Au Québec comme ailleurs au Canada et dans le monde, l’environnement numérique et technologique dans lequel nous évoluons amène son lot d’enjeux. À commencer par la protection des renseignements personnels contre le cyberespionnage, la cyberattaque et le vol d’identité, une culture à implanter sans tarder si ce n’est déjà fait. C’est pourquoi des mesures concrètes ont été mises en place par les gouvernements provinciaux et fédéral pour assurer la vie privée de tous.
- Votre entreprise respecte-t-elle les différentes lois en matière de collecte, d’utilisation et de divulgation de renseignements personnels, comme la Loi 25?
- Votre entreprise utilise-t-elle une solution conçue spécifiquement pour sécuriser vos courriels (essentielle quand on sait que 95 % des employés affirment avoir déjà envoyé des documents confidentiels par courriel)?
À la lumière de ce constat, deux questions s’imposent :
Chez Secure Exchanges, assurer la sécurité des échanges de documents confidentiels par courriel est au cœur même de notre raison d’être. Dans cet article, je vous parle des meilleures pratiques à mettre en place en marge des nouvelles dispositions de la Loi 25 au Québec et des autres lois canadiennes en la matière.
Voici la liste des sujets qui seront abordés
- Protection des renseignements personnels : une priorité pour les entreprises
- Qu’est-ce que la Loi 25 et quelles en sont les règles actuelles?
- Non-respect de la Loi 25 : une hausse considérable des amendes
- Au Canada : projet de loi C-27 sur la protection de la vie privée
- Lois canadiennes et provinciales sur les renseignements personnels : restez à jour!
- Comment sécuriser efficacement vos échanges de documents confidentiels
Protection des renseignements personnels : une priorité pour les entreprises
Impact financier
Mis à part le fait de respecter la loi (j’y arrive dans quelques instants), plusieurs raisons font de la protection des renseignements personnels une priorité pour les entreprises, petites et grandes. Surtout quand on sait que plus du quart des entreprises canadiennes affirment avoir déjà été victimes d’une attaque informatique*. Une statistique qui ne fait qu’augmenter avec le temps.
Majoritairement motivées par des gains financiers, ces attaques sont le plus souvent axées vers le vol d’identité, et donc, l’acquisition de renseignements personnels. En plus de créer des ralentissements opérationnels pour les organisations, ce type d’attaques aura des impacts certains sur votre organisation.
À lui seul, le coût d’une brèche de sécurité informatique représente en moyenne 100 000 $ en frais pour une entreprise canadienne. À l’échelle mondiale, les experts estiment d’ailleurs que les coûts associés à la cybercriminalité atteindront quelque 10 500 milliards de dollars annuellement d’ici 2025*. Un argument considérable s’il en est un.
Impact réputationnel
Mais ce n’est pas tout. En plus de vous tenir le plus loin possible de cette dépense majeure, assurer la protection de vos échanges de documents confidentiels contribue activement à renforcer les liens de confiance que vous avez bâtis avec vos clients, partenaires et employés. Et comme vous le savez, le maintien de la relation avec les clients est primordial (il coûte jusqu’à 10 fois plus cher d’acquérir un nouveau client que d’en garder un existant).
Qu’est-ce que la Loi 25 et quelles en sont les règles actuelles?
Mais d’abord, voici un rappel. La Loi 25 est le résultat du projet de loi 64 présenté en 2020, soit la loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Un renforcement des règles déjà en vigueur s'adressant à toutes les entreprises privées et organisations publiques de la province, et géré par la Commission d’accès à l’information du Québec.
En septembre 2022 sont ainsi entrées en vigueur de toutes nouvelles dispositions. L’objectif? Accroître la protection des renseignements personnels en plus de rehausser la responsabilité et la transparence des organismes et entreprises à l’égard de la gestion des informations personnelles. Depuis, les entreprises et organisations doivent notamment :
- Désigner une personne responsable de la protection des renseignements personnels, et publier son titre et ses coordonnées sur le site Web de l’entreprise.
- Tenir un registre de tous les incidents de confidentialité et prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées. Il faut également aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice.
- Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques.
- Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée dans le cadre d'une transaction commerciale ou encore à des fins d'étude, de recherche ou de production de statistiques.
- En plus de ces obligations, les organismes publics devront aussi former un comité sur l’accès à l'information et la protection des renseignements personnels.
Loi 25 : une modernisation sur 3 ans L’ensemble des modifications apportées par la Loi 25 se font de manière progressive sur une période de 3 ans, soit jusqu’en 2024.
