter de meilleures pratiques en ligne, pour repousser les fraudeurs et les pirates informatiques avec un plan d’accompagnement personnalisé selon vos besoins.
- Établir un plan de formation et sensibilisation des usagers
- Prévenez l’erreur humaine par la prévention
- Formation en présentiel par un expert
Voulant se positionner comme une province à l’avant-garde avec la loi 25, le Québec désire implanter une culture de protection des renseignements personnels, fortement inspirée du Règlement général sur la protection des données de l’UE.
Selon le site du gouvernement du Québec, cela permettra entre autres aux citoyens de bénéficier de ces droits :
- De bonifier des informations reçues lors d’une collecte de renseignements personnels et d’une décision automatisée ;
- De recevoir plus d’informations concernant l’utilisation de leurs renseignements personnels pour rendre une décision fondée exclusivement sur un traitement automatisé et d’un droit de présenter leurs observations à un membre du personnel en mesure de réviser la décision ;
- D’être avisés lors d’un incident de confidentialité concernant leurs renseignements personnels lorsque cet incident présente un risque qu’un préjudice sérieux soit causé ;
- D’effacer et de déréférencer ;
- D’avoir accès à des consentements demandés en termes simples et clairs.
Les impacts de la loi 25 pour les entreprises publics du Québec
Qu’est-ce que cela signifie pour votre organisation ou bien votre entreprise ?
En plus des exigences légales comme l’évaluation des facteurs relatifs à la vie privée, la bonification des informations transmises à vos clients et l’obtention de consentement clair pour une utilisation commerciale de renseignements personnels, vous devez catégoriser et protéger vos actifs informationnels. C’est un changement qui requiert, entre autres, des solutions technologiques, une réorganisation de la gestion de l’information et la mise en place de nouveaux processus. Bien que cela peut sembler exhaustif, il est important de garder en tête qu’en assurant la sécurité de ces données, vous assurez également la sécurité de vos clients.
La meilleure façon d’y arriver est de développer un plan de gestion des risques. Pourquoi ? Parce que vous aurez en tête toutes les mesures nécessaires au respect de la loi 25, vous pourrez organiser efficacement les renseignements en votre possession en plus d’être prêt à faire face à toute situation menaçant la disponibilité, l’intégrité, ou la confidentialité d’informations personnelles.
Par quoi commencer ?
Commencez par vous familiariser avec la loi 25. Plusieurs documents disponibles sur le web, par exemple cet aide-mémoire pour entreprise, vulgarisent les grandes lignes du projet.
Identifier un responsable parmi votre organisation pour prendre en charge la mise en place de nouvelles mesures. Cette personne sera non seulement responsable de la protection des renseignements personnels, mais elle pourra aussi se charger de gérer toute formation pour le reste de votre équipe.
Prenez le temps d’analyser les critères de sécurité de l’information à prendre en compte, et évaluez les différentes valeurs des données possédées dans votre entreprise.
Développez une grille permettant de définir les critères de sécurité que vous devrez mettre en place, mais surtout l’impact possible selon la valeur de votre information.
Le plus important ? Ne pas s’inquiéter ! Cette nouvelle loi est un pas de plus dans la bonne direction pour assurer la sécurité de tous dans l’univers numérique. S’il est sage de planifier dès maintenant les étapes pour respecter les nouvelles normes de la loi 25, rappelez-vous qu’il vous reste encore plus de deux ans pour tout régulariser.
Si vous souhaitez explorer plus en profondeur la catégorisation et la protection de vos actifs informationnels, Fleetinfo offre une formation en présentielle ou virtuelle d’une journée afin de vous accompagner dans l’élaboration d’une ébauche de plan de gestion des risques.
Pour lire un autre article sur la loi 25 que nous avons partagé, c’est ici
Pour davantage d’information avec notre équipe, c’est ici !