Précision : La loi 25 s'applique à toutes les entreprises québécoises qui recueillent, traitent ou communiquent des renseignements personnels. Qu'est-ce qu'un renseignement personnel: C'est un renseignement qui permet directement ou indirectement d'identifier une personne physique. Dans ce cas, seule une entreprise qui n'a pas d'employés et qui traite uniquement auprès d'entreprises pourrait ne pas avoir à se conformer.
Avec Carl Robillard, CPA, M. Sc.
En matière de sécurité des données, les menaces se multiplient et les histoires d’horreurs font l’actualité: fuite de données, bris de confidentialité, systèmes de fichiers pris en otage par des cryptolockers… Les dirigeants ne savent plus où donner de la tête et doivent désormais composer avec la Loi 25 maintenant en vigueur. Si la pandémie a profondément changé le monde du travail, la Loi 25 elle, a un impact majeur sur la façon dont doivent être traités les renseignements personnels au sein des organisations, ou plus simplement, sur la gouvernance de vos données.
Cette loi n’est pas entièrement nouvelle. Elle vient surtout moderniser et mettre à jour des dispositions législatives déjà en place au Québec. Elle vise à renforcer les droits des individus en matière de protection des renseignements personnels. Parmi les points clés, notons:
C’est la Commission d'accès à l'information du Québec qui a la charge de l’application de la nouvelle législation, laquelle lui confère par ailleurs des pouvoirs accrus pour surveiller et faire respecter la loi, incluant l’imposition d’amendes en cas de non-conformité. Il est clair maintenant que les organisations ne peuvent plus négliger de mettre en place les meilleures pratiques en matière de gouvernance des données et d’en assurer la sécurité.
Par où commencer?
Pour la mise en conformité à la Loi 25, votre CPA fait partie des experts qui pourraient vous aiguiller vers les bonnes ressources.
Parallèlement aux exigences de la loi, les notions de sécurité de l’information sont, elles aussi, de plus en plus importantes. En effet, la continuité de vos affaires et votre réputation en dépendent. Si vous n’êtes pas déjà à l’aise avec les aspects essentiels pour préserver la confidentialité, l'intégrité, la conformité et la disponibilité des informations au sein de votre organisation, voici un bref survol de chacun des éléments.
La gestion de la sécurité de vos données est un processus itératif qui évolue constamment. Effectuez régulièrement des évaluations de votre posture, telles que des audits internes ou des tests d'intrusion, pour identifier les vulnérabilités potentielles et surtout, corrigez les failles.
La sécurité des données, c’est l’affaire de tous!