Déjà bientôt 6 mois que les premières obligations de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) sont entrées en vigueur.
Plus particulièrement, il s’agit des obligations de nomination d’une personne responsable de la protection des renseignements personnels ainsi que celles liées à la gestion, la documentation et à la divulgation des incidents de confidentialité. Ces exigences sont applicables depuis le 22 septembre 2022 à toutes les entreprises privées qui traitent des renseignements personnels de citoyens du Québec.
Est-ce que les entreprises se soucient vraiment des données personnelles ?
Bien que ces nouvelles obligations aient fait couler beaucoup d’encre dans la dernière année, il n’en demeure pas moins que le constat actuel sur le terrain n’est pas encourageant. En effet, il est parfois surprenant de constater que plusieurs entreprises repoussent leur travail de mise en conformité et démontrent une attitude désintéressée qui s’approche malheureusement de la négligence. Malgré qu’aucune organisation ne peut prétendre être à l’abri d’un incident de cybersécurité et de confidentialité, certaines entreprises facilitent vraiment la vie aux criminels et, par le fait même, exposent leurs clients, partenaires et employés à ces mêmes criminels. Enfin, en plus des impacts réputationnels considérables, des sanctions importantes, pouvant atteindre un montant maximal de 25 000 000 $ ou 4% du chiffre d’affaires mondial de l’entreprise sont possibles.
Les éléments de base à mettre en place
Voici un petit rappel des éléments qui devraient déjà être en place dans votre organisation.
1— Responsable de la protection des renseignements personnels
En date d’aujourd’hui, votre responsable de la protection des renseignements personnels doit être nommé et entré en fonction. Si vous ne l’avez pas encore fait, ce rôle repose sur la personne ayant la plus haute autorité au sein de votre entreprise.
Dans la majorité des cas, la personne qui a la plus haute autorité n’est pas celle qui est le plus qualifiée ou qui a le plus de temps pour exercer adéquatement les fonctions liées à ce poste. C’est pourquoi la première étape consiste à identifier concrètement les rôles et responsabilités du poste de responsable de la protection des renseignements personnels au sein de votre entreprise. Il sera ensuite plus facile d’identifier la bonne personne pour exercer les fonctions.
Il est important de noter que la délégation des responsabilités liées à la fonction de responsable de la protection des renseignements personnels doit obligatoirement se faire par écrit afin d’être valide.
2 — Incidents de confidentialité
Êtes-vous en mesure de détecter les incidents de confidentialité ? Avez-vous un processus détaillé qui prévoit toutes les étapes à suivre pour gérer cet incident ? Est-ce que les rôles et responsabilités de votre personnel y sont clairement indiqués ? Est-ce qu’ils sont systématiquement documentés dans un registre ? Savez-vous à quel moment et à qui devez-vous divulguer l’incident ?
Si vous avez répondu par la négative à l’une de ces questions, vous avez encore du travail à faire. Nous vous invitons à consulter notre article du mois de juillet 2022 pour obtenir des idées d’actions concrètes à réaliser le plus rapidement possible pour vous conformer à vos obligations en matière d’incidents de confidentialité.
Un retard qui pourrait vous coûter cher
Nous constatons malheureusement qu’un réflexe assez répandu est de remettre à plus tard la mise en conformité aux nouvelles obligations en matière de protection des renseignements personnels. L’entrée en vigueur progressive de la Loi 25 donne également une fausse impression d’avoir encore beaucoup de temps devant nous pour s’y conformer. Certains en oublient même les obligations qui sont déjà en vigueur.
Les risques de repousser à plus tard le travail de mise en conformité ne peuvent pas être pris à la légère. Nous allons illustrer ces propos par un exemple qui, nous l’espérons, saura vous en convaincre.
Votre organisation est victime d’une cyberattaque. Vos fichiers sont encryptés. Par chance, vous êtes en mesure de les récupérer et reprendre vos opérations après plusieurs nuits blanches. Comme vous n’aviez pas en place les contrôles de cybersécurité vous permettant de savoir si les données ont été exfiltrées, vous supposez que non et la vie continue.
Quelques semaines plus tard, un de vos partenaires d’affaires reçoit une demande de rançon par une organisation criminelle. Les criminels prétendent avoir exfiltré des milliers de dossiers sensibles et veulent se faire payer pour ne pas les rendre disponibles publiquement. Pendant la négociation de la rançon, le partenaire demande des preuves aux criminels. Il veut voir un échantillonnage des données exfiltrées. Le partenaire, lors de l’investigation, constate rapidement que ces fichiers, qui contiennent des données sensibles, sont ceux qu’il utilise dans le cours des affaires avec votre organisation.
La relation d’affaires que vous aviez avec ce partenaire va probablement changer. Sa compagnie d’assurance va peut-être chercher à se faire dédommager par votre assurance. Le partenaire pourrait aussi notifier la police et la Commission d’accès à l’information et votre entreprise devient soudainement sous les projecteurs. Les manquements à vos obligations découlant de la Loi 25 pourraient soudainement vous coûter cher.
Le cas UBER chez nos voisins américains
Uber a admis avoir caché un vol de données concernant 57 millions de clients et de conducteurs en 2016. Ce vol de données concernait les noms, adresses courriel, numéros de téléphone et numéros de permis de conduire de 50 millions de clients et 7 millions de conducteurs Uber à travers le monde. Au lieu de rendre public ce vol de données et d’informer les personnes concernées au moment approprié, Uber a tenté de le dissimuler.
Son ancien chef de la sécurité, aujourd’hui inculpé pour avoir dissimulé ce vol massif de données, a payé aux pirates la somme de 100 000 $ via le programme de Bug Bounty d’Uber et leur a fait signer un accord de confidentialité pour qu’ils ne parlent pas de l’incident. Uber reconnaît aujourd’hui que ses équipes n’ont pas signalé le piratage de données de novembre 2016 aux entités réglementaires, comme elles auraient dû.
En septembre 2018, à la conclusion d’une enquête menée par 50 États du pays, Uber est condamné à payer une amende de 148 millions de dollars. Un montant qui n’avait encore jamais été infligé à une entreprise américaine pour un cas similaire. De plus, l’ancien chef de la sécurité d’Uber a été reconnu coupable d’obstruction à la justice. Cette condamnation a secoué le monde de la cybersécurité. Je l’utilise dans cet article pour illustrer qu’il ne faut pas prendre à la légère nos obligations légales.
Nous espérons que cet article aura su mettre en lumière l’importance de la proactivité en matière de protection des renseignements personnels et les risques réels pouvant découler d’une préparation inadéquate. D’ailleurs, il ne faut pas oublier que la majorité des nouvelles obligations prévues à la Loi 25 entrent en vigueur le 22 septembre prochain. Nous espérons que l’état de situation dans 6 mois sera plus positif !