Category: Loi 25

blank

Mise à niveau loi 25

Contexte et objectifs

L’organisation, une OBNL offrant des services aux minorités visibles, était en activité depuis plusieurs décennies et avait accumulé une quantité impressionnante de renseignements personnels. Cependant, la structure de gestion documentaire n’avait pas suivi cette croissance. L’objectif était de mettre en place des procédures et des systèmes pour assurer la sécurité des données et la conformité à la loi 25, dont l’échéance approchait.

Problématique

Cette accumulation de renseignements personnels sans gestion structurée représentait un risque majeur pour la sécurité des données et la conformité à la loi 25. L’organisation devait non seulement protéger les données, mais également se conformer aux exigences légales imminentes. Le manque de procédures documentaires et de gestion des renseignements personnels rendait la situation d’autant plus complexe.

Approche et méthodologie

Nous avons accompagné l’organisation dans la mise en place des procédures, registres, et documents administratifs requis pour assurer la conformité à la loi 25. Des ateliers ont été organisés avec la direction et les membres clés pour cartographier les renseignements personnels et les systèmes utilisés. Sur cette base, nous avons créé l’ensemble de la documentation interne et publique nécessaire et assisté l’équipe dans l’implantation de ces éléments.

Solutions et résultats

Grâce à une cartographie précise des données personnelles et à l’analyse des systèmes en place, nous avons pu concevoir la documentation requise pour la conformité légale et former l’équipe à son utilisation. Une formation en cybersécurité a également été offerte aux 25 employés, les sensibilisant aux risques liés à la protection des renseignements personnels. L’OBNL est désormais mieux protégée et en conformité avec la loi 25.

Outils et technologies utilisés

  • Outils : Microsoft 365 pour la gestion documentaire, SAGE pour la gestion des opérations comptables et administratives.

Conclusion et Impact à Long Terme

La mise à niveau pour la loi 25 a permis à l’OBNL de renforcer la sécurité de ses renseignements personnels et de se conformer aux exigences légales. À long terme, cette démarche garantit une gestion efficace des données sensibles et protège l’organisation contre les risques légaux et de cybersécurité.

Un besoin similaire?

Vous avez un projet similaire ou souhaitez en savoir plus sur nos services d’accompagnement pour la conformité à la loi 25? Contactez-nous dès aujourd’hui pour discuter de vos besoins.

blank

Les 3 lois sur la protection de données à porter son attention au Canada en 2024

La protection des données est devenue un enjeu majeur dans un monde de plus en plus numérique. Avec la montée en puissance des cyberattaques, des violations de données et de l’utilisation abusive des informations personnelles, les gouvernements du monde entier révisent et renforcent leurs lois sur la protection des données.

1.Loi canadienne sur la protection des renseignements personnels et les documents électroniques (LPRPDE) – Modernisation

Au Canada, l’une des évolutions législatives les plus notables est la révision en cours de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Cette loi, qui constitue l’épine dorsale du cadre de protection des données au Canada, est en train d’être modernisée pour répondre aux défis posés par l’économie numérique.

La réforme proposée, connue sous le nom de Loi sur la protection de la vie privée des consommateurs (LPVPC), vise à donner aux Canadiens plus de contrôle sur leurs données personnelles. Parmi les changements, on note :

  • Le droit à la portabilité des données : Les consommateurs pourront demander que leurs données personnelles soient transférées d’une organisation à une autre.
  • Le droit à l’oubli : Les Canadiens pourront demander la suppression de leurs données lorsque celles-ci ne sont plus nécessaires.
  • Sanctions renforcées: Les entreprises qui enfreignent la loi pourraient faire face à des amendes allant jusqu’à 5 % de leur chiffre d’affaires mondialou 25 millions de dollars, selon le montant le plus élevé​ (EveryoneSocial).

Ces réformes sont alignées sur les tendances mondiales en matière de protection des données, comme le RGPD en Europe, et visent à renforcer la confiance des consommateurs dans l’économie numérique.

