Loi 25 : Oui, ça vous concerne et ça peut vous coûter cher

Peu médiatisée, mais en vigueur depuis 2022, la Loi 25 vise à mieux protéger les renseignements personnels et s’apprête à entrer dans une nouvelle phase de sa mise en application, le 22 septembre 2023, qui concerne toutes les entreprises, les organismes, les villes et même le gouvernement du Québec. Peu importe la taille de votre organisation, vous aurez, tôt ou tard, à prendre des initiatives pour vous y conformer, sans quoi, les conséquences pourraient être très lourdes.

La Loi 25 est une grande mise à jour des lois existantes qui visent à protéger les données personnelles numériques des Québécois et des Québécoises. Cette loi s’inspire fortement de ce qui a été mis en place en Europe et répond directement aux préoccupations de plus en plus grandes des gens au sujet de l’utilisation de leurs données.

On définit les renseignements personnels comme des informations concernant une personne physique qui permettent de l’identifier. Ces informations, permettant d’identifier de manière unique une personne, doivent être traitées avec précaution et respect de la vie privée. Sauf exception, elles ne peuvent être collectées ni partagées sans le consentement de la personne concernée.

Pour une entreprise, les renseignements personnels sont ceux permettant d’identifier ses clients, ses fournisseurs, ses partenaires, ses employés et même des candidats potentiels (gardez-vous une grosse banque de CV par hasard ?). Voici ce qui permet d’identifier directement une personne : son nom complet, son numéro d’assurance sociale, son permis de conduire, son courriel personnel, son numéro de téléphone personnel, son adresse personnelle, ses données biométriques (son empreinte digitale par exemple), sa carte de crédit, pour ne nommer que ceux-ci.

En plus de ces informations d’identification, il vous faut considérer les informations indirectes, qui amalgamées ensemble, peuvent permettre d’identifier une personne.  Ces informations peuvent inclure l'âge, le genre, la profession, le niveau d'éducation, les données de localisation, les préférences de consommation, et d'autres informations démographiques ou comportementales.

À ce stade-ci, vous devriez vous poser la question suivante : avez-vous une idée des renseignements personnels que vous détenez sur vos postes de travail, dans vos dossiers ou votre cloud par exemple ? Et savez-vous où se trouvent ces données ? Et surtout, ces données sont-elles suffisamment protégées ?

Vous savez, tant et aussi longtemps que vous n’êtes pas victime d’une fuite de données ou d’une attaque de cybersécurité, sécuriser les données personnelles sensibles n’est probablement pas votre priorité. Mais, lorsque ça arrive, le risque va bien au-delà des amendes possibles en vertu de la Loi 25, qui parle ici notamment de pénalité dont le montant peut s’élever de 2 % à 4 % de votre chiffre d’affaires mondial. De telles amendes font mal, mais l’atteinte à votre crédibilité et à votre réputation envers vos clients, fournisseurs et employés est bien plus grave.

Les incidents en matière de sécurité et de fuite de données sont bien souvent causés par des erreurs très simples comme des communications accidentelles ou sans autorisation, de l’hameçonnage (cliquer sur un lien dans un courriel qui semble vrai), une cyberattaque (virus, logiciel espion), un rançongiciel, une défaillance technique, etc. De plus, les techniques d’hameçonnage et de cyberattaque ne cessent d’évoluer; elles sont malheureusement de plus en plus sophistiquées, et vous devrez redoubler d’ardeur pour y faire face.

Et, bien souvent, une fois la fuite constatée, il est très difficile de revenir en arrière. Les « j’aurais donc dû » ne vous seront d’aucun secours.

C’est maintenant que vous devez agir, pour vous conformer à la Loi 25 et éviter les pénalités qui peuvent atteindre des millions de dollars, mais surtout pour renforcer le lien de confiance qui vous unit à vos partenaires clés et pour protéger votre réputation. Sans oublier cet autre avantage : gagner en maîtrise de votre patrimoine informationnel.

À court terme, nous vous recommandons de vous conformer à la Loi 25. Plusieurs étapes et initiatives sont requises et nous pouvons vous aider dans votre démarche. Sachez que du financement est même disponible. Vous pouvez aussi faire votre propre diagnostic d’entreprise via le site maloi25.ca.

À ce jour, vous devriez déjà avoir désigné une personne responsable de la protection des renseignements personnels qui informera les personnes concernées en cas d’incident de confidentialité. Par contre, d’ici le 22 septembre prochain, vous devrez passer à l’étape supérieure, entre autres en établissant des politiques et des pratiques encadrant la gouvernance des renseignements personnels, publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de votre entreprise, réaliser une évaluation des facteurs relatifs à la vie privée, et respecter les nouvelles règles entourant le consentement à la collecte. Si vous voulez en savoir plus sur toutes les étapes détaillées, accédez à notre aide-mémoire.

La conformité à la Loi 25 est l'étape nécessaire pour assurer le respect des exigences de cette loi et permettre un certain niveau de protection de vos données, mais elle n'est pas suffisante pour protéger votre organisation en cas de cyberattaque.

Afin de pouvoir détecter les fuites potentielles et limiter les risques pour votre organisation, nous vous recommandons fortement de mettre en place des solutions afin d’identifier les données que vous possédez, de les classer adéquatement et de détecter les attaques en temps réel. C’est beaucoup plus abordable que vous ne le pensez, et certainement moins dispendieux que les coûts liés aux pénalités, sans compter ceux des conséquences réputationnelles. De plus, ces initiatives feront de vous un leader et contribueront à accroître la confiance que vos partenaires entretiennent envers vous.

Après tout, le succès de votre organisation repose sur cette confiance que vous avez bâtie année après année avec vos clients, fournisseurs et employés.