Comprendre la loi 25 et ses obligations

La loi 25 et ses obligations

Protéger tes renseignements personnels : Comprendre la Loi 25

Dans notre société numérique, la protection des renseignements personnels est devenue un enjeu majeur. Entrée en vigueur officiellement en septembre 2022, la Loi 25 vise à renforcer cette protection au Québec. Que tu sois une entreprise ou un particulier, il est crucial de comprendre les implications de cette loi et de savoir comment t’y conformer.

 

Dans cet article, nous te proposons un guide complet pour naviguer dans les nouvelles exigences de la Loi 25 et t’assurer que tes pratiques respectent les normes en vigueur et que les entreprises détenant des renseignements personnels sont aussi sécurisées.

Comprendre tes droits en tant que particulier

Premièrement, qu’est-ce qu’un renseignement personnel?

Un renseignement personnel au sens de la loi, c’est une information qui permet d’identifier une personne, par exemple: tes informations bancaires, tes informations d’emploi ou d’étudiant, ton numéro de téléphone, ton prénom et ton nom, ton numéro d’assurance social, ta date de naissance, ton adresse IP, etc.

 

 

On s’entend qu’un renseignement personnel seul, peut être difficilement identifiable. Je te donne un exemple, si tu as donné à une entreprise ton prénom et ton nom seulement, ces informations ne t’identifieront pas automatiquement. Il y a plusieurs personnes qui se nomment «Gertrude Gagnon». Mais si cette même entreprise a aussi, ton adresse courriel, ton numéro de téléphone et/ou ton adresse postale. Il sera beaucoup plus facile de t’identifier. 

Les bonnes pratiques pour protéger tes renseignements personnels

la chose à faire quand tu donnes tes informations personnelles à une entreprise X, c’est de poser des questions et de lire leur politique de confidentialité sur la protection des renseignements personnels. Il est important de se renseigner sur la manière dont les entreprises gèrent tes informations personnelles afin de savoir à quel endroit elles sont conservées; est-ce que c’est aux Îles Moukmouk (aux États-Unis, en Europe, en Asie, etc.) parce que les règles de la protection des renseignements personnels ne sont pas les mêmes partout et il est préférable que le tout soit conforme à la Loi 25, pour protéger TES renseignements personnels.

 

Donc, partager les renseignements personnels avec autrui, c’est un pensez-y-bien!

Incidents de sécurité potentiels : Exemples et prévention

Exemple 1 : La massothérapeute imprudente

La massothérapeute a en main tes renseignements personnels sur ta santé, ton numéro de téléphone, ton adresse courriel, ta date de naissance parce qu’elle t’envoie un petit cadeau à ta fête.

 

 Elle a plusieurs salons de massothérapies dans la ville. Un matin, elle prend son pad d’écriture et/ou son ordinateur, elle sort acheter un café au petit resto du coin, car la commande à l’auto est fermée. Elle laisse le tout dans la voiture et celle-ci se fait voler.

 

 

Cette situation fictive aux yeux de la loi est un incident de sécurité des renseignements personnels. Donc non seulement, tes renseignements personnels sont dans les mains d’une personne avec qui tu n’as pas autorisé le partage, mais tu as aussi un risque de vol d’identité ou même d’invasion de domicile, etc. (Nous n’essayons pas de te faire peur, loin de là, mais seulement que tu réalises l’impact que ça peut avoir et te rendre plus vigilant avec le partage des renseignements personnels) et pour la massothérapeute, elle devra se conformer aux règles de la Loi 25. (Lire plus bas les règles que les entreprises doivent suivre en cas de risque de fuite de renseignements personnels).

 

 

Donc la Loi 25 s’applique aussi lorsque les renseignements sont à l’extérieur de l’ordinateur et que l’information est sur papier. Les entreprises doivent se conformer à plusieurs choses, comme un classeur physique barré en tout temps et non accessible. 