2. Loi 25 au Québec

Nous en avons déjà parler, au Québec des changements significatifs avec l’adoption de la Loi 25, officiellement connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Cette loi, qui modifie la Loi sur la protection des renseignements personnels dans le secteur privé, introduit des exigences plus strictes pour les entreprises opérant dans la province.

3. Loi sur la protection de la vie privée des consommateurs en ligne (OPC) – Canada

Au Canada, la Loi sur la Protection de la Vie Privée des Consommateurs en Ligne (OPC) a été proposée en 2022 et devrait entrer en vigueur en 2024. Cette loi renforce les obligations des entreprises concernant la collecte, l’utilisation et la divulgation des données personnelles. Elle introduit également des pénalités plus élevées pour les infractions et donne plus de pouvoir à l’autorité de régulation pour enquêter et imposer des sanctions.

En outre, l’OPC accorde aux consommateurs un droit accru de demander la suppression de leurs données personnelles. Pour en savoir plus sur la loi nous en parlons plus en détails ici.

Une étude de l’Université de Toronto en 2023 a révélé que 75 % des Canadiens sont préoccupés par l’utilisation de leurs données personnelles par les entreprises, ce qui justifie l’introduction de lois plus strictes.

blank

Que devons-nous en retenir?

Les récents changements dans les lois sur la protection des données montrent une tendance claire vers un renforcement des droits des consommateurs et une responsabilisation accrue des entreprises. Alors que les réglementations continuent d’évoluer, les entreprises doivent rester vigilantes et s’assurer de leur conformité pour éviter des sanctions sévères et protéger la confiance de leurs clients.

blank

Le poids géopolitique de la cybersécurité

Un article du journal Les Affaires a récemment attiré mon attention. Dans le cadre de mon travail avec MGP Conseils, j’assiste des PME avec des besoins technologiques stratégiques, mais quand même majoritairement opérationnels. La maîtrise du « terrain » est importante, mais il est bon parfois de prendre un peu d’altitude pour avoir une vue macro sur le sujet. Cet article est très intéressant à cet effet.

Les cyberattaques contribuent de plus en plus à la montée des conflits mondiaux comme moyen de guerre sans déclaration formelle. Le caractère intangible et souvent caché rend difficile les interceptions et les recours vers les fautifs.

Plusieurs pays, dont le Canada, renforcent leurs capacités de cyberdéfense, tandis que les objectifs des cyberopérations varient, englobant l’espionnage, l’économie, le sabotage et le financement. Le contexte entraîne des changements législatifs, comme les certificationspour les fournisseurs de services travaillant avec des gouvernements (ISACA, CerNexus, CWNP, etc.), et des lois sur la protection des cybersystèmes essentiels.

Sur le plan technologique, l’évolution de l’intelligence artificielle et son utilisation potentielle par les criminels, change complètement le paysage. La puissance, la rapidité et la portée des attaques sont multipliées exponentiellement et elles fragilisent des systèmes qu’on croyait solides telles que la blockchain et les cryptages de haut niveau.

En termes de tendances, l’article met en avant quatre points clés :

Tendance 1 – Les techniques de cyberguerre

Les cyberattaques deviennent accessibles aux criminels locaux, comme illustré par l’histoire de NotPetya. La cyberassurance va donc passer d’une dépense secondaire à une dépense essentielle pour les entreprises.

Tendance 2 – Cybercrime « as a service »

Le cybercrime devient un processus de chaîne, impliquant divers rôles, permettant aux amateurs de participer à des attaques complexes, compliquant ainsi les poursuites judiciaires. Une forme de démocratisation des cyberattaques où, selon l’expression anglaise « honor among thieves », il existe une certaine déontologie. Comme le montre l’attaque par rançongiciel d’un hôpital pour enfant en décembre 2022 où LockBit, le franchiseur des attaquants, a immédiatement remis les clés de décryptage à l’institution et banni leur partenaire, car cela enfreignait leurs règles.

