105 - Hero Simple Text
TI

Les défis et meilleures pratiques en cybersécurité

Restez proactif en matière de sécurité informatique.

De nouvelles mises à jour sont apportées à la loi 25 du Québec, qui vise à créer un environnement de respect et de sécurité lorsqu'il est question de collecte de renseignements personnels dans le secteur privé. Nous avons déjà parlé du  projet de loi 64 (l'ancien nom de la politique) et  des premiers changements apportés par la loi 25 l'année dernière. Le plus important était la nomination d'un responsable de la protection de la vie privée et l'enregistrement de tout incident lié à la vie privée.

 

Désormais, en vertu des nouvelles règles, les entreprises devront prendre des mesures supplémentaires, sous peine de devoir payer de lourdes amendes et pénalités en cas de non-respect. Pour offrir des conseils supplémentaires pour naviguer dans les nouvelles règles, XMA a rassemblé ce bref aperçu de la loi 25 et des nouvelles politiques actuellement en place.

 
Un rappel sur la loi 25

Toutes les entreprises du Québec sont soumises à des obligations légales en vertu de la Loi 25. Initialement sous le nom de Projet de loi 64 en septembre 2021, les politiques mises à jour portent désormais le titre de Loi 25. Cette loi vise à apporter une tranquillité d'esprit aux citoyens, car leurs activités privées les informations doivent être traitées avec précaution.

 

 

En 2022, la loi 25 a déployé son premier ensemble de règles, qui comprenaient l'obligation de fournir un avis verbal ou écrit à la Commission d'accès à l'information du Québec (CAI) si des incidents sont soupçonnés de mettre des personnes en danger. Ils sont également légalement tenus de tenir un registre des incidents de confidentialité pendant au moins cinq ans après un incident.

 

Les réglementations antérieures comprennent également :

  • L'obligation pour les organisations de répondre aux demandes d'accès aux informations personnelles. Tout refus doit être motivé ainsi que l'information fournie au demandeur sur les voies d'appel qui s'offrent à lui par l'intermédiaire de la Commission d'accès à l'information du Québec.

  • Toutes les personnes doivent être informées par l'organisation de la collecte de renseignements personnels, de la raison de la collecte, de la manière dont les informations seront utilisées et de qui y aura accès.

  • Toutes les organisations sont tenues de mettre en place des mesures de sécurité appropriées qui protégeront toutes les informations personnelles recueillies.

  • Toutes les organisations sont tenues de veiller à ce que les personnes avec lesquelles elles travaillent à l’extérieur de la province soient tout aussi prudentes dans la manière dont les informations privées sont gérées.

 

Depuis septembre 2023, de nouvelles politiques ont été introduites dans le cadre de la loi 25. Celles-ci visent à protéger davantage les informations privées et à renforcer la loi si les entreprises ne répondent pas aux critères.

 

Nouvelles politiques en vertu de la loi 25 à compter de septembre 2023

Les récentes modifications sont entrées en vigueur en septembre 2023. Ces nouvelles règles mettent en place plusieurs nouvelles mesures que les entreprises doivent prendre, ainsi que des informations plus concrètes sur les sanctions en cas de non-respect de la loi. Les modifications apportées à la loi comprennent :

Sanctions administratives et amendes en cas de non-conformité

Les sanctions peuvent désormais être pleinement appliquées par la Commission d'accès à l'information (CAI), qui comprend le droit d'infliger une amende allant jusqu'à 50 000 $ aux personnes physiques et à d'autres personnes morales 10 000 000 $ ou 2 % de leur chiffre d'affaires global de l'exercice précédent, selon lequel est le plus grand. Ces amendes sont imposées si l'organisation ne respecte pas ses obligations, conformément au RGPD de l'Union européenne.

 

D'autres amendes peuvent être imposées si une entreprise ne respecte pas la loi 25, par exemple si :

  • Il y a eu une utilisation illégale d’informations personnelles.

  • Les incidents de confidentialité ne sont pas correctement signalés.

  • Tout cela fait obstacle aux enquêtes et inspections de la CAI.

 

Dans ces cas, les amendes peuvent varier de 5 000 à 100 000 dollars pour les particuliers et de 15 000 à 25 000 000 dollars ou 4 % du chiffre d'affaires mondial pour les autres personnes morales, selon le montant le plus élevé.

 

Transparence supplémentaire : informations claires et simples

En vertu des nouvelles règles, toute personne collectant des informations personnelles auprès d’individus doit les informer en utilisant un langage clair et simple. Cela vise à maintenir la transparence de la collecte d’informations et à renforcer davantage la confidentialité.

 

Selon la nouvelle règle, ceux qui collectent des informations doivent leur dire : 

  • Pourquoi les informations sont collectées.

  • Comment les informations sont collectées.

  • Les droits d'accès et de rectification prévus par la loi.

  • Que l'individu puisse retirer son consentement à la communication ou à l'utilisation de ses informations.

 

Anonymisation et destruction des données 

Toute information personnelle recueillie doit être détruite ou anonymisée une fois la finalité de sa collecte atteinte. Cela signifie que les entreprises et les particuliers devront évaluer si les informations sont conservées pour une raison ou non, ou si le moment est venu de supprimer en toute sécurité les fichiers et informations obsolètes.

 

Répondez aux nouvelles normes de conformité et maintenez une solide réputation en travaillant avec XMA

Ci-dessus ne sont que quelques exemples des dernières modifications apportées à la loi 25. Il existe d'autres règles, notamment le consentement aux informations sur les mineurs, les évaluations des impacts sur la vie privée et les bannières de cookies.

 

Pour vous assurer que votre équipe respecte les normes de conformité et fait tout ce qui est en son pouvoir pour assurer la sécurité des données, envisagez de consulter des experts en technologie, tels que ceux de XMA.

 

Notre équipe est disponible pour répondre à toutes vos questions concernant la loi 25 et les ressources de sécurité mises à votre disposition. Contactez-nous pour en savoir plus.

Retour au blogue Retour au blogue
118 - Featured Blog