Exemple 2 : L’utilisation imprudente du wi-fi public

La même massothérapeute (elle n’est pas chanceuse aujourd’hui) au lieu d’aller acheter son café et vouloir partir par la suite, elle décide cette journée-là, de s’installer à une table avec son ordinateur portable pour travailler. Elle se connecte sur le réseau du petit resto, et le petit resto en question est peut-être en train de subir une intrusion sur son réseau et comme la masso est connectée sur ce même réseau… je te laisse deviner la suite…

 

 

Elle travaille tout doucement et un pirate se place entre elle et le point de connexion du petit resto, donc lorsqu’elle se connecte à ses plateformes, qui je te rappelle, contiennent des renseignements personnels de ses clients, elle donne l’information au pirate. Ça peut aussi bien être des adresses courriels, des informations de connexion ou même ses données bancaires. Le pirate est vraiment content à ce moment-là, n’est-ce pas ? 

Réduire les risques sur un réseau public

  • Ne pas se connecter sur un réseau public, tsé quand ça dit Wi-Fi gratuit 😉
  • Désactiver le partage en allant dans tes préférences système ou dans le panneau de configuration de ton ordinateur
  • Se connecter à un réseau privé est toujours plus sage, même s’il y a des risques
  • Changer ses mots de passe régulièrement
  • Dans tous les cas utiliser une connexion VPN quand tu utilises une connexion sans fil externe, que ce soit privé ou public, est plus sage. Pour savoir ce qu’est un VPN, je t’invite à lire l’article de François Charron

maintenant, en tant qu’entreprise, qu’est-ce que tu dois faire pour te conformer à la loi 25?

Premièrement, sache que tu sois travailleur autonome et que tu travailles seule sur ta table de cuisine ou que tu as 2-3-10 000 employés tu dois te conformer et protéger les renseignements personnels que détient ton entreprise. Voir l’article que nous avons déjà écrit.

 

Les obligations de la loi 25 pour les entreprises

 

La Loi 25 est en vigueur depuis septembre 2022 et depuis septembre 2023, il y a de nouvelles conformités que les entreprises doivent mettre en place. 

Fait attention avec qui tu fais affaire pour te conformer à la loi 25.

 

C’est l’obligation de la loi qui t’y oblige (ish, j’espère que tu n’as pas un esprit de contradiction comme moi) et parce qu’il peut arriver que ce soit un robot qui accède aux renseignements personnels.

Cependant, la loi 25 ne se limite pas uniquement au site internet

 

Comme expliqué plus haut, ça concerne toutes les plateformes Web que tu utilises et qui contiennent les renseignements personnels de tes clients ET même la version papier. Donc TOUS renseignements personnels QUE TON ENTREPRISE DÉTIENT.

 

Ensuite, sache que la Loi 25 exige que tu mettes un « effort raisonnable » pour la mise en place de solutions de protection des renseignements personnels. Cette même loi ne définit pas explicitement ce qu’elle entend par « effort raisonnable ».

 

Ce que l’on sait, c’est qu’elle est là pour protéger et définir comment ton entreprise sécurise les renseignements personnels qu’elle détient.

 

On sait aussi que le côté procédural est OBLIGATOIRE donc toute la paperasse de la conformité. Par contre, le côté technologique est optionnel et non obligatoire, mais est-ce que ça fait partie d’« effort raisonnable » si tu n’en mets pas? On ne le sait pas.

 

 

De plus, si tu ne le sais pas, sache que peu importe ce que tu mets en place PERSONNE ne peut garantir à 100 % que ton entreprise ne vivra pas un incident de cybersécurité. Dès que tu travailles avec internet, tu as des chances de vivre un incident. D’ailleurs, on ne dit plus SI tu vis un incident, mais QUAND tu vas vivre un incident. 

Tes obligations avant de vivre un incident de cybersécurité

Les mesures à prendre pour ton site internet

 

·      Ajouter une barre de cookies qui donne l’option au client de choisir s’ils acceptent ou pas le partage de ses données avec ton entreprise.

·      Ajouter la politique de confidentialité et la politique de cookies disponibles sur le site Web.

·      Rendre disponible les informations de la personne responsable dans ton entreprise de la protection des renseignements personnels (pour ce dernier point, la loi n’indique pas si ces informations décrient dans la politique de confidentialité sont suffisantes ou s’il faut les rendre vraiment visibles. Alors pour ma part, je ne prends pas de chance et j’ajoute dans la page de contact de chaque site Web que nous protégeons ? Le prénom et le nom, le titre et le courriel de la personne responsable).

