image
Cybersécurité revue et expliquée Martin Berthiaume
Partager
Suivre par RSS
Loi 25: après 6 mois, vous en êtes où?

Publié le 13/03/2023 à 11:00

Loi 25: après 6 mois, vous en êtes où?

Publié le 13/03/2023 à 11:00

Êtes-vous en mesure de détecter les incidents de confidentialité? (Photo: 123RF)

BLOGUE INVITÉ. Déjà bientôt 6 mois que les premières obligations de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) sont entrées en vigueur.

Plus particulièrement, il s’agit des obligations de nomination d’une personne responsable de la protection des renseignements personnels ainsi que celles liées à la gestion, la documentation et à la divulgation des incidents de confidentialité. Ces exigences sont applicables depuis le 22 septembre 2022 à toutes les entreprises privées qui traitent des renseignements personnels de citoyens du Québec.

Est-ce que les entreprises se soucient vraiment des données personnelles ?

Bien que ces nouvelles obligations aient fait couler beaucoup d’encre dans la dernière année, il n’en demeure pas moins que le constat actuel sur le terrain n’est pas encourageant. En effet, il est parfois surprenant de constater que plusieurs entreprises repoussent leur travail de mise en conformité et démontrent une attitude désintéressée qui s’approche malheureusement de la négligence. Malgré qu’aucune organisation ne peut prétendre être à l’abri d’un incident de cybersécurité et de confidentialité, certaines entreprises facilitent vraiment la vie aux criminels et, par le fait même, exposent leurs clients, partenaires et employés à ces mêmes criminels. Enfin, en plus des impacts réputationnels considérables, des sanctions importantes, pouvant atteindre un montant maximal de 25 000 000 $ ou 4% du chiffre d’affaires mondial de l’entreprise sont possibles.

 

Les éléments de base à mettre en place

Voici un petit rappel des éléments qui devraient déjà être en place dans votre organisation.

1— Responsable de la protection des renseignements personnels

En date d’aujourd’hui, votre responsable de la protection des renseignements personnels doit être nommé et entré en fonction. Si vous ne l’avez pas encore fait, ce rôle repose sur la personne ayant la plus haute autorité au sein de votre entreprise.

Dans la majorité des cas, la personne qui a la plus haute autorité n’est pas celle qui est le plus qualifiée ou qui a le plus de temps pour exercer adéquatement les fonctions liées à ce poste. C’est pourquoi la première étape consiste à identifier concrètement les rôles et responsabilités du poste de responsable de la protection des renseignements personnels au sein de votre entreprise. Il sera ensuite plus facile d’identifier la bonne personne pour exercer les fonctions.

Il est important de noter que la délégation des responsabilités liées à la fonction de responsable de la protection des renseignements personnels doit obligatoirement se faire par écrit afin d’être valide.

2 — Incidents de confidentialité

Êtes-vous en mesure de détecter les incidents de confidentialité ? Avez-vous un processus détaillé qui prévoit toutes les étapes à suivre pour gérer cet incident ? Est-ce que les rôles et responsabilités de votre personnel y sont clairement indiqués ? Est-ce qu’ils sont systématiquement documentés dans un registre ? Savez-vous à quel moment et à qui devez-vous divulguer l’incident ?

Si vous avez répondu par la négative à l’une de ces questions, vous avez encore du travail à faire. Nous vous invitons à consulter notre article du mois de juillet 2022 pour obtenir des idées d’actions concrètes à réaliser le plus rapidement possible pour vous conformer à vos obligations en matière d’incidents de confidentialité.

 

Un retard qui pourrait vous coûter cher

Nous constatons malheureusement qu’un réflexe assez répandu est de remettre à plus tard la mise en conformité aux nouvelles obligations en matière de protection des renseignements personnels. L’entrée en vigueur progressive de la Loi 25 donne également une fausse impression d’avoir encore beaucoup de temps devant nous pour s’y conformer. Certains en oublient même les obligations qui sont déjà en vigueur.