Tendance 3 – Cryptage, extorsion et législation

Les criminels menacent de publier des données plutôt que de simplement les chiffrer, incitant les entreprises à être vigilantes et à ne pas céder aux propositions d’ententes à l’amiable. On voit trop souvent dans les films d’action le policier qui accepte de poser son arme devant un malfaiteur et son otage. Dans la réalité, jamais cela ne se produit, car vous devenez vous-mêmes vulnérables et perdez votre levier dans la situation. En tant que PME, il faut donc être préparé à ce genre d’événement et avoir des contingences en cas d’attaques, car une très grande partie des victimes ne reçoivent jamais leurs données après avoir payé la rançon…

Tendance 4 – La protection de la vie privée, un différentiateur important

La sensibilisation à la vie privée augmente, avec une demande croissante de transparence quant à l’utilisation des données. Les entreprises non transparentes risquent des sanctions et des actions collectives. La loi 25 qui arrive à sa dernière échéance en septembre 2024 et le plus sévère Règlement général sur la protection des données (RGPD) de l’Union européenne en sont de bons exemples. Je vois malheureusement beaucoup d’entreprises qui font encore l’autruche malgré les nombreuses ressources…

Tendance 5 – Tout le monde vend de la cybersécurité

En raison du risque généralisé de cyberattaques, la cybersécurité devient essentielle pour toutes les entreprises, conduisant à une prolifération d’offres; il faut être vigilant dans le choix des partenaires de cybersécurité.

L’ensemble de ces tendances reflète un paysage complexe où la sécurité numérique, les implications légales et la protection de la vie privée deviennent des préoccupations cruciales pour les individus et les entreprises. Le gouvernement a sa part du gâteau dans tout ça, mais les PME également. Elles doivent prendre des mesures concrètes et rester un minimum à l’affût des changements géopolitiques qui pourraient l’impacter.

Comment ces tendances pourraient-elles influencer les politiques gouvernementales en matière de cybersécurité?

blank

Incident de cybersécurité chez Météomédia, une leçon pour les PME du Québec

L’incident de cybersécurité qui a touché Météomédia en septembre dernier illustre comment même les organisations a priori non-intéressantes pour des malfaiteurs peuvent être la proie de cyberattaques. Voici quelques points à considérer :

  1. Conséquences inattendues : Les organisations, y compris celles qui fournissent des services de prévisions météorologiques, peuvent être victimes de cyberattaques. Même si ces organisations ne traitent pas directement des données financières ou sensibles, la perturbation de leurs services peut avoir un impact sur de nombreux utilisateurs. Dans le cas de Météomédia, la panne a affecté la capacité des Canadiens à accéder à des informations météorologiques cruciales.
  2. Fournisseurs tiers : L’incident a été attribué à un « tiers prestataire de logiciels ». Cela met en lumière le fait que les organisations peuvent être vulnérables aux actions de leurs partenaires ou fournisseurs, même si elles prennent des mesures de sécurité adéquates en interne. Cela souligne l’importance de surveiller attentivement les relations avec les tiers et de s’assurer qu’ils respectent également des normes de cybersécurité élevées.
  3. Impact sur la confiance : Météomédia a dû s’excuser pour les inconvénients causés par l’incident. Les perturbations des services, même temporaires, peuvent ébranler la confiance des clients et des utilisateurs. Cela montre que la réputation des entreprises peut être sérieusement affectée par les cyberattaques, même si elles ne semblent pas être des cibles de choix pour les criminels.

Il est important de noter que les PME du Québec sont souvent plus vulnérables que les grandes entreprises en raison de ressources limitées en matière de cybersécurité. Elles peuvent être des cibles plus faciles pour les malfaiteurs, car elles ont souvent moins de défenses en place. Les PME devraient donc être conscientes de leur vulnérabilité et prendre des mesures pour renforcer leur cybersécurité, car elles peuvent être des cibles attrayantes pour des cybercriminels opportunistes.

blank

Et si vous échangiez votre vie privée contre des primes d’assurance auto?

Imaginez un instant…

Nous sommes en 2077.

Vous conduisez votre véhicule électrique et partiellement autonome pour vous rendre à votre travail.

Sous son capot rutilant, votre assurance automobile à ajouter un équipement grossier.

Une boite noire.

À l’intérieur, un micro-ordinateur qui enregistre tous vos faits et gestes au volant.

