«On s’est rendu compte que nos clientèles respectives étaient vraiment laissées à elles-mêmes, a expliqué Audrey Shink, présidente de la firme de cybersécurité Blue Eden. (Photo: courtoisie)
Une trousse gratuite a été lancée jeudi pour aider les entreprises et les OSBL à se conformer à la prochaine étape de la Loi 25 sur la gestion des renseignements personnels.
Cette initiative appelée MESPROCEDURES.CA a été promulguée par trois femmes qui connaissent bien la cybersécurité. Elle présente diverses procédures pour se conformer aux nouvelles règles qui entreront en vigueur le 22 septembre. En voici quelques-unes :
– Conserver, détruire et rendre anonyme des données personnelles;
– Répondre aux demandes d’accès aux renseignements personnels et traiter des plaintes;
– Répondre aux demandes de désindexation et de suppression des renseignements personnels;
– Gérer des incidents de sécurité et violations des renseignements personnels.
«On s’est rendu compte que nos clientèles respectives étaient vraiment laissées à elles-mêmes, a expliqué Audrey Shink, présidente de la firme de cybersécurité Blue Eden. C’est une grosse source de stress.» La patronne a donc collaboré avec Emeline Manson, qui se spécialise dans la prévention en matière de fraude et de cybersécurité avec son entreprise CY-clic, ainsi qu’avec l’avocate Stéphanie David du cabinet Dubé Latreille Avocats.
«Les documents présentés sur le site web permettent de partir sur une bonne base afin de se conformer plus rapidement à loi 25, dit-elle. Chaque organisation doit ensuite s’adapter en fonction de sa réalité en consultant des experts.»
Les enjeux varient notamment selon la taille des organisations. Les plus grandes ont plus de moyens, mais détiennent parfois une foule de renseignements personnels qui doivent être bien gérés, tandis qu’une petite PME a souvent moins d’actions à poser.
Cette trousse vise à répondre aux nouvelles normes qui entreront en vigueur le 22 septembre prochain. Il y a un an, une série de règles avaient été établies dont celles-ci :
– Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’entreprise;
– En cas d’incident de confidentialité, tenir un registre de tous les incidents, aviser les autorités et les personnes visées, ainsi que prendre rapidement des mesures.
Aucune pénalité n’était imposée en cas de non-respect de ces règles, ce qui ne sera plus le cas après le 22 septembre. Des amendes pourront être données, et même des poursuites. Elles peuvent aller jusqu’à 25 millions de dollars, ou 4% du chiffre d’affaires mondial.
Parmi les nouvelles mesures à suivre, notons celles-ci
– Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur le site Internet de l’entreprise;
– Réaliser une évaluation des facteurs relatifs à la vie privée lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
– Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes.
«Ce sera l’année de la paperasse, constate Audrey Shink. Il faut remplir des documents et rendre des comptes.»
Le troisième volet des normes liées la Loi 25 entrera en vigueur en septembre 2024.