Les risques de repousser à plus tard le travail de mise en conformité ne peuvent pas être pris à la légère. Nous allons illustrer ces propos par un exemple qui, nous l’espérons, saura vous en convaincre.

Votre organisation est victime d’une cyberattaque. Vos fichiers sont encryptés. Par chance, vous êtes en mesure de les récupérer et reprendre vos opérations après plusieurs nuits blanches. Comme vous n’aviez pas en place les contrôles de cybersécurité vous permettant de savoir si les données ont été exfiltrées, vous supposez que non et la vie continue.

Quelques semaines plus tard, un de vos partenaires d’affaires reçoit une demande de rançon par une organisation criminelle. Les criminels prétendent avoir exfiltré des milliers de dossiers sensibles et veulent se faire payer pour ne pas les rendre disponibles publiquement. Pendant la négociation de la rançon, le partenaire demande des preuves aux criminels. Il veut voir un échantillonnage des données exfiltrées. Le partenaire, lors de l’investigation, constate rapidement que ces fichiers, qui contiennent des données sensibles, sont ceux qu’il utilise dans le cours des affaires avec votre organisation.

La relation d’affaires que vous aviez avec ce partenaire va probablement changer. Sa compagnie d’assurance va peut-être chercher à se faire dédommager par votre assurance. Le partenaire pourrait aussi notifier la police et la Commission d’accès à l’information et votre entreprise devient soudainement sous les projecteurs. Les manquements à vos obligations découlant de la Loi 25 pourraient soudainement vous coûter cher.

 

Le cas UBER chez nos voisins américains

Uber a admis avoir caché un vol de données concernant 57 millions de clients et de conducteurs en 2016. Ce vol de données concernait les noms, adresses courriel, numéros de téléphone et numéros de permis de conduire de 50 millions de clients et 7 millions de conducteurs Uber à travers le monde. Au lieu de rendre public ce vol de données et d’informer les personnes concernées au moment approprié, Uber a tenté de le dissimuler.

Son ancien chef de la sécurité, aujourd’hui inculpé pour avoir dissimulé ce vol massif de données, a payé aux pirates la somme de 100 000 $ via le programme de Bug Bounty d’Uber et leur a fait signer un accord de confidentialité pour qu’ils ne parlent pas de l’incident. Uber reconnaît aujourd’hui que ses équipes n’ont pas signalé le piratage de données de novembre 2016 aux entités réglementaires, comme elles auraient dû.

En septembre 2018, à la conclusion d’une enquête menée par 50 États du pays, Uber est condamné à payer une amende de 148 millions de dollars. Un montant qui n’avait encore jamais été infligé à une entreprise américaine pour un cas similaire. De plus, l’ancien chef de la sécurité d’Uber a été reconnu coupable d’obstruction à la justice. Cette condamnation a secoué le monde de la cybersécurité. Je l’utilise dans cet article pour illustrer qu’il ne faut pas prendre à la légère nos obligations légales.

Nous espérons que cet article aura su mettre en lumière l’importance de la proactivité en matière de protection des renseignements personnels et les risques réels pouvant découler d’une préparation inadéquate. D’ailleurs, il ne faut pas oublier que la majorité des nouvelles obligations prévues à la Loi 25 entrent en vigueur le 22 septembre prochain. Nous espérons que l’état de situation dans 6 mois sera plus positif !

 

*Cet article a été rédigé en collaboration avec Me Ariane Ohl-Berthiaume, Responsable des affaires juridiques chez Mondata.