Notamment :

  • les lieux que vous visitez ;
  • votre style de conduite ;
  • le type de route que vous emprunté ;
  • les distances que vous faites quotidiennement ;
  • vos heures de conduite, etc.

Votre assureur (américain) – c’est important pour la suite — vous rassure.

Non, ces données ne seront pas revendues.

Il veut seulement améliorer votre conduite et vous offrir de meilleures primes en cas d’accidents.

Cerise sur le gâteau : une intelligence artificielle embarquée analysera vos data en temps réel.

Seriez-vous prêt à accepter ce deal ?

Eh bien, retirez 2077 et remplacer le par 2023, et comme 17 % des automobilistes états-uniens, vous répondrez peut-être oui.

L’assurance télématique, ou assurance basée sur l’utilisation, est un type d’assurance qui vous facture selon votre responsabilité au volant.

Et même si elle est encore peu répandue ici au Québec et chez nos confrères européens, aux USA, elles font fureur.

D’ailleurs, les assureurs ne sont pas les seuls à surveiller les conducteurs de leurs flottes. Amazon le fait aussi, avec en prime l’ajout de caméras dans la cabine des chauffeurs.

Seulement… connaissant les particularités du droit des USA sur la protection des données – surtout comparé au droit Canadien -, seriez-vous prêt à partager votre intimité avec une société qui pourra les revendre à des data brokers ?

blank

Quand la loi 25 met en péril la rentabilité des entreprises

Services sociaux

La Loi 25 : Ce que les entreprises doivent savoir pour rester conformes

La Loi 25, anciennement connue sous le nom de Projet de loi 64, représente une évolution majeure pour la protection des renseignements personnels au Québec. Voici les points essentiels pour les entreprises, avec un accent sur les changements, les sanctions et les méthodes pour se conformer.

Changements clés

  1. Consentement explicite : le consentement des individus doit désormais être clair et explicite.
  2. Nomination d’un DPO : les entreprises doivent désigner un délégué à la protection des renseignements personnels.
  3. Droits accrus pour les individus : les droits des personnes en matière d’accès, de rectification, et d’opposition sont renforcés.
  4. Évaluation des risques : toute collecte de données doit passer par une évaluation des risques pour la vie privée.

blank

Sanctions

Les entreprises qui ne respectent pas les exigences strictes en matière de conformité aux régulations légales s’exposent à des sanctions financières et juridiques particulièrement lourdes. En effet, elles risquent non seulement des amendes pouvant atteindre jusqu’à 25 millions de dollars, ou 4 % du chiffre d’affaires annuel mondial,un montant qui, pour certaines entreprises, peut représenter une perte significative, mais elles peuvent également se retrouver confrontées à des poursuites judiciaires. Ces poursuites visent à réclamer des dommages-intérêts pour les préjudices causés par leur non-conformité.

assorted-title of books piled in the shelves

Pourquoi faut-il absolument se conformer?

En plus des sanctions financières, la non-conformité peut nuire à la réputation de l’entreprise, éroder la confiance des clients et partenaires, réduire sa compétitivité, et entraîner des audits coûteux. Les entreprises doivent donc adopter des mesures rigoureuses pour respecter les régulations afin d’éviter des répercussions graves pouvant compromettre leur viabilité à long terme.

Se conformer à la Loi 25

  1. Audit de conformité : Évaluer les pratiques actuelles en matière de protection des données.
  2. Mise à jour des politiques : Adapter les politiques internes pour respecter les nouvelles exigences.
  3. Formation du personnel : Sensibiliser les employés aux nouvelles obligations.

Soyez accompagnés par MGP Conseils

Nous sommes conscient que cela peut être submergeant et nous avons pu constater la lourdeur de cette mise à niveau nécessaires, mais complexe pour les PME.

MGP Conseils propose un accompagnement sur mesure pour aider les entreprises à se conformer à la Loi 25, en offrant des services d’audit, de formation, et de support continu.

Nous vous accompagnons depuis la réalisation de diagnostic, analyse d’écart à l’implantation des mesures nécessaires à la conformité de la loi 25 sur la protection des renseignements personnels.

Contactez-nous