Assurer la conformité des données à la loi 25

Aperçu de la loi 25

Loi 25

La Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels, communément appelée Loi 25, apporte d’importantes modifications et modernisations aux lois qui couvrent les renseignements personnels et sensibles. La loi a été sanctionnée par l’Assemblée nationale du Québec en septembre 2021 et ses dispositions entreront en vigueur en septembre 2022, septembre 2023 et septembre 2024. La loi 25 vise à offrir un contrôle plus serré des données personnelles des individus et renforce les obligations des entreprises en matière de gouvernance, de transparence et de conformité.

Entreprises impactées

Toutes les organisations situées dans la province du Québec, qu’elles soient privées ou publiques, sont tenues de respecter les règles énoncées dans la loi 25. Cela s’applique à tous les types d’organisations, des petites startups aux grandes entreprises, et inclut toute organisation qui traite, utilise ou partage les informations personnellement identifiables (PII) de ses parties prenantes. Il est important pour ces organisations de s’assurer du respect de la loi 25 afin d’éviter des conséquences potentielles telles que des pertes financières, une atteinte à leur réputation et des poursuites judiciaires.

Types de données couvertes

La loi 25 couvre toutes les informations personnelles identifiables (PII), y compris les données sensibles, que possèdent les organisations au Québec. Les informations personnelles sont toutes les informations qui peuvent être utilisées pour identifier un individu, comme un nom, une adresse, un numéro de téléphone, une adresse électronique ou un numéro de sécurité sociale. Il peut s’agir de renseignements démographiques, comme l’âge, le sexe, la race ou le niveau de revenu, ainsi que de renseignements financiers, comme les numéros de compte bancaire ou les renseignements relatifs aux cartes de crédit. 

Les informations personnelles sensibles sont un sous-ensemble d’informations personnelles qui sont particulièrement sensibles ou privées, et peuvent être plus vulnérables à une mauvaise utilisation ou à un abus. Les informations personnelles sensibles nécessitent une protection et une attention supplémentaires car elles sont plus étroitement liées à l’identité d’une personne et peuvent être plus difficiles à modifier ou à protéger en cas de violation des données ou d’un autre incident de sécurité.

Exigences de conformité

La loi 25 donnera aux citoyens un plus grand contrôle sur leurs informations personnelles. La mise en œuvre de cette loi nécessitera plusieurs actions au cours des 36 prochains mois.

Septembre 2022

• Désigner un responsable de la protection de la vie privée.
• Créer ou mettre à jour les politiques et pratiques régissant la gouvernance des renseignements personnels.
• Mettre en place un journal des incidents de confidentialité et un processus de notification.
• Disposer d’un inventaire des renseignements personnels de l’organisation.
• Mettre en œuvre un programme de formation sur la protection de la vie privée.

Septembre 2023 

• Mettre à jour les politiques et les pratiques en matière de conservation, de destruction et de dépersonnalisation des informations personnelles.
• Mettre en place une procédure de plainte relative à la protection de la vie privée
• Publier les politiques et procédures régissant la gouvernance des renseignements personnels sur le site Web de l’organisation.
• Introduire une politique et un processus d’évaluation des facteurs relatifs à la vie privée (« PIA »).
• Mettre en place un processus d’obtention du consentement pour collecter, conserver, utiliser ou divulguer des informations personnelles.
• Mettre en place un processus de destruction ou de dépersonnalisation et appliquer le droit à l’oubli tout au long du cycle de vie de ces informations.

Septembre 2024

• Mettre en œuvre des mesures visant à faciliter le droit à la portabilité des données.

Mise en oeuvre et sanctions

Si une organisation ne respecte pas les règles énoncées dans la loi 25, elle risque de subir diverses conséquences négatives, notamment des pertes financières, une atteinte à sa réputation et des actions en justice. La Commission d’accès à l’information du Québec (CAI) a le pouvoir d’imposer des pénalités à toute organisation qui ne se conforme pas à la loi 25. Ces pénalités peuvent prendre la forme de sanctions administratives, qui peuvent atteindre jusqu’à 10 millions de dollars ou 2 % des revenus de l’entreprise, ou de sanctions judiciaires, qui peuvent atteindre jusqu’à 25 millions de dollars ou 4 % des revenus de l’entreprise.

6 façons dont Qohash assure la conformité

Identification des brèches

Surveillez le risque lié aux données sensibles en tout temps et recevez des alertes dès qu’une accumulation, une suppression ou une exfiltration à risque se produit. Si un incident se produit, utilisez la recherche par mot-clé pour trouver un élément de données spécifique et suivez le cheminement complet des données, y compris l’endroit exact où les données ont été extraites d’un environnement, où elles ont abouti et tous les points de contact intermédiaires.

Inventaire des données sensibles

Qohash fournit un inventaire complet des données sensibles et non structurées au repos. Qohash découvre les données sensibles 50 fois plus vite que les autres solutions, sur n’importe quelle source de données, à tout endroit. Qohash permet l’étiquetage, la classification, les recherches personnalisées par RegEx et par mot-clé, ainsi que le classement et la contextualisation des risques.

Suppression des données

Effectuez des recherches par nom, date, numéro de carte de crédit et autres pour trouver toutes les copies de données sensibles dans les systèmes de l’entreprise. Découvrez quelles catégories de données sensibles sont stockées sur les systèmes de l’entreprise. Voyez comment des éléments de données spécifiques ont été déplacés entre les employés et les sites. Supprimez des données directement dans la plateforme pour démontrer la conformité aux demandes de suppression de données en tout lieu, y compris les postes de travail.

Application des politiques

Qohash fournit aux auditeurs la preuve que les données sensibles sont surveillées et associées aux interactions des employés, permettant ainsi l’application des politiques au moment même. Qohash examine les fichiers pour suivre les éléments de données. Il surveille ces éléments et les associe aux employés et aux emplacements. Sachez à quel moment un employé a une interaction risquée avec des données sensibles. Tracez l’historique de tout élément de données qui se déplace sur les postes de travail, pour une remédiation plus rapide.

Contrôle d’accès

Créez rapidement une liste de contrôle d’accès de toutes les données réglementées par diverses lois. Fournissez des preuves des restrictions et montrez que vous évaluez régulièrement si les personnes ayant accès ont un besoin professionnel légitime.