De nombreuses entreprises utilisent des informations et des données numériques dans le cadre de leurs opérations quotidiennes. Un trop grand nombre des mêmes entreprises utilisent la technologie sans se soucier de savoir s’il faut ou non la protéger suffisamment. Malheureusement, cela peut être l’inconvénient de nombreuses entreprises, car le taux de cybercriminalité au Canada continue d’augmenter (à partir de 2020-2022.)

En fait, le CDR (2020 Cyberthreat Defense Report) de CyberEdge Group a découvert que plus de 75 % des organisations canadiennes ont subi au moins une cyberattaque sur une période de 12 mois. Un chiffre difficile à ignorer et qui augmente au fur et à mesure que la cybercriminalité et les cybercriminels deviennent plus sophistiqués dans leurs efforts.

La loi 25, également connue sous le nom de Loi sur la modernisation de la protection des renseignements personnels, ou projet de loi 64 (tel qu’initialement nommée lors de sa première sanction à l’Assemblée nationale en septembre 2021), s’agit d’un projet de réforme qui fait du Québec la première province au Canada pour moderniser un régime de protection des renseignements personnels conformément aux réalités modernes des données et de la technologie.

Au cours des prochaines années, la loi 25 sera graduellement mise en place. Les entreprises qui ne se conforment pas à la nouvelle règle pourraient faire face à de lourdes sanctions financières. Voici comment tout va se dérouler.

Qu’est-ce que la loi 25 et comment sera-t-elle mise en place ?

La loi 25 comprendra 3 phases distinctes, toutes mises en œuvre progressivement sur une période de 3 ans.

Phase 1

À compter du 22 septembre, les entreprises et les organisations du Québec devront désigner une autorité unique (un responsable de la protection de la vie privée) qui sera en charge de la protection des informations personnelles à la disposition de votre entreprise. Ils doivent s’assurer du respect de la Loi sur le secteur privé du Québec et leurs coordonnées devront être affichées sur le site Web de votre entreprise. Tout incident de confidentialité survenu doit être signalé à la Commission d’accès à l’information (ou à la CAI) ainsi qu’aux personnes concernées qui pourraient être à risque de préjudice grave. Toutes les entreprises sont tenues de maintenir un registre des événements de violation de la vie privée.

Qu’est-ce qui constitue un incident de confidentialité ? Il est important de savoir quels scénarios potentiels de perte ou de vol d’informations personnelles pourraient avoir un impact sur votre organisation. Afin d’atténuer vos risques, il est important de mettre en œuvre des procédures d’identification et d’atténuation des risques suffisantes.

Phase 2

Au bout d’un an, à partir du 22 septembre 2023, commence la phase la plus complexe. Votre organisation devra mettre en œuvre des processus pour créer un cadre de gouvernance garantissant la conformité. Chaque entreprise doit mettre en place une équipe qui communique et met en œuvre des politiques destinées à protéger toutes les informations personnelles à la disposition de votre entreprise. Il doit y avoir un système en place pour traiter les plaintes.

Cette phase nécessite de nombreuses obligations à respecter. Ceux-ci incluent :

• Si votre entreprise est impliquée dans des affaires avec d’autres juridictions, il est important de faire des recherches qui garantissent que les informations personnelles transférées vers l’autre juridiction recevront la même protection que si elles étaient au Québec et en conformité avec les mêmes lois.
• Fournir un cadre qui contient des exigences de transparence à l’égard des tiers susceptibles de fournir des informations personnelles à votre organisation, y compris des technologies de suivi, de profilage et d’identification.
• Évaluations de l’impact sur les facteurs relatifs à la vie privée (ÉFVP).
• Fournir une divulgation d’informations si vous utilisez la prise de décision automatisée.
• Si votre entreprise soustraite la gestion de ses informations personnelles, vous devez fournir un accord écrit décrivant les obligations et les tâches de votre fournisseur.

Votre entreprise pourrait faire l’objet de sanctions pénales ou de sanctions administratives au cours de la phase 2. Il est important d’être détaillé au cours de ce processus, car les dommages-intérêts punitifs et les réclamations pour dérogations au cours de cette phase pourraient atteindre jusqu’à 25 millions de dollars.

Phase 3

L’entrée en vigueur le 22 septembre 2024 constitue la phase finale. Cette phase donne le droit aux personnes dont les informations personnelles que votre organisation a collectées de recevoir une copie des informations qu’elles ont fournies dans un format technique moderne/structuré.

Les entreprises doivent être proactives face aux menaces que présente la collecte de données. Comme les risques de subir un incident de cybersécurité ont considérablement augmenté ces dernières années, il vaut mieux prévenir que guérir.

Être proactif pour les entreprises québécoises

La réalité est que trop d’organisations québécoises attendent d’avoir subi une perte en raison d’une cyberattaque avant de décider de renforcer la sécurité de leur entreprise contre ces risques. Il vaut mieux être proactif que de subir le contrecoup d’un événement de cybercriminalité potentiellement dévastateur. Une partie de la gestion des risques implique l’achat d’une cyber-assurance, qui peut protéger votre organisation contre les frais de responsabilité légale qui pourraient survenir en cas de violation de données. Les coûts que la cyber-assurance peut couvrir comprennent : les coûts de restauration, les frais de défense juridique, les coûts de restauration de la réputation de votre entreprise, les coûts potentiels des rançongiciels, etc.

Être proactif, c’est le premier moyen d’assurer la pérennité de votre organisation. Contactez LMBF pour obtenir des conseils concernant votre police d’assurance commerciale et voyez comment nous pouvons vous aider à améliorer votre protection pour votre tranquillité d’esprit.