[PAROLES D'EXPERTS] Mise en conformité autour de la Loi 25 : une étape indispensable de la transformation des entreprises Québécoises

  • 7m

La protection des renseignements personnels fait depuis quelques années l’objet de nombreuses initiatives de citoyens et d’organismes étatiques dans le monde. Car les entreprises commerciales, GAFAM en tête, mais aussi de nombreux acteurs installés localement, ont eu conscience très tôt de la valeur des données personnelles qu’elles récoltaient. Elles ont ainsi longtemps pu profiter, sans contrepartie, d’un vide juridique en matière de récolte et d’usage de ces dernières qui leur a offert un avantage concurrentiel capital sur leurs marchés respectifs.

Au Québec, la Loi 25 (anciennement Projet de Loi 64) va venir combler ce vide dans un cadre très strict. Conçue spécifiquement pour répondre aux enjeux de l’ère numérique moderne, la Loi 25 est en quelque sorte l’évolution logique de deux législations dont l’une, relative à l’accès aux documents des organismes publics, datait de 1982 et l’autre, pour ce qui concerne le secteur privé, remontait à 1993.

L’idée est de permettre à chaque québécois de mieux comprendre la manière dont ses données sont utilisées par les entreprises, dans quel cadre spécifique, à quelle fréquence, comment et avec qui elles sont partagées. Ceci afin qu’il ne soit pas un simple produit que les entreprises ciblent au gré de leurs campagnes mais qu’il puisse participer activement au ciblage et au traçage dont il est parfois l’objet, y consentir ou non et, au final, en limiter les effets négatifs en faisant jouer son droit à la rectification voire son droit à l’oubli.

Par Pierre Desclaux, expert cybersécurité chez Linkbynet – Partie d’Accenture

 

Un chantier surveillé

Les entreprises québécoises ont jusqu’au 22 septembre 2023, soit moins de deux ans désormais, pour mettre en place une stratégie en matière de gestion de la confidentialité des renseignements personnels, et se conformer à une réglementation inspirée notamment du modèle européen et son Règlement Général sur la Protection des Données (RGPD) instauré en 2016 qui a déjà fait ses preuves… et ses victimes.

Le compte à rebours a commencé en septembre dernier avec l’obligation pour toutes les entreprises du Québec de désigner en interne un responsable de la protection des renseignements personnels (RPRP) et de définir les responsabilités et les objectifs de son rôle, notamment au niveau des déclarations d’éventuels incidents de confidentialité auprès de la Commission d’Accès à l’Information (CAI) du Québec, chargée de faire appliquer la loi.

Mais avant que les sanctions ne tombent - car bien entendu les entreprises qui ne se seront pas conformées à la Loi 25 seront poursuivies administrativement et, pour les cas de négligence les plus graves, au pénal - d’ici septembre 2023, elles auront le loisir de s’organiser et de se faire accompagner par des experts.

L’enjeu est de taille pour les entreprises Québécoises car la Loi 25 participe d’une véritable transformation en profondeur de leurs usages relatifs aux renseignements personnels. Plus question de se servir et de faire des données ce que bon leur semble, plus question de les laisser sans surveillance et sans politique de gouvernance, il leur faudra désormais les traiter comme un élément à part entière de leur organisation qui leur permet d’interagir avec des individus externes à l’entreprise dans un cadre sécurisé, contractuel et assujetti à leur consentement exprès.

A noter par ailleurs que la nouvelle réglementation s’applique également aux processus internes des entreprises, notamment au niveau des services des ressources humaines, ou encore du marketing par exemple, là où les échanges de données personnelles sont nombreux et nécessitent un contrôle renforcé et adapté aux nouveaux usages.

 

La sécurité des données en question

Collecter des renseignements personnels dès l’entrée en vigueur de la Loi 25 deviendra donc une affaire très sérieuse, engageant la responsabilité des entreprises québécoises qui ne doivent négliger aucun aspect de cette pratique, notamment donc en matière de sécurité.

Chacun se souvient en effet du vol des données des membres du groupe financier Mouvement Desjardins, dévoilé début 2019. Ou encore de celui dont ont été victimes les enseignants en 2018 ou des policiers et ex-policiers de la SQ (Sûreté du Québec) la même année.

Ces actes malveillants ont tous un point commun : ils mettent en lumière l’absence de stratégie en matière de traitement et de sécurisation des renseignements personnels.

Ce point essentiel est, on le comprend, au centre des préoccupations des québécois qui s’attendent à juste titre à ce que les entreprises avec lesquelles ils interagissent soient irréprochables en matière de gestion des informations qu’ils consentent à partager avec elles.