 

dernières nouvelles
plus lus
Ford fait mieux qu'attendu au 1T, marqué par un repli dans les VÉ
19h55
LNG Energy signe un accord pour exploiter du pétrole au Venezuela
19h39
Northvolt: la technologie la plus performante et fiable, dit la Caisse de dépôt
19h28
Des divergences à la Banque du Canada sur la baisse du taux directeur
17h51
Il faut concentrer les investissements en R-D, dit le Conseil de l’innovation du Québec
17h57
1
Le gain en capital devient inéquitable
2
Les méchants riches
3
À surveiller: Canadien National, Tesla et BCE
4
Gains en capital: le chaos
5
Les équipes de TI ont moins la cote

À propos de ce blogue

Martin Berthiaume travaille dans le domaine de la cybersécurité depuis plus de 20 ans. Il a un parcours de carrière atypique, ce qui est souvent le cas en cybersécurité. Titulaire d’un baccalauréat en actuariat de l’Université Laval, Martin a fondé en 2004 le Groupe Enode, parmi les premières entreprises en cybersécurité au Canada, offrant une plateforme de gouvernance et de gestion des risques, qui a été acquise par TELUS en 2014.  En 2018, avec la vision et l’ambition de développer la meilleure solution contre les cyberattaques au monde, Martin a fondé Mondata, qui offre la première plateforme de Cybersécurité 3e génération. Son objectif ultime ? Démocratiser, vulgariser et rendre accessible la cybersécurité pour toutes les organisations, car peu importe la taille de votre entreprise, les risques se font de plus en plus présents et il est temps d’y remédier.

Martin Berthiaume
Sujets liés

Cybercriminalité , Cyberattaque , Cybersécurité

Blogues:
Articles les plus lus
1
Le gain en capital devient inéquitable
2
Les méchants riches
3
Gains en capital: le chaos
4
La liberté financière et le pouvoir de dire non
5
Employeurs, voici pourquoi vos employés vous fuient!

Sur le même sujet

Les équipes de TI ont moins la cote

07:18 | Emmanuel Martinez

Les équipes des TI sont moins engagées qu’avant dans les décisions de leurs entreprises, selon le rapport «Portrait TI».

La course aux ordinateurs quantiques: enjeux pour la cybersécurité et l'équilibre des pouvoirs

09/04/2024 | Martin Berthiaume

OPINION. La course à la domination quantique présente des parallèles avec la course à l’armement nucléaire.

OPINION Comment une Américaine s'est fait dépouiller en cryptomonnaie?
26/02/2024 | AFP
Les États-Unis affirment avoir déjoué une vaste cyberattaque parrainée par la Chine
01/02/2024 | AFP
StreamScan mise sur une innovation pour protéger les PME
05/01/2024 | Emmanuel Martinez

Blogues similaires

Tous égaux face aux IA ?

26/03/2024 | Olivier Laquinte

EXPERT INVITÉ. On entend le plus souvent les trop optimistes et les trop pessimistes.

Emplois coupés ou semaine de 4 jours: l'avenir du travail à l'ère de l'IA

08/04/2024 | Hugues Foltz

BLOGUE INVITÉ. Repenser l’essence du travail à l'aube de la quatrième révolution industrielle.

J'espère que vous ne le faites pas pour l'argent!

18/04/2024 | Dominic Gagnon

EXPERT INVITÉ. L’attrait de la richesse est une mauvaise raison pour se lancer en affaires.

NOS PUBLICATIONS
Les Affaires
Abonnez-vous au journal lesaffaires
Les Affaires

Votre meilleur allié pour faire grandir votre entreprise, votre carrière et votre portefeuille. Économisez 75% sur le prix en kiosque !

Abonnez-vous La dernière publication
Les affaires plus
Abonnez-vous au journal A+
Les affaires plus

L'intelligence financière. Économisez 19% sur le prix en kiosque.

Abonnez-vous
La dernière publication
NOS SERVICES
Inscrivez-vous À notre infolettre Tenez-vous informé des dernières nouvelles, des offres spéciales et des promotions. Inscrivez-vous
Facebook Twitter Linkedin
YouTube RSS
Annoncez chez nous Contactez-nous Nos événements
Éthique journalistique Politiques d'utilisation Politiques de confidentialité Plan du site Gestion du consentement

Groupe Context Inc.

Un site de Groupe Contex Inc.
355 rue Sainte-Catherine Ouest suite 501
Montréal, QC H3B 1A5
(514) 392-2009

Tous droits réservés. Groupe Contex Inc. © 2024