BOUTIQUE DES PME
0 Shopping Cart
0 Shopping Cart
Cybersécurité

Protection des renseignements personnels : le PL 64 et l’ajustement des entreprises dès 2022

Martin SamsonPar Aucun commentaireLecture : 5 min
Protection des renseignements personnels, RPRP
Protection des renseignements personnels : le PL 64 et l'ajustement des entreprises dès 2022. Données, RPRP, incident, fraude, cybersécurité

Le projet de loi 64 (ou PL 64), qui a pour but de réformer et de moderniser la législation québécoise sur la protection des renseignements personnels. Elle a officiellement été adoptée en septembre 2021. Cette démarche force toutes les entreprises à poser des gestes concrets pour revoir la façon dont elles assurent la sécurité des données qu’elles récoltent. Dont nommer un responsable RPRP, voir point 1.

Les actions entrent en vigueur selon une ligne du temps de 3 ans (jusqu’en 2024), mais quelques étapes doivent être réalisées dès septembre 2022. En technologie, c’est très bientôt! Voici donc tout ce que vous devez savoir sur vos obligations en lien avec la modernisation de cette loi.

1 — La nomination d’un RPRP (responsable de la protection des renseignements personnels)

La première étape à cocher sur votre liste de choses à faire en lien avec cette modernisation à la loi, c’est de nommer un responsable de la protection des renseignements personnels de votre entreprise.

Fait important : par défaut, le RPRP est la personne ayant la plus haute autorité d’une organisation. Si vous dirigez une entreprise, sachez que vous pouvez décider de déléguer ce rôle. Ça peut être à quelqu’un qui est déjà en poste ou à un partenaire externe, comme nous.

Quelles seront les fonctions du RPRP?

Le RPRP sera un acteur de grande importance dans votre entreprise. Puisque c’est vers lui qu’on se tournera si vous êtes victime d’une cyberattaque. Dans un tel cas, il devra démontrer les actions réalisées en amont de l’attaque pour protéger les renseignements personnels que vous détenez. Entre autres, démontrer (affichage de vos politiques sur votre site Web, Scan de vulnérabilité, exercices de cybersécurité, etc.).

Ce n’est pas un rôle à prendre à la légère. D’où la nécessité de choisir une ressource organisée avec un bon sens de l’initiative. En plus de devoir être chargé de la sécurité des données, le RPRP devra :

  • implanter des politiques qui encadrent la gouvernance et la protection des renseignements personnels ;
  • rédiger ces politiques en termes clairs et simples et les afficher sur le site Web de l’entreprise ;
  • encadrer la conservation et la destruction des renseignements recueillis ;
  • évaluer les facteurs qui touchent la vie privée ;
  • déclarer les incidents de sécurité ;
  • tenir un registre de ces incidents.

Fait important à noter : les coordonnées de votre RPRP devront être publiées sur le site Web de votre entreprise. Si vous n’avez pas de site Web, vous devrez les rendre accessibles à quiconque vous en fait la demande.

2 — La formation d’un comité sur l’accès à l’information

Comité sur l'accès à l'information PL 64, RPRP
Comité sur l’accès à l’information PL 64, RPRP, équipe, identification, utilisateur, données, obligations

Le RPRP aura la tâche de former un comité sur l’accès à l’information. Celui-ci peut en être le seul participant. Le but de créer une équipe est de répartir les obligations de l’entreprise, comme la gestion de l’identification des accès. Ce comité aura aussi le devoir de rendre publics les communiqués et les politiques de l’entreprise auprès des utilisateurs, avant que celle-ci ne récolte les données.

  • Pourquoi ces renseignements sont-ils recueillis?
  • Comment sont-ils collectés?
  • Comment retirer son consentement?
  • Le nom du tiers (si les données sont recueillies pour une autre entreprise).
  • La possibilité de communiquer les renseignements à l’extérieur du Québec (s’il y a lieu).

Ce comité a donc le devoir d’expliquer clairement aux utilisateurs les raisons qui poussent l’entreprise à récolter les données personnelles. Aussi ce qu’elle en fera et avec qui elle les partagera.

Sur ce dernier point, il est parfois nécessaire de partager les informations recueillies avec des partenaires. On peut seulement penser à Amazon, qui doit offrir une partie des renseignements des utilisateurs qui achètent sur son site avec des compagnies de livraison afin que le colis se rende à bonne destination. C’est un exemple parmi tant d’autres, mais c’est important que chaque consommateur comprenne cette mécanique.

