Loi 25 : votre entreprise est-elle prête ?

Publié le 23/01/2023 à 00:01

Par NOVIPRO

Déjà partiellement en vigueur, la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) devra être mise en application dans son entièreté au Québec au cours des deux prochaines années. Hicham Hamid, expert en cybersécurité chez IBM, explique les nouvelles obligations à respecter et propose une marche à suivre.

La Loi 25, qui sera appliquée en trois phases, est en vigueur depuis septembre 2022. Il s’agit d’une belle occasion de faire preuve d’exemplarité en matière de sécurité numérique, estime Hicham Hamid. « Chez IBM, nous recommandons aux entreprises non seulement de se conformer à la loi, mais également d’en faire davantage. » C’est le moment idéal de renforcer la sécurité des données au sein de votre entreprise. « L’enjeu est important pour toutes les entreprises. Voyez-le comme une opportunité, et n’hésitez pas à dépasser les exigences ou même à anticiper les évolutions du cadre légal. »

Les trois phases décortiquées

Pour être conformes aux exigences de la première phase, les entreprises doivent entre autres nommer un responsable de la protection des renseignements personnels. Elles doivent dès maintenant rapporter au gouvernement tout incident lié aux données sensibles des citoyens. « Au cours de cette première phase, précise Hicham Hamid, un inspecteur peut vérifier que l’entreprise a bel et bien mis en place des politiques et des programmes pour être conforme à la loi. » Il n’y a cependant pas de sanction prévue.

La deuxième phase, qui entrera en vigueur au cours de l’année 2023, exigera entre autres que les sociétés présentent un cadre pour la rétention des données. Elles devront prévoir un processus de traitement des plaintes, par exemple dans les cas où des citoyens voudraient avoir accès à leurs données sensibles. Il sera alors « obligatoire d’avoir mis en place un mécanisme de consentement à l’utilisation des données ainsi qu’un processus de destruction et d’anonymisation des informations personnelles au besoin ».

En 2024, la loi exigera enfin des entreprises qu’elles aient mis en place tous les mécanismes nécessaires pour que s’opère le « droit à l’oubli ». À la demande des citoyens, toutes les données personnelles doivent pouvoir être détruites ou encore être transférées vers un autre fournisseur de services, par exemple.

Se conformer, étape par étape

Les entreprises doivent se poser dès maintenant plusieurs questions et, suivant cela, engager des actions en conséquence. À titre d’illustration, l’entreprise dispose-t-elle d’un inventaire des données personnelles ? Quelles applications les utilisent ? Certaines données sont-elles transmises à des tiers ? Qui y a accès ? L’inventaire est-il structuré de manière à satisfaire les exigences de la loi ? Est-il sécuritaire ?

« Les réponses à ces questions seront différentes selon les entreprises, en fonction de leur degré de complexité », explique Hicham Hamid. Chaque entreprise devra créer un cadre de travail qui lui est spécifique et préconiser une approche continue et intelligente. Cela implique de faire l’inventaire des applications et des données non structurées, de découvrir les données, de les analyser, de déterminer lesquelles représentent un risque de conformité ou de sécurité et quel mécanisme mettre en place afin de recueillir le consentement des clients. Enfin, il faudra déterminer comment l’entreprise se rapportera à la GRC ou au gouvernement en cas d’anomalies détectées.

Une nouvelle plateforme pour faciliter le processus

Une fois les données repérées, il faut implémenter des mesures pour en réduire le champ de circulation et en garder un meilleur contrôle. Une manière de faire, ajoute Hicham Hamid, est la segmentation en unités (tokenisation), c’est-à-dire l’utilisation des tokens (des jetons ou, autrement dit, un actif numérique), plutôt que des informations personnelles identifiables. « Il faudra implémenter aussi un monitorage en continu de toutes les données stockées. Il émettra des alertes en cas de données non conformes. Quand cela survient, des actions doivent être prises. »

Bonne nouvelle : IBM a créé une plateforme, nommée IBM Security Guardium, pour faciliter ce processus et ces opérations. Voilà qui peut donner un sérieux coup de main aux entreprises qui partent de loin en matière de gouvernance des données personnelles. Et elles sont nombreuses !

À la une

Monique Leroux: notre productivité reflète notre manque d’ambition

Édition du 10 Avril 2024 | François Normand

TÊTE-À-TÊTE. Entrevue avec Monique Leroux, ex-patronne de Desjardins et ex-présidente du CA d'Investissement Québec.

Dette et déficit du fédéral: on respire par le nez!

19/04/2024 | François Normand

ANALYSE. Malgré des chiffres relativement élevés, le Canada affiche le meilleur bilan financier des pays du G7.

Budget fédéral 2024: «c'est peut-être un mal pour un bien»

19/04/2024 | Philippe Leblanc

EXPERT INVITÉ. Les nouvelles règles ne changent pas selon moi l'attrait des actions à long terme.