MAINTENANT !
Connais-tu la nouvelle Loi 25, ou peut-être le projet de Loi 64 ?
Le projet de loi a été adopté le 21 septembre 2021 à l’Assemblée nationale du Québec, soit quatorze mois après sa présentation initiale. Cela signifie que le projet de loi a été officiellement adopté et qu’il est prêt à devenir une loi. Un plan d’action a alors été suggéré et les actions à compléter seront jusqu’en septembre 2024. Il y aura 3 phases : la première entrera en vigueur le 22 septembre 2022, la deuxième le 22 septembre 2023, puis la dernière le 22 septembre 2024. Cette loi a pour objectif d’offrir un meilleur contrôle aux citoyens sur leurs renseignements personnels. Alors, c’est maintenant effectif pour toutes les entreprises.
Qu’est-ce que le projet de Loi 64 ?
Le projet de Loi 64, mieux connue sous le nom de Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, te suggère fortement d’établir des exigences plus strictes en matière de protection des renseignements personnels, y compris des exigences accrues en matière de protection, de transparence et de consentement pour les entreprises québécoises.
C’est-à-dire que peu importe quelle compagnie qui a un ordinateur dans son bureau, doit dorénavant protéger toutes leurs informations, sous peine d’amende salée si jamais un vol ou autre fraude est commis. En fait, le Québec a presque copié nos voisins les Européens. Depuis plusieurs années déjà, l’Union européenne a un règlement général sur la protection des données (RGPD). Donc plusieurs modifications proposées dans le projet de Loi 64 ont été influencées par cette dite loi.
Toutes les petites entreprises québécoises sont malheureusement plus propices de mordre à l’hameçon, car généralement ce sont eux qui n’ont pas de « budget » pour la sécurité informatique… Ils n’auront pas le choix de comprendre les exigences instaurées par le projet de Loi 64 et se plier aux règles de sécurité informatique. Peu importe les données auquel ton ordinateur a accès, les pirates eux ce qu’ils veulent c’est y avoir accès, en espérant que nous allons mordre à l’hameçon ! Eux, ce qu’ils veulent, c’est d’arrêter ton système informatique et avoir accès à tout cela, même tes coordonnées bancaires !
Toutes les entreprises, en 2022, sont ciblées par des cyberattaques. Chaque année, nous avons le devoir de nous sentir concernés. Quand on parle antipourriel, antivirus, pare-feu, ce sont des solutions pour nous protéger qu’on doit intégrer dans nos systèmes. Vous pouvez également appliquer des restrictions pour chaque individu sur les données dans les systèmes pour limiter l’accès. Alors, plusieurs options s’offrent à vous. Dorénavant, nous ne pouvons plus dire qu’on ne le savait pas…
Voici les phrases qui sont suggérées par l’Assemblée national du Québec afin de débuter le plan d’action :
Les 3 phases seront divisées ainsi :
Plan d’action suggéré pour septembre 2022 :
1. Désigner un responsable de la protection des renseignements personnels.
2. Créer ou mettre à jour les politiques et les pratiques encadrant la gouvernance des renseignements personnels.
3. Mettre en place un registre des incidents de confidentialité et un processus de notification.
4. Avoir un inventaire des renseignements personnels de l’entreprise.
5. Mettre en place un programme de formation sur la protection des renseignements personnels.
Plan d’action suggéré pour septembre 2023 :
6. Mettre à jour les politiques et les pratiques encadrant la conservation, la destruction et l’anonymisation des renseignements personnels.
7. Mettre en place un processus de traitement des plaintes relatives à la protection des renseignements personnels.
8. Publier les éléments clés des règles de gouvernance encadrant la protection des renseignements personnels sur le site Web de l’entreprise.
9. Mettre en place une politique et un processus d’évaluation des facteurs relatifs à la vie privée (EFVP) pour le traitement des renseignements personnels.
10. Mettre en place un processus de cueillette du consentement pour recueillir, détenir, utiliser ou communiquer des renseignements personnels.
11. Mettre en place un processus de désindexation.
Plan d’action suggéré pour septembre 2024 :
12. Implanter des mesures facilitant le droit à la portabilité des données.
Donc, une des premières actions importantes à faire est de désigner un responsable de la protection des renseignements personnels qui sera chargé de la conformité. Et l’employeur se devra d’informer la Commission d’accès à l’information en cas de violation des données.
D’ici 2024, la Commission d’accès à l’information (CAI) aura le pouvoir d’imposer des sanctions qui pourront aller de 50 000 $ CA pour les particuliers et de 10 000 000 $ CA pour les entreprises, ou de 2 % du chiffre d’affaires à l’échelle mondiale pour l’année précédente, le montant le plus élevé étant retenu.
Selon la nature du délit, la CAI aura le pouvoir d’engager des poursuites pénales avec une amende maximale de 10 000 $ CA pour les personnes physiques et de 25 000 000 $ CA ou 4 % du chiffre d’affaires à l’échelle mondiale pour les sociétés. En cas de récidive, les sanctions seront doublées.
Il sera important de savoir que, dès septembre 2023, il y aura modifications des paramètres de consentement. C’est-à-dire que le consentement est toujours exigé pour recueillir, détenir, utiliser ou communiquer des renseignements personnels. Il doit être manifeste, libre, éclairé et être donné à des fins spécifiques. L’exigence du consentement sera dorénavant renforcé puisqu’il devra être demandé pour chacune de ses fins, en termes simples et clairs, et de façon distincte de toute autre information communiquée à la personne concernée. Donc, lorsqu’une entreprise désire utiliser ou communiquer un renseignement personnel sensible, le consentement doit être manifesté de façon claire et précise. Cela implique que la personne pose un geste pour confirmer son consentement, par exemple, en cochant une case. Un renseignement personnel est qualifié de sensible lorsqu’un haut degré d’attente raisonnable en matière de vie privée lui est lié, tels un numéro d’assurance social ou des informations médicales.
En espérant que ce projet de Loi 64 ou Loi 25 apporte graduellement du changement positif à l’entreprise, car il faut être conscient de l’amplitude que cette loi apportera dans toutes les entreprises du Québec. Le bon moment pour investir dans la cybersécurité est maintenant !
Mais quel terme utiliser ? Il y a clairement une confusion entre le terme Loi 25 ou le projet de Loi 64. Mais quelle est la différence ? Les lois québécoises ne se font pas assigner de numéros lorsqu’elles sont adoptées. Cependant, elles ont un numéro de chapitre qui correspond à leur ordre d’adoption au cours de l’année courante. Les projets de loi eux, prennent le numéro correspondant à leur ordre de présentation lors d’une session parlementaire. Donc, le projet de Loi 64 a été le 25e projet adopté par l’assemblé générale au cours de l’année 2021. C’est de là que provient la référence au chiffre 25 dans le recueil officiel des Lois du Québec 2021. Et savez-vous quoi ! Afin de nous mélanger encore plus, il nous réfère au chapitre 25. Mais il est fort probable que ce numéro désigne une loi différente en 2022, car une nouvelle loi vient d’être adoptée par l’Assemblée nationale !
C’est pourquoi il est, selon moi, préférable d’utiliser le terme « Loi 64 » en référence au numéro du projet de loi qui a précédé l’adoption de la loi. Pour faire plus simple !
PointPub Media peut vous aider dans ces importantes étapes. Afin d’avoir un département de sécurité hors pair, nous pouvons débuter par céduler une réunion avec l’équipe. Il faut établir un plan d’action avant que la catastrophe arrive !
