Date de parution
Sécurité de l’information et la confidentialité des données
La confidentialité des données est au cœur des préoccupations des dirigeants d’entreprises depuis toujours. Elle l’est davantage depuis l’avènement de la Loi 25 qui est venu redéfinir et baliser les obligations des organisations ainsi que les exigences pour demeurer conforme. En vigueur depuis septembre 2022, nous vous rappelons que cette réforme a pour objectifs de moderniser les règles protégeant les renseignements personnels afin qu’elles soient mieux adaptées à la réalité numérique du Québec d’aujourd’hui.
Nous poursuivons notre série d’articles portant sur les 4 objectifs de la sécurité de l’information, en abordant de façon plus spécifique la confidentialité des données, vos obligations et les outils à votre disposition.
Qu’est-ce que la confidentialité des données et un renseignement personnel
Lorsqu’on fait référence à la confidentialité des données, il est question de la protection et de la préservation des informations sensibles et/ou personnelles. Elle implique la mise en place de mesures visant à empêcher l’accès non autorisé et la divulgation ou l’utilisation abusive de ces données. L’objectif est de maintenir la confiance dans leur utilisation et leur partage.
Dans le contexte de la Loi 25, un renseignement personnel est une information qui concerne une personne physique et qui permet, directement ou indirectement, son identification. Cela concerne par exemple, les renseignements d’identification (Nom, adresse, numéro de téléphone), financiers (revenu, numéro de carte de crédit) et plusieurs autres. Le site internet du Gouvernement du Québec brosse un tableau très complet du type de renseignements à ce sujet.
Loi 25 : L’humain avant la technologie
Même si vous mettez en place les meilleurs dispositifs de sécurité et de surveillance pour vos données d’entreprise, vos efforts seront vains si vous négligez de prendre en compte ce qui s’avère souvent le point faible de la majorité des organisations : le facteur humain. Cet aspect est d’ailleurs au cœur de la Loi 25.
La première étape lorsque vous réalisez votre mise en conformité à la loi 25 est de déterminer un responsable de la protection des données au sein de votre entreprise. Dans l’esprit de la loi, ce rôle devrait être assuré par la personne ayant la plus haute autorité dans l’entreprise, mais dans les faits, celle-ci n’a pas nécessairement toutes les compétences requises pour le faire.
Vous devez donc identifier clairement les rôles et les responsabilités pour choisir la personne adéquate à qui vous pourrez déléguer cette tâche si vous ne pouvez l’assurer vous-même. Sachez que la désignation de votre responsable de la protection des renseignements personnels doit être faite depuis septembre 2022 et que son nom et ses coordonnées doivent être publiés sur votre site internet.
Le deuxième aspect à couvrir concerne l’établissement de vos politiques et pratiques en matière de gouvernance des renseignements personnels. Elle vise à définir :
Ces éléments peuvent avoir plusieurs implications légales. N’hésitez pas à consulter un professionnel pour vous assister dans la rédaction et la validation de vos politiques avant de publier le tout sur votre site internet.
Une fois vos règles définies, vous avez l’obligation de former votre personnel afin qu’il puisse appliquer ces politiques correctement. La loi exige également que vous mettiez en place un programme de formation sur la protection des renseignements personnels; formation que vous devrez aussi donner à chaque nouvel employé.
Vos obligations en cas de compromission de données
La Loi 25 vous oblige à mettre en place et à maintenir un registre des incidents de confidentialité qui pourraient survenir. Vous devez aussi y définir votre processus de notifications en lien avec l’incident, car vous avez l’obligation d’aviser toutes les personnes potentiellement touchées ainsi que la Commission d’accès à l’information. Cette dernière répertoriera l’évènement et enquêtera sur vos pratiques afin de déterminer si vous étiez en position de non-conformité au moment de l’incident.
Sachez qu’une organisation qui omet de signaler un incident de confidentialité peut recevoir des sanctions pénales pouvant atteindre 25 millions de dollars et/ou des sanctions administratives jusqu’à concurrence de 10 millions de dollars.
Et la technologie?
Jusqu’à maintenant nous avons surtout parlé d’obligations, de politiques et de processus. Pourtant la technologie demeure le nerf de la guerre, car c’est elle vous permettra de vous conformer à chacune des exigences. Toutes vos données d’entreprise ont leurs importances et doivent être protégées adéquatement; négliger cet aspect peut avoir des impacts catastrophiques comme nous venons de le voir.
Votre première tâche sera de faire l’inventaire des renseignements personnels que vous détenez :
- Où sont ces renseignements?
- Comment sont contrôlés les accès?
- Qui a accès à ces données, dans quel contexte et dans quel but?
Vous devez colliger ces informations et c’est à votre responsable de la protection des renseignements personnels de s’assurer que ce registre est à jour et que vos politiques en matière de gouvernance des données soient appliquées à la lettre.
Pour vous amener plus loin dans vos réflexions, nous vous recommandons ce texte portant sur la protection de l’information et la gouvernance des données. Vous verrez que vos données n’ont pas toutes le même niveau de criticité et que vous devez bien les connaître pour appliquer les niveaux de protection adéquats.
Et la suite?
Tout ce que nous avons vu jusqu’à maintenant concerne ce que vous aviez à mettre en place pour septembre 2022. Le travail n’est pas terminé pour autant, car pour septembre 2023 vous devrez avoir mis en place :
- Les politiques pour la conservation, la destruction et l’anonymisation des renseignements personnels;
- Le processus de traitement des plaintes;
- Le processus d’évaluation des facteurs relatifs à la vie privée (EFVP) pour le traitement des renseignements personnels;
- Le processus de consentement pour la cueillette, la détention, l’utilisation et la communication des renseignements personnels;
- Le processus de désindexation des données.
Sans oublier l’implantation de vos mesures facilitant la portabilité des renseignements personnels pour septembre 2024. Il reste donc encore beaucoup à faire.
Ce que vous devez retenir
La traçabilité des données sera le dernier article de notre série. Malgré son air un peu ésotérique, nous verrons que c’est un concept très terre à terre et qui apporte énormément de valeur à votre gouvernance entourant la sécurité de l’information.
Restez au courant