Logo 20 minutes CPA

Précision : La loi 25 s'applique à toutes les entreprises québécoises qui recueillent, traitent ou communiquent des renseignements personnels. Qu'est-ce qu'un renseignement personnel: C'est un renseignement qui permet directement ou indirectement d'identifier une personne physique. Dans ce cas, seule une entreprise qui n'a pas d'employés et qui traite uniquement auprès d'entreprises pourrait ne pas avoir à se conformer.

Loi 25? Comment assurer la sécurité de vos données?

Avec Carl Robillard, CPA, M. Sc.

En matière de sécurité des données, les menaces se multiplient et les histoires d’horreurs font l’actualité: fuite de données, bris de confidentialité, systèmes de fichiers pris en otage par des cryptolockers… Les dirigeants ne savent plus où donner de la tête et doivent désormais composer avec la Loi 25 maintenant en vigueur. Si la pandémie a profondément changé le monde du travail, la Loi 25 elle, a un impact majeur sur la façon dont doivent être traités les renseignements personnels au sein des organisations, ou plus simplement, sur la gouvernance de vos données. 

Cette loi n’est pas entièrement nouvelle. Elle vient surtout moderniser et mettre à jour des dispositions législatives déjà en place au Québec. Elle vise à renforcer les droits des individus en matière de protection des renseignements personnels. Parmi les points clés, notons:

  • Introduction d’un droit à la portabilité des données qui permet aux personnes qui en font la demande, de récupérer leurs informations personnelles qui sont détenues par une organisation.
  • La loi instaure la notion du consentement éclairé pour la collecte, l'utilisation et la communication des renseignements personnels. Dans la pratique, les organisations doivent obtenir un consentement explicite des individus avant de traiter leurs données, sauf dans certaines circonstances spécifiques et clairement définies.
  • Les entreprises ont désormais l'obligation de mettre en place des mesures de sécurité appropriées pour protéger les données, et surtout, de notifier les atteintes à la sécurité dans les délais prescrits et de tenir un registre des activités.
  • Les organisations doivent établir et publier leurs politiques et leurs pratiques pour la gestion des renseignements personnels. Elles ont l’obligation de désigner une personne responsable de la protection des renseignements personnels au sein de l’organisation.

C’est la Commission d'accès à l'information du Québec qui a la charge de l’application de la nouvelle législation, laquelle lui confère par ailleurs des pouvoirs accrus pour surveiller et faire respecter la loi, incluant l’imposition d’amendes en cas de non-conformité. Il est clair maintenant que les organisations ne peuvent plus négliger de mettre en place les meilleures pratiques en matière de gouvernance des données et d’en assurer la sécurité.  


Par où commencer?

Pour la mise en conformité à la Loi 25, votre CPA fait partie des experts qui pourraient vous aiguiller vers les bonnes ressources. 

Parallèlement aux exigences de la loi, les notions de sécurité de l’information sont, elles aussi, de plus en plus importantes.  En effet, la continuité de vos affaires et votre réputation en dépendent. Si vous n’êtes pas déjà à l’aise avec les aspects essentiels pour préserver la confidentialité, l'intégrité, la conformité et la disponibilité des informations au sein de votre organisation, voici un bref survol de chacun des éléments. 

  • Sensibiliser et former le personnel: Tout commence par l’humain, car encore en 2023, celui-ci est à la source de la très grande majorité des brèches de sécurité. Il est primordial de sensibiliser tout votre personnel à l'importance de la sécurité des données en leur offrant des formations régulières sur les bonnes pratiques en matière de protection des données. Tous les employés doivent être capables d’identifier les menaces potentielles, telles que les tentatives d’hameçonnage.
  • Gouvernance des données: Établissez des politiques claires sur la gestion des données en définissant les responsabilités, les règles d'accès, de partage, de stockage et de destruction des informations. Assurez-vous que ces politiques soient mises à jour régulièrement et demeurent en adéquation avec les réglementations qui vous concernent.
  • Gestion des accès et des autorisations: Chaque utilisateur devrait avoir uniquement les accès et les autorisations nécessaires pour effectuer ses tâches. Mettez en place un système d'authentification solide avec une combinaison de mots de passe complexes, l'authentification à deux facteurs et la gestion des identités et des accès.
  • Chiffrer les données sensibles: Le chiffrement garantit que seules les personnes autorisées peuvent accéder aux données. Ces mécanismes d’encryptions permettent de rendre «invisibles» vos données sensibles à quiconque n’a pas la clé pour les déchiffrer.
  • La sécurité technique: Pare-feu, antivirus, solutions de détection d'intrusion et autres outils de sécurité permettent de protéger votre infrastructure informatique contre plusieurs types d’attaques. 
  • Effectuer des sauvegardes régulières: Mettez en place des politiques de sauvegarde des données et vérifiez régulièrement leurs restaurations. C’est votre dernier rempart contre les pertes de données définitives en cas de pépin ou de sinistre majeur. 


La gestion de la sécurité de vos données est un processus itératif qui évolue constamment. Effectuez régulièrement des évaluations de votre posture, telles que des audits internes ou des tests d'intrusion, pour identifier les vulnérabilités potentielles et surtout, corrigez les failles. 

La sécurité des données, c’est l’affaire de tous!