 

 

Ce sont les obligations pour le site Web seulement, mais il y a le côté technologique que tu pourrais mettre en place mais, qui n’est pas obligatoire, cependant ça ajouterait d’autres protections de sécurités informatiques pour la sécurité des renseignements personnels de tes clients. Entre autres, gestionnaire de mots de passe pour un partage avec tes sous-traitants qui te permettrait de cacher les mots de passe des plateformes que tu partages. 

Une mise en situation d’une personne qui n’utilise pas un gestionnaire de mots de passe

 

Disons que tu partages tes informations de ton système comptable avec ta comptable et que tu as des renseignements personnels de tes clients à l’intérieur. Tu as donné verbalement tes informations de connexion ou par courriel. Ta comptable ou ta technicienne en tenue de livres, ton adjointe ou autres personnes qui travaillent dans ta comptabilité a écrit les informations dans un fichier Excel sur le bureau de son ordinateur, car elle tient son fichier Excel à jour avec tous les mots de passe de tous ces programmes pour se connecter.

 

 

Elle ouvre un courriel frauduleux et clique sur un lien dont elle ne s’est pas rendu compte, mais qui redirige à un faux site qui donne accès à ton ordinateur. PAF, elle vit un incident de sécurité informatique. C’est ce qu’on appelle du phishing. Le pirate prend son fichier Excel et fait du dommage partout, les données personnelles de ta comptabilité sont maintenant dans les mains des pirates.

ajout Du MFA (Authentification multi facteur)

 

Ajouter du MFA (authentification multi facteur), je te le dis ça ne garantit pas la sécurité, mais c’est une couche de protection supplémentaire. 

 

En plus, facilement partageable dans un gestionnaire de mots de passe.

Installer un EDR (Endpoint detect response)

 

Un EDR est un antivirus 2e génération. Chez GVMP on appelle ça un antivirus sur les stéroïdes. Pour la simple raison qu’il vérifie le comportement des plateformes que tu utilises. Donc, disons que tu travailles depuis des mois et tu ne te rends compte de rien, mais un pirate a finalement accédé à tes fichiers dans le code et puis ça fait des mois qu’il crypte tes données pour les extraire afin de te demander une rançon. Si tu as un antivirus ordinaire, celui-ci ne verra rien. Tandis qu’un EDR, va bloquer l’accès. Encore là, ce n’est pas garanti à 100 %, le EDR fait ses mises à jours seuls, mais si un nouveau virus arrive entre deux mises à jour, il se peut que celui-ci ne le voie pas. Je te l’ai dit, plus rien n’est garanti, mais c’est une couche supplémentaire de protection.

 

De la sauvegarde en ligne de ton infrastructure

Que ce soit pour tes informations qui sont localisées sur ton ordinateur, ou tes courriels ou encore dans tes fichiers cloud. Une sauvegarde en ligne en cas de pertes de données ou de bris informatiques, c’est sécurisant à mettre en place pour les entreprises.

Tenir les mises à jour de tes systèmes, Windows et autres.

  • N’oublie pas d’activer la sécurité par défaut de tes systèmes, je pense entre autres à Microsoft 365 ou Google Workspace.
  • , nous pourrions continuer longtemps

 

Comme je l’ai mentionné, le côté procédural est obligatoire:

  • Politique de confidentialité
  • L’information sur la manière dont ton entreprise gère les renseignements personnels qu’elle détient
  • Le registre des évènements

et finalement, les nouveautés pour 2024 concernant la loi 25

Il y a une mise à jour significative pour la Loi 25 en 2024 concernant la portabilité des renseignements personnels. Ce qui veut dire que l’entreprise doit être en mesure de fournir les renseignements personnels qu’elle détient sur une personne X. Il est donc important de garder un registre de toutes demandes potentielles d’un client, employés ou fournisseurs.

 

Voilà, il y a beaucoup d’informations, mais j’espère avoir réussi à alléger ta compréhension de la loi à travers cet article.

 

Si tu as besoin d’aide, de formation ou de tout autre service, je t’invite à nous contacter à l’adresse suivante mplante@gestionvirtuelle.com

 

Partager cet article