Publicité

Projet de loi 64 : le RGPD québécois. Votre entreprise est-elle prête ?

0
projet de loi 64

En collaboration avec Vincent Roy

Connaissez-vous le projet de loi 64 ? Ce projet vise à moderniser la façon dont les entreprises protègent les renseignements personnels auxquels elles ont accès par l’entremise de leurs clients. En d’autres mots, les entreprises devront revoir et adapter aux nouvelles normes la gestion interne des données qu’elles récoltent pour mieux les protéger.

Publicité

Un RGPD québécois

On pourrait comparer le projet de loi 64 au RGPD (Règlement général sur la protection des données), en Europe. Le RGPD, applicable depuis 2018, regroupe les meilleures pratiques au monde en matière de contrôle des renseignements personnels. Et c’est un peu ce que le projet de loi 64 vise au Québec : accorder une plus grande indépendance aux utilisateurs par rapport aux données qu’ils partagent. Ils auront ainsi un meilleur contrôle et pourront décider des renseignements qu’ils veulent partager et des autres qu’ils veulent garder privés.

La loi actuelle (LPRPSP)

La loi actuelle ne touche pas toutes les sphères commerciales. En fait, la loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) date de… 1994 ! Dans le domaine numérique, aussi bien le dire, la loi date du Moyen-Âge ! Depuis 1994, l’évolution dans le domaine technologique a été rapide et énorme.

Internet, rapidité, connectivité, connaissances informatiques, intelligence artificielle, automatisation, sans oublier l’importance des données. Sur le Web, les données valent de l’or et les gens sont prêts à pirater des entreprises pour les obtenir et les utiliser, ou les revendre.

Le but du projet de loi est de moderniser les règles en vigueur dans le secteur privé pour mieux encadrer et mieux gérer les données et ainsi, réduire le nombre de pertes de données. L’adoption du projet de loi 64 est donc nécessaire pour que le Québec se dote de normes qui tiennent compte de la situation actuelle.

Projet de loi 64 : qu’est-ce que ça implique pour une entreprise ?

Comme mentionné un peu plus haut, la modification proposée vise à accorder aux individus un plus grand contrôle sur les données qu’ils désirent — ou ne désirent pas — partager à une entreprise.

Par contre, pour en arriver là, il faut que les entreprises se préparent et mettent en place des mesures et des écosystèmes solides. Qu’est-ce que ça implique, pour une entreprise ?

1 — D’abord, les entreprises devront nommer un responsable, ou un comité responsable, en interne, qui sera chargé de l’implantation des nouveaux processus, mais qui sera aussi imputable en cas de vol de données. Cette personne pourra par contre déléguer la partie technique de l’implantation à des ressources externes en mesure de bâtir une solution solide.

2 — Ensuite, les entreprises devront se doter de politiques de protection des renseignements personnels. Elles devront expliciter clairement comment elles planifient mettre en œuvre une base de données « anonyme ».

3 — Finalement, il faudra mettre en place un écosystème qui permettra aux utilisateurs de gérer et de modifier leur consentement, et ce, à tout moment. D’ailleurs, lorsque la loi entrera en vigueur, il faudra planifier un message à tous les utilisateurs afin d’obtenir leur consentement en vertu des nouvelles mesures et de la nouvelle loi.

Si on avait déjà collecté leur autorisation dans le cadre du RGPD, il faudra la collecter de nouveau. Il ne faut pas oublier que l’utilisateur pourra refuser ou simplement, oublier de donner son accord. Dans ce cas, il sera important pour les entreprises de prévoir plusieurs appels à tous et plusieurs messages afin de pouvoir garder contact avec ces utilisateurs.

Évidemment, c’est un lourd fardeau financier qui s’ajoute pour les entreprises. C’est aussi beaucoup de temps qui demandera à être investi. Certaines organisations décideront d’embaucher une nouvelle personne, tandis que d’autres ajouteront ces tâches à des employés déjà en poste. Il n’y a pas de solution miracle, la meilleure solution sera différente pour chaque entreprise.

Quels seront les risques de ne pas se conformer au nouveau projet de loi 64 ?

Des sanctions pénales seront réservées aux entreprises qui ne se conformeront pas à la nouvelle loi. Bien qu’il reste encore des modifications à apporter, on peut s’attendre à des sanctions qui pourraient aller jusqu’à 25 millions de dollars. Avec la loi actuelle, l’amende maximale est de 10 000 $. Évidemment, ça ne vaut pas le coût de risquer d’avoir une amende salée et de perdre la crédibilité de son entreprise…

Bien entendu, tout cela reste un projet de loi qui doit être peaufiné et discuté en assemblée. On tenait par contre à relever ses grands points (qui évolueront, ne nous faisons pas de cachettes) afin de sensibiliser les décideurs, les gestionnaires et les chefs d’entreprises à l’importance de la protection des données de leurs utilisateurs, leurs clients et leurs employés.

D’ici là, nous vous suggérons fortement d’évaluer la position de votre entreprise par rapport à ce projet de loi, et l’importance du travail qui sera à accomplir lorsque le projet de loi sera accepté. De cette façon, vous aurez une longueur d’avance sur vos compétiteurs et vous serez prêt à continuer vos opérations !

Publicité
PARTAGER
Article précédentComment sélectionner les meilleurs projets pour votre entreprise?
Article suivantUne PME en temps de pandémie : bilan d’un gestionnaire!
Martin Samson

M. Martin Samson,

Professionnel en sécurité de l’information, CGEIT, CISM et CRISC, monsieur Samson possède une vaste expérience dans les projets liés à la sécurité de l’information ainsi qu’en gestion de ressources, tant humaines que matérielles. À titre de professionnel en sécurité de l’information, il intervient à différents niveaux dans des projets en gestion du risque de la sécurisation de l’information. Il réalise également des activités d’orientation stratégique en matière de conformité et de cybersécurité en respectant les lois, les règlements et les meilleures pratiques de l’industrie.

Martin Samson a participé à titre de chargé de projet et d’architecte à la gestion des risques en sécurité de l’information basée sur les normes internationales NIST Cyber Security Framework (CSF), NIST SP800-53, ISO 27001, 27002, 27005, PCI, et le cadre de référence COBIT. Il possède une expertise en lien avec les exigences des lois applicables en sécurité.

En plus de ces certifications dans le domaine de la sécurité de l’information, Martin Samson est titulaire d’un diplôme de deuxième cycle en Gouvernance, audit et sécurité des technologies de l’information de la Faculté d’administration de l’Université de Sherbrooke. Ce programme reconnu à l’international par l’organisation ISACA lui a permis de parfaire ses connaissances.

Depuis 2019, monsieur Samson est CISO et vice-président, Cybersécurité, à la société conseil Lambda. Il dirige l’équipe de spécialistes en cybersécurité et développe une démarche d’analyse de risques reliée à la sécurité des informations répondant parfaitement à la réalité des fonctions d’affaires. L’ensemble de ces innovations permet aux gestionnaires et propriétaires d’entreprise d’obtenir les meilleures solutions pour la saine gestion des risques en matière de cybersécurité. Une telle démarche d’analyse et d’accompagnement novatrice fusionnant le modèle d’affaires et la position de sécurité des entreprises permet d’obtenir l’offre de service la plus avancée de toute l’industrie.

LAISSER UN COMMENTAIRE

Merci de mettre votre commentaire
Merci d'indiquer votre nom ici