A l’évidence le risque zéro en matière de vol de données n’existe pas et la CAI en a bien conscience. Mais le respect strict des préceptes de la Loi 25 permettra d’en réduire les effets grâce à une communication, une coordination des réponses en cas de cyber-attaque et un suivi du parcours des données complètement rationalisé de bout-en-bout.

 

Une nécessité d'accompagnement

On comprend que toutes les entreprises du Québec ne sont pas égales face à l’application concrète de cette nouvelle Loi 25. Heureusement, la CAI ne ménage pas ses efforts en termes de communication afin de s’assurer qu’à la fois d’un point de vue juridique et technologique, les entreprises puissent s’adapter à leur rythme à ce changement culturel important.

Les acteurs technologiques, pour leur part, ont également une grande responsabilité dans la mise en place concrète des programmes de conformité. A partir d’un audit, suivi d’une cartographie des données de l’entreprise, ils peuvent rapidement proposer des programmes garantissant le respect total de la Loi 25 - y compris en amont d’un projet - automatiser certaines tâches comme le contrôle, la mise à jour, l’archivage des données, identifier les processus intégrant des renseignements personnels, renforcer la sécurité et limiter les accès par authentification renforcée...

 

Une loi qui profite à tous

Derrière les nombreuses contraintes que semble imposer la Loi 25 se révèle dans les faits une volonté saine de protéger l’ensemble de l’écosystème face à la menace du mauvais usage des renseignements personnels. Tout dans cette loi tend en effet à poser les bases d’un contrat de confiance unique entre les entreprises québécoises et les individus qui consentent à partager avec elles, de manière ponctuelle et limitée, des éléments personnels.

Former les entreprises au respect des renseignements qui leur sont transmis renforce le sérieux et l’image de marque des sociétés qui ne peuvent plus se permettre l’amateurisme ou la négligence dont certaines d’entre elles ont pu faire preuve par le passé, avec parfois des conséquences désastreuses.

La Loi 25 offre dans les faits un cadre légal nécessaire à notre monde de plus en plus numérique. Et, contrairement aux idées reçues, la circulation des données au Québec, et dans les pays désignés par la CAI qui assurent un niveau de protection équivalent au nôtre, ne sera pas ralentie. Au contraire, grâce à ce nouveau texte, la donnée au centre des échanges sera résolument conforme aux nouveaux usages, mieux partagée, mieux sécurisée, et elle verra en fin de compte sa valeur ajoutée fortement augmentée.

 

Linkbynet bénéficie d’une forte expertise en matière de gouvernance de la donnée et a accompagné, au cours des dernières années, de nombreuses entreprises européennes dans la mise en conformité au RGPD. S’appuyant sur l’expérience acquise dans ces projets d’envergure, Linkbynet est en mesure d’accompagner les entreprises Québécoises afin de leur proposer une offre complète de gestion des renseignements personnels, quel que soit leur secteur d’activité.

De l’analyse du changement à partir d’une cartographie de vos données, jusqu’à la conduite de ce changement intégré à une nouvelle culture d’entreprise sur le long terme, Linkbynet sera ainsi votre garant du respect des réglementations Québécoises.

[PAROLES D'EXPERTS] Audit d'une plateforme AWS, comment attribuer les bons droits ?

La sécurité est un vieux sujet en TI mais elle prend de plus en plus d’ampleur avec les années et les cas que l’on peut entendre dans la presse spécialisée ou non ces dernières années.

Pour différentes raisons, on peut être amené à se faire auditer par un organisme externe.

[PAROLES D'EXPERTS] Renforcer la sécurité AWS grâce au standard de sécurité PCI DSS

La norme de sécurité de l’industrie des cartes de paiement (Payment Card Industry Data Security Standard), mieux connue sous la dénomination PCI DSS, est un standard de sécurité mis en place par les grands acteurs de la chaîne monétique. Son but ? Augmenter la sécurité et le contrôle des informations associées au détenteur d’une carte de crédit lorsque celui-ci effectue un achat et réduire par la même occasion les possibilités d’utilisation frauduleuse de son moyen de paiement.

Formations : Linkbynet met l’accent sur l’apprentissage des technologies Cloud Native

À l’heure où les technologies infonuagiques sont plus prisées que jamais par des organisations en quête de réduction de la complexité et des coûts associés à leurs infrastructures et à leurs applicatifs, les besoins en formation des professionnels du secteur des TI ont également progressé de manière exponentielle.