Chantal Bernier, avocate-conseil et responsable du groupe de pratique canadien Cybersécurité et protection de la vie privée de la firme Dentons (Photo: courtoisie)
CYBERSÉCURITÉ DES PME. Les entreprises qui font des affaires au Québec auront d’un à trois ans pour se conformer aux différentes dispositions de la nouvelle Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 64), votée le 22 septembre dernier. La marche sera haute pour les PME, préviennent des experts, surtout que le gouvernement qualifie les dispositions visant à préserver la vie privée comme étant « les plus ambitieuses » en Amérique du Nord.
« Selon mon expérience, peu de PME ont déjà mis en place un plan de réponse aux incidents de confidentialité, qui permet de remplir leur obligation de signaler un incident aux autorités et aux personnes concernées », note Chantal Bernier, avocate-conseil et responsable du groupe de pratique canadien Cybersécurité et protection de la vie privée de la firme Dentons. Elle identifie l’obligation de divulguer un incident et d’en mitiger les conséquences comme une des mesures phares de la Loi 64.
Ce n’est toutefois que l’une des nombreuses actions prescrites par la nouvelle législation. Selon la ligne du temps gouvernementale, les entreprises ont jusqu’au 22 septembre 2022 pour nommer un responsable de la protection des renseignements personnels et se doter d’un plan de réponse à incident de confidentialité. Elles ont deux ans pour adopter et diffuser une politique de gouvernance des données, et trois pour honorer le droit à la portabilité des données – ce qui signifie que les clients pourront demander à récupérer leurs informations personnelles. Et ce ne sont que là que les mesures phares.
« La marche est haute pour les PME », concède Mélanie Gagnon, présidente et fondatrice de MGSI Québec, une firme qui aide des entreprises à se conformer aux lois canadiennes et européennes en matière de protection de renseignements personnels. Il faut savoir que la loi 64 leur fait peu de concessions. Un des rares « accommodements » relevés par Chantal Bernier est l’engagement de la Commission d’accès à l’information à « tenir compte de la capacité de payer de l’entreprise lorsqu’elle émet des sanctions administratives et pécuniaires ».
Mélanie Gagnon en mentionne un second : les entreprises pourront déléguer la responsabilité de la protection des données à un sous-traitant. « Nommer un responsable externe peut conférer à celui-ci une plus grande indépendance dans l’exercice de ses fonctions », souligne celle qui porte aussi le chapeau de déléguée à la protection des données pour plusieurs entreprises présentes en Europe.
Le point de départ: mesurer les écarts
La démarche nécessaire pour se conformer à la Loi 64 n’est pas un projet avec une date de début et de fin. « Il faut plutôt le voir comme un processus en continu, explique la présidente de MGSI. On commence par mesurer les écarts de conformité, puis on identifie les zones prioritaires. »
C’est la voie qu’a suivie l’un de ses clients, le fabricant de systèmes de blocage de roues GMR Safety, qui vend ses produits dans plusieurs pays européens. Lorsque la PME de Terrebonne a voulu se conformer au Règlement général sur des données personnelles adopté en 2016 par l’Union européenne, elle a commencé par une mise à niveau de ses pratiques de marketing numérique et par la sécurisation de ses données sur supports numériques et physiques.
« Nous nous sommes engagés dans ce processus avec l’aide de partenaires externes – MGSI, Investissement Québec, une firme d’infonuagique et une firme de cybersécurité – et en sachant que la loi québécoise s’en venait, ce qui nous permettait de faire une pierre deux coups », explique Annie Gravel, vice-présidente de la culture, de la transformation numérique et des aspects légaux de GMR Safety.
L’entreprise compte maintenant s’attaquer au chantier de la gouvernance de données. « Comment gère-t-on un CV que l’on reçoit ? Qui peut y avoir accès ? À quel moment doit-on le détruire ? », illustre Annie Gravel. GMR Safety veut également se doter de politiques et de procédures claires entourant la manipulation des données critiques.
Changement de mentalité
La nouvelle obligation de divulguer un incident de confidentialité demandera un changement de mentalité chez les dirigeants et les employés. « Le réflexe de divulguer une brèche informatique ne vient pas naturellement, constate Mélanie Gagnon. Un employé qui perd une clé USB contenant des données sensibles devra avoir la transparence – et le courage, disons-le – d’informer l’entreprise de cet incident. »
Pour éviter d’en arriver là, Chantal Bernier suggère aux dirigeants de PME de rehausser sans attendre leur degré de cybersécurité. « Une brèche risque de porter préjudice à autrui, et c’est aussi ce attire l’attention des régulateurs », insiste-t-elle.
Le choix de la personne responsable de la protection des renseignements personnels est également crucial. « Selon moi, ce serait une erreur de nommer un responsable qui a peu ou pas de pouvoir dans l’organisation, estime Annie Gravel. Cette personne devra intervenir dans plusieurs départements et devra mobiliser beaucoup de monde, car il s’agit d’un projet multidisciplinaire qui touche aussi bien les employés que les partenaires et la clientèle externe. »