Conformité loi 25
|
Adoptée au Québec en 2021 pour renforcer la protection des informations personnelles des utilisateurs. C’est un peu comme le gardien vigilant de nos précieux secrets numériques. Elle est à nos données ce que le coffre-fort est à nos biens les plus précieux.
|
Elle oblige les entreprises à être transparentes sur la manière dont elles collectent, utilisent et protègent ces données. Elle exige un consentement clair de l’utilisateur avant toute utilisation de ses informations et impose aux entreprises de notifier rapidement les utilisateurs en cas de fuite de données.
Cette loi s’assure que nos données ne se retrouvent pas entre de mauvaises mains ou utilisée à mauvais escient, garantissant ainsi la confiance des Québécois dans la gestion de leurs informations.
Vos données personnelles sont: nom, adresse, téléphone, courriel, numéro d’assurance sociale NAS, numéro d’assurance maladie, permis de conduire, données médicales, localisation GPS et autres données similaires
Vous devez :
1 Désigner une personne responsable de la protection des renseignements personnels
2 Mettre en place des politiques de confidentialité claires
3 Mettre à jour l’inventaire des renseignements
4 Mettre en place un registre des incidents
5 Aviser les personnes ayant fait l’objet d’un incident
6 Mettre en place des mesures de protection adéquates pour éviter les incidents de confidentialité et se conformer aux exigences de la loi
7 Aviser Commission d’Accès à l’Information du Québec d’un incident
La Commission d’Accès à l’Information du Québec est désignée comme l’autorité veillant à la mise en œuvre de cette loi.
|
Voici les sanctions financières auxquelles vous vous exposez en cas de non-conformité: |
|
|
|
Type de Manquement |
Personne physique |
Entreprises |
|
Mineur/administratif |
$500 – $50,000 |
$1,000 – $10M ou 2% du CA mondial
|
|
Modéré |
$1,500 – $50,000 |
$4,000 – $10M ou 2% du CA mondial
|
|
Grave |
$3,000 – $50,000 |
$8,000 – $10M ou 2% du CA mondial |
|
Très grave |
$5,000 – $50,000 |
$15,000 – $10M ou 2% du CA mondial
|
De plus, un incident de confidentialité peut entraîner la perte de la confiance des clients et causer des dommages importants à la réputation de l’entreprise.
Les 23 mesures raisonnables à mettre en place
Mesures administratives ou organisationnelles
1 Mettre sur pied un comité de sécurité de l’information et de protection des renseignements personnels regroupant les personnes, incluant le responsable, jouant un rôle stratégique au sein de votre entreprise et relevant de la haute direction;
2 Concevoir et mettre à jour des politiques et pratiques de gouvernance des renseignements personnels suffisamment robustes / politiques de conservation / destruction des données/processus de gestion contractuelle soucieux de la protection des renseignements personnels;
3 Signifier clairement vos attentes au personnel;
4 Mettre en place un registre des incidents
5 Rendre périodiquement des comptes à la haute direction.
Mesures tactiques
6 Concevoir un plan d’action annuel;
7 Former et sensibiliser les employés, la création de mots de passe forts, les risques liés aux programmes malveillants, à l’ingénierie sociale, l’importance de respecter les principes du bureau propre, verrouiller ordinateur si pas présent;
8 Exercer une surveillance active de l’efficacité des mesures déployées.
Mesures opérationnelles
9 Octroyer des droits d’accès aux renseignements personnels seulement aux membres du personnel dont les fonctions rendent cet accès nécessaire;
10 Obtenir des conseils sur la mise en œuvre, l’application ou le maintien des mesures de sécurité déterminées;
11 Élaborer des modèles types formulaire de collecte de renseignements / engagement à la confidentialité / entente de non-divulgation / contrats, et les réviser périodiquement;
12 Utiliser un protocole d’identification robuste.
Mesures physiques
13 Contrôler les accès aux bureaux / aux salles des serveurs / aux salles de câblage / au système d’alarme, etc.;
14 Restreindre l’accès aux locaux ou aux classeurs où sont conservés des documents papier contenant des renseignements personnels.
Mesures techniques
15 Favoriser les identifiants et les mots de passe forts;
16 Assurer le chiffrement des communications et des informations stockées;
17 Mettre en place un coupe-feu;
18 Assurer la défense du périmètre réseau;
19 Assurer la gestion efficace des accès aux renseignements personnels par les employés, journaliser ces accès et exploiter les journaux pour détecter les situations irrégulières;
20 Appliquer régulièrement les mises à jour logicielles;
21 Bloquer les ports USB pour les clefs USB;
22 Adopter un système de gestion documentaire;
23 Mettre en place des moyens permettant la destruction sécuritaire donnée / ancien disque.
Passez à l’action, Offre de service
Accompagnement cout fixe, parcours des 23 mesures à mettre en place avec un rapport officiel signé à utiliser pour éviter les sanctions financières, 4 ateliers de travail en visioconférence.