Cybersécurité – Loi 25

Une nouvelle loi québécoise est en vigueur depuis quelques semaines et nous concerne tous et toutes, car elle touche à la protection des renseignements collectés et au respect de notre vie privée. C’est la loi 25. Décortiquons ce qu’elle implique pour nous et les entités qui récoltent des renseignements personnels.

Cette loi a pour but de moderniser la réglementation entourant la collecte d’informations personnelles faite par des entreprises privées, des organismes publics ou des personnes physiques. Un manquement est passible d’amende qui dépend de l’entité fautive — une entreprise privée aurait une amende plus importante qu’un citoyen. Les informations collectées doivent être traitées et manipulées de façon sécuritaire et que les processus de collecte, de stockage et d’utilisation des données doivent respecter la vie privée.

Donc, dans les nouvelles obligations légales, il faut que l’entité qui manipule des données personnelles désigne une personne responsable de la protection des données personnelles et que son nom et coordonnées soient publiquement affichés sur un site web. De plus, il faut tenir un registre de tous les incidents de cybersécurité et informer la Commission d’Accès à l’Information (CAI) d’incident qui pourrait contrevenir à la protection des données personnelles.

Dans le cas d’un site web, le propriétaire devrait mettre en place des mesures pour indiquer clairement la politique de confidentialité qui explique simplement comment se fait la collecte et quelles données sont collectées. Il doit également obtenir le  consentement éclairé des utilisateurs et utilisatrices qui se fait habituellement lors de la première visite d’un site web. Aussi, il ne faut pas partager les données avec des entités à l’extérieur de la province et il faut anonymiser les données lorsque cela est possible. Finalement, les coordonnées du responsable de la protection des données personnelles doivent être publiées sur le site et il faut établir un registre d’incident de sécurité.

Les citoyens qui se savent lésés peuvent porter plainte contre une entité via la CAI qui a le mandat de mettre en application la loi et d’imposer des amendes en cas de fautes.

La population citoyenne obtient des bénéfices de cette nouvelle loi. Tout d’abord, une entité victime d’une fuite de données doit rejoindre les personnes impactées dans de brefs délais pour tenter  d’amoindrir les menaces  potentielles. De plus,  lorsqu’entité  prend  une  décision  automatisée à l’aide des renseignements personnels fournis par un usager, celui-ci peut obtenir plus facilement des informations sur comment la décision a été prise. Par exemple, une usa- gère pourrait demander à son institution financière pourquoi sa demande de prêt est refusée si cette décision a été prise de façon automatisée.

La loi a de bonnes intentions, mais ne nous leurrons pas, ce n’est pas demain la veille où nous vivrons dans une société où la protection des données personnelles aura une valeur cardinale et où une entreprise privée informerait facilement pourquoi son système à pris une décision en défaveur d’un consommateur. Nous pouvons le voir comme un premier pas, mais il reste beaucoup de travail à faire. Les législations et les règlementations dans toute sorte de domaines sont constamment des work in progress et la protection de la vie privée ne fait pas exception.

Par Simon Benoît
Consultant en cybersécurité