Protection des données : les entreprises devront en faire davantage


Édition du 12 Août 2017

Protection des données : les entreprises devront en faire davantage


Édition du 12 Août 2017

Par Denis Lalonde

[Photo : 123RF]

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) sera bientôt plus sévère pour les entreprises fédérales, prévient Antoine Guilmain, avocat chez Fasken Martineau DuMoulin. Ces dernières doivent se préparer à l'adoption de règlements qui sont présentement à l'étude par le gouvernement du Canada.

«Concrètement, les entreprises fédérales qui sont victimes d'un bris de sécurité pouvant causer un "risque réel de préjudice grave" ont une obligation de divulgation aux consommateurs, mais aussi aux organismes de réglementation», raconte Me Guilmain.

Deux autres obligations accompagnent les bris de sécurité, soit l'envoi d'un avis à toutes les personnes concernées dans un langage facile à comprendre, de même que la tenue d'un registre des atteintes à la protection des données.

«De plus, les entreprises doivent dire ce qu'elles feront pour atténuer les dommages. C'est un élément très important, car les clients ne sont pas tous des spécialistes en sécurité de l'information», déclare Me Guilmain.

Ce dernier ajoute que certains éléments de la loi entrés en vigueur en 2015 ne sont pas clairs. «Prenons l'exemple de la tenue d'un registre. Beaucoup de questions peuvent en découler. Quel doit être le format du document ? Qui doit gérer celui-ci ? Sans oublier la définition du risque réel de préjudice grave, qui peut varier d'un individu à un autre... L'objectif du règlement est d'avoir une même compréhension des termes utilisés dans le texte de loi», soutient Antoine Guilmain.

Il dit ignorer de combien de temps les organisations disposeront pour se conformer au nouveau règlement, dont l'adoption est prévue fin 2017 ou en 2018. Le document de travail du gouvernement fédéral parle quant à lui d'une période de transition allant de 6 à 18 mois.

Chose certaine, les organisations doivent se préparer, à son avis, à des changements qui seront plus que «cosmétiques». Elles devront modifier des processus, ainsi que renforcer les étapes de la prévention et de la gestion des problèmes. «Quand on parle de cybersécurité, il n'y a pas que l'informatique qui compte, croit-il. Il faut vraiment que les organisations se dotent d'une politique de sécurité globale. En cybersécurité, l'aspect humain est fondamental.»

Le besoin de sensibiliser le personnel

Une étude du fournisseur américain de services de télécommunications Verizon tend à lui donner raison. Le Data Breach Investigations Report soutient ainsi que, de tous les événements d'atteinte à la sécurité des données, 62 % impliquent un acte de piratage informatique. De ce nombre, 81 % sont le résultat de mots de passe dérobés aux employés ou ayant un faible niveau de sécurité. De plus, 14 % des brèches de sécurité sont attribuables à des erreurs du personnel. L'étude ajoute que 25 % des brèches ont impliqué la participation de membres du personnel. Plus de la moitié (51 %) des incidents sont liés à des organisations criminelles, alors que 18 % ont été «commandités» par un État. Cette année, le document, qui en est à sa 10e édition, fonde ses conclusions sur l'analyse de 40 000 incidents, dont 1 935 brèches de sécurité confirmées.

Les lois provinciales devront s'ajuster

Toutes les entreprises canadiennes ne seront pas touchées de la même manière par le règlement à venir. Seules les entreprises de juridiction fédérale devront s'y conformer, de même que les entreprises constituées dans les provinces qui appliquent la LPRPDE.

Au Québec, les entreprises de juridiction provinciale doivent se conformer à la Loi sur la protection des renseignements personnels dans le secteur privé, jugée «essentiellement similaire» à la LPRPDE. À la suite de l'adoption du règlement fédéral, les différentes lois provinciales en la matière devront aussi être modifiées, afin d'assurer un traitement équitable pour toutes les organisations au pays, estime Antoine Guilmain.

À la une

5 aspects à surveiller pour l'achat d'une première maison

Il y a 18 minutes | WelcomeSpaces.io

LE COURRIER DE SÉRAFIN. Cette décision va bien au-delà de simplement investir dans une propriété.

Louer le chalet pour joindre les deux bouts

07:30 | Les étudiants en sciences comptables de l'UQO

Voici tout ce qu'il faut savoir avant de se lancer!

Une erreur stupide et coûteuse

C’est à Bernard Baruch qu’on attribuerait le dicton «personne n’a jamais perdu d’argent en prenant des profits»