Systèmes informatiques paralysés, données personnelles compromises, demande de rançongiciel…nous sommes tous d’accord que ce genre d’événement n’est plus nouveau dans le paysage numérique québécois, mais toujours aussi menaçant et terrifiant ! À l’heure où les cyberattaques sont malheureusement de plus en plus communes, il est impératif pour les entreprises et organismes de se prémunir de méthodes afin de protéger leurs propres données et celles de leurs clients.
Le gouvernement du Québec a apporté une série de modifications aux lois portant sur la protection des renseignements personnels, entrant en vigueur en trois temps: septembre 2022, septembre 2023 et septembre 2024. Ainsi depuis le 22 septembre 2022, toutes les entreprises, incluant la vôtre, doivent mettre en place certaines mesures de sécurité afin d’assurer la sécurité des renseignements personnels de leurs clients (Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ Loi 25)
À quoi sert cette loi?
La commission d’accès à l’information du Québec nous explique que l’objectif de cette loi « est d’offrir un meilleur contrôle aux citoyens sur leurs renseignements personnels et de responsabiliser davantage les organisations quant à leur gestion de ces renseignements ».
Par où commencer?
En premier lieu, il vous faut identifier la personne responsable de la protection des renseignements personnels au sein de votre organisation. Selon la loi, c’est la personne ayant le plus haut niveau d’autorité au sein de votre organisation qui obtient cette responsabilité. Toutefois, il peut déléguer en tout ou en partie cette tâche par écrit à une autre personne. Sa relation avec le conseil d’administration est d’ailleurs un élément clé dans le déploiement des nouvelles mesures. Cette personne doit pouvoir communiquer efficacement afin d’assurer la prospérité de l’entreprise et de la protéger, elle et les données de ses clients, contre d’éventuelles attaques.
La loi oblige également à préparer un plan de gestion des incidents de confidentialité et de tenir un registre pour les regrouper. En cas d’incident de confidentialité, il est stipulé que vous devez « divulguer et aviser toutes les personnes et organisations touchées par l’incident ainsi que la Commission d’accès à l’information si celui-ci comporte un risque de préjudice sérieux ».
Ce ne sont là que quelques exemples de mesures à prendre. Si tous ensemble, nous nous conformons aux nouvelles dispositions pour agir contre les prédateurs numériques, cela ne peut qu’être bénéfique pour les citoyens !
Vous avez des questions?
Pour en savoir plus, sur les nouvelles dispositions de la loi, le site de la Commission d’accès à l’information du Québec fournit une multitude d’informations facilement accessibles.
Il va sans dire que ces changements affecteront la gouvernance de votre organisation, la gestion des risques ainsi que certaines politiques, procédures et processus. Prenez le temps de bien réfléchir afin d’élaborer un plan d’action pour faire face aux différents enjeux actuels et à venir avec les prochaines modifications 2023-2024. Mais surtout afin d’offrir un environnement sécuritaire pour mieux répondre aux attentes de vos clients actuels et futurs.
Si vous avez des questions, par exemple, à propos de l’élaboration d’un plan de gestion des incidents, pour le déploiement d’un comité de protection des renseignements personnels, ou si vous voulez revoir vos politiques, procédures et processus, n’hésitez pas à nous contacter. Nous avons les experts pour vous accompagner!
