Le 22 septembre dernier, la Commission d’accès à l’information du Québec rappelait aux entreprises, aux organismes publics et aux citoyens qu’une réforme entrait en application le jour même afin de moderniser la Loi sur la protection des renseignements personnels dans le secteur privé. Les modifications apportées par la loi 25 entrent graduellement en vigueur sur une période de 3 ans, et VARS Corporation désire aider les PME à entreprendre les démarches nécessaires pour s’y conformer et assurer une protection adéquate des données.
La gestion des renseignements personnels représente un défi pour de nombreuses PME au Québec qui disposent d’une faible maturité en matière de sécurité informatique. Pour permettre la meilleure protection possible des renseignements personnels, de leur collecte à leur destruction, il importe de savoir bien identifier ces derniers et de comprendre les enjeux liés à leur protection.
Identification des renseignements personnels
Avant d’entreprendre des démarches liées à la protection des renseignements personnels, une PME doit savoir identifier les informations qu’elle détient. « Il faut connaître ce que nous avons pour pouvoir savoir ce qu’il faut protéger. La documentation des renseignements personnels est essentielle », souligne Alexandre Blanc, conseiller stratégique et sécurité chez VARS Corporation. Il est important de comprendre que presque toutes les entreprises collectent des renseignements personnels, ne serait-ce que ceux qui concernent leurs employés.
Une fois ceux-ci identifiés, il faut savoir qui s’occupe de leur accès et entre quelles mains ils circulent. « Les PME doivent déterminer à quoi servent les renseignements personnels qu’elles recueillent et réaliser une cartographie de leurs activités de traitement qui détaille leur collecte, leur utilisation, leur communication, leur conservation et leur destruction, et ce, tout au long de leur cycle de vie », précise Sébastien Meunier, vice-président de pratique en gouvernance de l’information chez VARS Corporation.
Les conséquences liées à une négligence dans la protection des renseignements personnels sont particulièrement importantes et peuvent se révéler désastreuses. La mise en place de mesures constitue, entre autres, une preuve que l’entreprise fait des démarches en sécurité informatique.
Enjeux liés à la protection des données
« Le but ultime de la loi 25 est la protection des personnes. Lorsqu’un citoyen se fait voler son identité, il n’a pas de recours », raconte M. Blanc. « La réforme a aussi pour objectif de forcer les entreprises à développer une saine gouvernance de leurs informations afin de créer un écosystème de confiance entre les PME et les individus », ajoute M. Meunier. La loi 25 vise la libre circulation des renseignements personnels, le tout dans un respect de règles très strictes et de paramètres bien définis. Elle présente également l’avantage de favoriser les échanges commerciaux avec l’Europe, qui est soumise à un règlement équivalent (le RGPD).
Les PME ont pour responsabilité d’entreprendre les changements nécessaires en ce qui concerne leur cybersécurité. « Un statu quo n’est pas acceptable », affirme Alexandre Blanc. Une stratégie fonctionnelle doit rapidement être mise en place. « Les entreprises doivent comprendre et accepter que d’investir dans leur sécurité informatique est essentiel, entre autres, à leur survie, à la protection de leur image et au droit fondamental à la vie privée de leurs clients », conclut Sébastien Meunier. Plusieurs services sont mis à la disposition des PME du Québec pour tout ce qui touche à la gouvernance et aux procédures permettant de veiller à la sécurité des informations.
Vous souhaitez profiter d’un accompagnement personnalisé et d’une solution clés en main pour vous assurer que votre entreprise respecte les nouvelles obligations en matière de protection des renseignements personnels? Visitez le site Web de VARS Corporation, une division de Raymond Chabot Grant Thornton, pour en apprendre plus sur ses services, ou communiquez avec son équipe pour discuter de vos besoins!