Le Project de loi 64

Le Projet de loi 64 (PL-64), vous connaissez ?

C’est un projet de loi qui a été déposé à l’Assemblée nationale en juin 2020 et qui vise à responsabiliser toutes les entreprises québécoises (ainsi que les organismes publics) vis-à-vis les renseignements personnels.

Dans un récent article, j’ai mentionné l’incident en octobre 2020 chez Olymel, où une femme qui avait travaillé là en 1999 s’est vue compromettre ses renseignements personnels suite à une brèche. Pourquoi est-ce qu’Olymel hébergait encore des données vieilles de 22 ans ? Ceci est indicatif d’un manque de gouvernance d’information, et c’est exactement ce que le PL-64 vise à rectifier.

Les entreprises se verront dans l’obligation d’adresser plusieurs points importants :

  • Procéder à la nomination d’une personne responsable de la protection des renseignements personnels ; dans le cas où un poste dédié ne sera pas possible, le plus haut dirigeant de l’entreprise sera imputable.

  • Donner le droit à l’effacement, c’est-à-dire en permettant à une personne de faire supprimer un renseignement détenu par une entreprise à son sujet, lorsque sa collecte n’est pas autorisée par la loi ou lorsque les fins pour lesquelles il a été collecté sont accomplies.

  • Déclarer obligatoirement les incidents de confidentialités (par exemple, toute instance de cyberattaque) à la Commission d’accès à l’information (CAI).

  • Élaborer des politiques de gestion de l’information afin d’être conforme avec la loi.

La loi donnera aussi plus de « dents » à la CAI, et celle-ci se verra donner des pouvoirs d’imposer des sanctions administratives pécuniaires. Des pénalités allant jusqu’à 25 $ M ou 4 % du chiffre d’affaires mondial pourraient être imposés.

Comme je le mentionne souvent dans mes communications, l’impact financier d’une brèche est significatif (et le sera encore plus après l’adoption de cette loi !), mais il y a surtout l’impact sur la réputation de l’entreprise lorsqu’elle celle-ci se fait voir sous une très mauvaise lumière.

Donc, comment préparer votre entreprise pour cette loi ? Et bien, étant donné que la grande majorité des données de l’entreprise se trouvent probablement dans vos systèmes informatiques, il sera primordial de s’assurer que les meilleures pratiques soient adoptées pour protéger ces données. La cybersécurité, c’est beaucoup plus que juste mettre un bon pare-feu ou avoir des « bons backups » — c’est aussi les méthodes de travail et la sensibilisation de tous les employés.

Préparez-vous avant que ça soit urgent. Il me ferait plaisir d’en discuter avec vous !

Coordonnées:

Tél.: 1.438.874.5710

Courriel: jacques.sauve@trilogiam.ca

  • LinkedIn
  • YouTube

Magog, QC

Sherbrooke, QC

Granby, QC

Bromont, QC

Laval, QC

Montreal, QC

©2021 by Trilogiam.

cybersecurity, security assessment, audit