Prochaine date à retenir : le 22 septembre 2023 Obtenez une vision claire de l’échéancier grâce à la ligne du temps conçue par le gouvernement du Québec
Non-respect de la Loi 25 : une hausse considérable des amendes
Avant l’entrée en vigueur des nouvelles obligations législatives en septembre 2022, les pénalités liées au non-respect de la loi sur la protection des renseignements personnels étaient somme toute mineures (jusqu’à 100 000 $, ce qui demeure peu relativement au chiffre d’affaires d’une grande entreprise).
Or, les amendes ont été revues à la hausse et peuvent dorénavant atteindre 25 M$ ou 4 % du chiffre d’affaires mondial de l’entreprise. Des sanctions financières dissuasives qui incitent à redoubler d’efforts et d’intégrité en matière de consentement pour collecter, divulguer et utiliser des données personnelles.
Au Canada : projet de loi C-27 sur la protection de la vie privée
À l’échelle canadienne, un autre bouleversement législatif majeur est en cours. En effet, l’introduction du projet de loi C-27 (Loi sur la mise en œuvre de la Charte du numérique) aura des répercussions considérables pour les entreprises. Ce projet de loi (la deuxième tentative en ce sens après l’abandon du projet de loi C-11 de 2020) a pour principal objectif la création de trois nouvelles lois :
- Loi sur la protection de la vie privée des consommateurs
- Loi sur le Tribunal de la protection des renseignements personnels et des données
- Loi sur l’intelligence artificielle et les données
À ce sujet, je vous propose de consulter la Série Perspectives du cabinet d’avocats canadien McCarthy Tétrault, qui suit de près le projet de loi C-27.
Lois canadiennes et provinciales sur les renseignements personnels : restez à jour!
Trois provinces possèdent leur propre loi sur la protection des renseignements personnels dans le secteur privé : le Québec, l’Alberta et la Colombie-Britannique.
Quatre autres provinces ont quant à elles adopté des lois provinciales sur la protection des renseignements personnels sur la santé : Ontario, Nouveau-Brunswick, Nouvelle-Écosse et Terre-Neuve-et-Labrador.
Toutes ces lois provinciales sont considérées comme essentiellement similaires à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) régissant le secteur privé.
Attention! Une entreprise peut être assujettie à plus d’une loi sur la protection des renseignements personnels, notamment lorsque la communication se fait à l’extérieur de son territoire.
| Québec | Loi sur la protection des renseignements personnels dans le secteur privé, administrée par la Commission d’accès à l’information du Québec |
| Alberta | Personal Information Protection Act, administrée par le Commissariat à l’information et à la protection de la vie privée de l’Alberta |
| Colombie-Britannique | Personal Information Protection Act, administrée par le Commissariat à l’information et à la protection de la vie privée de la Colombie-Britannique |
| Ontario | Loi sur la protection des renseignements personnels sur la santé |
| Nouveau-Brunswick | Loi sur l’accès et la protection en matière de renseignements personnels sur la santé |
| Nouvelle-Écosse | Personal Health Information Act |
| Terre-Neuve-et-Labrador | Personal Health Information Act |
Apprenez-en plus sur les lois provinciales et leur application
Comment sécuriser efficacement vos échanges de documents confidentiels
À titre de comptable, de courtier d’assurance, de responsable des ressources humaines ou d’expert en droit (avocat, notaire) ou en fiscalité, l’échange de documents électroniques confidentiels contenant des données personnelles fait sans doute partie intégrante de votre quotidien et/ou de celui de votre équipe.
Un processus de transfert critique en matière de cybersécurité. Le courriel demeurant le principal canal de communication pour les entreprises et les particuliers, il est plus qu’essentiel de veiller à sécuriser les échanges qui y sont faits.
À la recherche d’une solution simple, accessible et éprouvée pour vous positionner comme partenaire de confiance en matière de sécurité des données personnelles échangées?
Secure Exchanges offre un système d’échange (d’envoi et de réception) d’informations confidentielles fonctionnant à même vos outils de messagerie les plus répandus. Nul besoin de migrer vers une nouvelle solution : nous renforçons la vôtre avec notre méthodologie de chiffrement de grade militaire.
Sécurisez efficacement vos communications corporatives et personnelles contre le cyberespionnage et les cyberattaques dès maintenant, et ce, en quelques minutes!
Essayez gratuitement notre solution pendant 30 jours ou prenez rendez-vous avec moi pour une démonstration.
Jonathan Tellier
VP – Stratégie & Commercialisation
* Cet article vise à présenter de l’information générale sur les différentes lois sur la protection des renseignements personnels au Canada. Cela ne constitue en aucun cas un avis juridique.