À noter : Votre entreprise ne peut récolter le consentement d’une personne de moins de 14 ans. L’accord doit être donné par l’autorité parentale.

3 — La déclaration des incidents de sécurité

Bien que vous déteniez un RPRP ainsi qu’une bonne cybersécurité, il se peut que des incidents surviennent. Votre entreprise est alors dans l’obligation de déclarer toutes les formes d’attaques (intrusion, rançongiciel, fuite de données, extraction non autorisée, etc.).

Comment déterminer ce qui est un incident? Il s’agit d’un si :

  • vous observez que vos renseignements personnels ont été vus ou exploités de manière illégitime (qui ne figure pas dans vos politiques);
  • vous pensez avoir perdu des données;
  • l’événement présente un sérieux risque de préjudice (sensibilité du renseignement, conséquences appréhendées de l’usage des informations, probabilité d’une utilisation du renseignement à mauvais escient, etc.).

Dès que vous remarquez que vous avez été victime d’un tel épisode critique, vous avez l’obligation de faire un signalement à votre comité d’accès à l’information, aux personnes concernées par l’incident ainsi qu’aux organismes qui pourraient vous aider à en diminuer la menace.

À noter : Chaque entreprise devra tenir un registre des incidents et le documenter de façon que des mesures concrètes et efficaces soient prises pour réduire le risque qu’une même situation se reproduise.

Protection des renseignements personnels : un avis légal pourrait être une bonne chose

Avec ces informations, vous êtes maintenant prêt à vous mettre à jour en ce qui a trait à la protection des renseignements personnels de vos utilisateurs. Obtenez des conseils légaux avec des avocats spécialisés ainsi qu’un accompagnement auprès de différents départements gouvernementaux. Ceux-ci ont été créés pour venir en aide aux organisations. N’hésitez pas à nous contacter et à nous suivre sur LinkedIn pour lire nos actualités et avoir encore plus de détails sur le sujet.

* Cette loi s’adresse à toutes les entreprises qui recueillent des renseignements personnels auprès de leurs clients et leurs utilisateurs, même si ces données sont conservées par un tiers. Un renseignement personnel se définit comme une information qui peut permettre d’identifier physiquement ou moralement un individu.

Partager

M. Martin Samson,

Professionnel en sécurité de l’information, CGEIT, CISM et CRISC, monsieur Samson possède une vaste expérience dans les projets liés à la sécurité de l’information ainsi qu’en gestion de ressources, tant humaines que matérielles. À titre de professionnel en sécurité de l’information, il intervient à différents niveaux dans des projets en gestion du risque de la sécurisation de l’information. Il réalise également des activités d’orientation stratégique en matière de conformité et de cybersécurité en respectant les lois, les règlements et les meilleures pratiques de l’industrie.

Martin Samson a participé à titre de chargé de projet et d’architecte à la gestion des risques en sécurité de l’information basée sur les normes internationales NIST Cyber Security Framework (CSF), NIST SP800-53, ISO 27001, 27002, 27005, PCI, et le cadre de référence COBIT. Il possède une expertise en lien avec les exigences des lois applicables en sécurité.

En plus de ces certifications dans le domaine de la sécurité de l’information, Martin Samson est titulaire d’un diplôme de deuxième cycle en Gouvernance, audit et sécurité des technologies de l’information de la Faculté d’administration de l’Université de Sherbrooke. Ce programme reconnu à l’international par l’organisation ISACA lui a permis de parfaire ses connaissances.

Depuis 2019, monsieur Samson est CISO et vice-président, Cybersécurité, à la société conseil Lambda. Il dirige l’équipe de spécialistes en cybersécurité et développe une démarche d’analyse de risques reliée à la sécurité des informations répondant parfaitement à la réalité des fonctions d’affaires. L’ensemble de ces innovations permet aux gestionnaires et propriétaires d’entreprise d’obtenir les meilleures solutions pour la saine gestion des risques en matière de cybersécurité. Une telle démarche d’analyse et d’accompagnement novatrice fusionnant le modèle d’affaires et la position de sécurité des entreprises permet d’obtenir l’offre de service la plus avancée de toute l’industrie.

Related Posts

Laisser un commentaire

Liens rapides

À propos

Journal Action PME, c’est un journal entièrement numérique qui réunit plus de 70 experts chevronnés dans différents domaines entourant les PME et les TPE.

Autres informations