Septembre 2022 a marqué un tournant important en matière de protection des données numériques. Suivant les pas de l’Union Européenne, en 2018, le Québec met en place la loi 25 sur la cybersécurité et devient la province pionnière en la matière. 

Un plan graduel est prévu jusqu’au 22 septembre 2024, date de l’entrée en vigueur totale de la loi.

Que dit la loi 25 sur la cybersécurité?

L’objectif de cette loi est de mieux protéger les renseignements personnels des Québécois. Dans une société de plus en plus connectée, elle vise à établir la responsabilité des entreprises et à uniformiser la prise en charge des données personnelles. L’une des grandes avancées est l’accessibilité aux utilisateurs à leurs données récoltées pour plus de transparence.

Responsabilité des entreprises face aux données

La loi 25 concerne toutes les entreprises privées ou publiques (peu importe leur taille), ou tout autre structure québécoise qui possède, manipule et communique les renseignements personnels de leurs fournisseurs, clients et employés.

Comment gérer les données personnelles du public

La confidentialité des données doit être une priorité pour vous. Sachez que plus vous rassemblez et stockez des données, plus vous prenez des risques. Une bonne gouvernance des données passe par une stratégie solide de collecte et de conservation. Soyez proactifs.

Vous devriez toujours analyser les risques liés à la protection des données:

• À quel point les renseignements collectés sont-ils des données sensibles?
• Quel sera le coût de la perte de ces données?
• Quel budget devez-vous prévoir pour assurer la sécurité des données recueillies?

La loi 25 donne plus de contrôle et de droit aux citoyens sur les renseignements personnels prélevés. Dans certaines conditions,vous devez être en mesure de détruire et anonymiser sur demande leurs données (dès septembre 2023).

Le droit à la portabilité des données est au cœur de la nouvelle loi. Dès septembre 2024, une personne pourra demander une copie des renseignements personnels que vous détenez. Dans certains cas, elle pourra également exiger le transfert de ses données vers une autre organisation.

Pénalités qu’une entreprise peut encourir

Respecter la loi est le meilleur moyen de vous assurer de la sécurité des données sensibles en votre possession. En plus d’une sérieuse atteinte à votre réputation, ne pas vous y conformer vous expose à de lourdes sanctions économiques.

La loi 25 prévoit des pénalités allant jusqu’à 25 millions de dollars ou 4% de votre chiffre d’affaires mondial.

La loi 25 est déjà en vigueur

Depuis septembre 2022, il est désormais obligatoire de:

• Nommer une personne responsable de la protection des données. Si ce n’est pas fait, la tâche incombe automatiquement au plus haut dirigeant de l’organisme.
• Avoir un plan de gestion et un registre d’incidents. Déterminez ce qui constitue une infraction et quelle est la marche à suivre en cas de violation de votre système de sécurité informatique.

Aviser la commission d’accès à l’information ainsi que les personnes concernées de la divulgation de leurs données à caractère personnel.

Deux formations disponibles pour les entreprises et les professionnels

Les métiers liés aux nouvelles technologies sont en constant renouvellement. Les techniciens en informatique doivent mettre à jour leur pratique pour faire face aux nouveaux enjeux de sécurité informatique. Nos cours du soir en ligne s’adressent :

• Aux entreprises qui souhaitent former leurs spécialistes 
• Aux titulaires d’un diplôme de technicien en informatique ou son équivalent

AEC en Cybersécurité logicielle

La formation permet d’acquérir toutes les compétences nécessaires au poste de technicien en cybersécurité logicielle. À l’issue du programme, le finissant peut: 

• Assurer un environnement de travail sécuritaire 
• Utiliser les langages de programmation de la cyberpiraterie pour la contrer
• Améliorer la sécurité de vos logiciels
• Concevoir des applications sécuritaires

AEC en Cybersécurité réseau

Le technicien en cybersécurité réseau contribue à l’examen et à l’application de la politique de sécurité. Il met en place des mesures physiques et informatiques pour garantir la sécurité de son milieu de travail. À la fin de son cursus, il est en mesure de:

• Surveiller l’infrastructure informatique 
• Protéger les données de l’entreprise
• Sécuriser le réseau et les terminaux
• Sécuriser le système informatique (grâce à sa connaissance des techniques de cyberpiraterie)

Il ne reste que deux ans pour que la loi 25 soit totalement effective. La prochaine date importante à retenir est le 22 septembre 2024. Pour rester à jour, téléchargez l’aide-mémoire de la Commission d’accès à l’information.

Aide-Mémoire : Résumé des nouvelles obligations des entreprises