Pour les internautes québécois, le projet de loi 25 est synonyme ces derniers mois de fenêtres pop-up demandant le consentement. Pour les entreprises, c’est souvent un casse-tête. Une poignée d’entre eux s’y conformeraient, et une majorité n’a pas l’intention de s’y conformer. Cependant, les experts affirment que des ressources et des guides simples sont disponibles pour aider à maîtriser cette loi complexe.
Publié à 1h52
Mise à jour à 6h00
3 %
Selon un sondage réalisé auprès de 100 PME et OBNL québécois en juin 2023 par le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l’Université de Sherbrooke, 40 % se disaient prêtes pour la loi 25. En réalité, après analyse, à peine 3 % l’étaient réellement. En février dernier, un sondage de la firme française Axeptio arrivait à une conclusion similaire, avec 5 % des entreprises qui pouvaient être considérées comme conformes.
En trois étapes
Le Loi visant à moderniser les dispositions législatives relatives à la protection des renseignements personnelsou encore la loi 25, adoptée en septembre 2021 et inspirée de la législation européenne, prévoit trois phases, exigeant à chaque fois un peu plus des entreprises traitant des informations personnelles.
Depuis septembre 2022, ils doivent désigner une personne responsable de la protection de ces informations et signaler tout incident à la Commission d’accès à l’information (CAI).
En septembre 2023, l’obligation de respecter les règles de consentement (d’où l’apparition de fenêtres sur la plupart des sites internet) et l’élaboration d’une « Privacy Impact Assessment (PIA) » ont été introduites.
La dernière étape, en septembre 2024, concerne le droit à la « portabilité », en vertu duquel chacun peut demander une copie des données le concernant.
La loi prévoit des amendes maximales de 25 millions.
Une évaluation difficile
L’une des exigences qui semble la plus contraignante est l’évaluation des facteurs de confidentialité. Ce terme intimidant est expliqué par l’organisme chargé de l’application de la loi 25, le CAI, dans un guide… de 60 pages.
C’est justement sur cette obligation qu’Emeline Manson, formatrice en prévention de la fraude et cybersécurité, a décidé de lancer un outil gratuit. Essentiellement, l’EFVP doit être rédigé pour toute entreprise qui offre des services impliquant des renseignements personnels ou les communique à l’extérieur du Québec.
PHOTO MATHIEU CHEVALIER, FOURNIE PAR EMELINE MANSON
Emeline Manson, formatrice en prévention de la fraude et cybersécurité et présidente du cabinet CY-clic
Là, on a une organisation qui regarde ça et qui se dit : « concrètement, qu’est-ce que je fais demain matin ? » C’est décourageant, vraiment décourageant.
Emeline Manson, formatrice en prévention de la fraude et cybersécurité et présidente du cabinet CY-clic
Le formateur n’aime pas le concept de « compliance », préférant mettre l’accent sur les comportements sécuritaires d’une entreprise.
« Notre objectif est vraiment de rendre cela moins important, de le rendre plus amusant, plus réconfortant, moins culpabilisant. La réputation de la cybersécurité et du projet de loi 25 à l’heure actuelle est d’être très culpabilisants. »
Petites étapes
Selon elle, il s’agit avant tout de faire le point sur les informations personnelles qu’une entreprise gère, d’établir comment elles sont stockées et de prendre des mesures efficaces pour les protéger.
« La Commission d’accès à l’information veut avoir la preuve qu’on a au moins posé la question. Si on ne le documente pas, si ce n’est écrit nulle part, c’est comme si on n’y avait pas pensé. Si la Commission vient à nous, nous devons pouvoir lui prouver que nous avons fait cette évaluation, que nous avons eu cette réflexion, que nous avons franchi cette étape. »
Plutôt que de terroriser les petites et moyennes entreprises avec des exigences insurmontables, Mmoi Manson dit qu’il préfère la méthode des « petits pas ». « Si vous voyez la montagne dans son ensemble, vous vous découragez et vous ne faites rien. C’est pire que de le faire par petites bouchées, de le faire du mieux que vous pouvez et de pouvoir démontrer que vous êtes sur le bon chemin, que vous avez essayé de vous conformer. »
Élargir le débat
Pour Nicolas Duguay, codirecteur général d’In-Sec-M, un organisme regroupant les acteurs clés de la cybersécurité, il faut voir le respect de la loi 25 dans une perspective plus large.
PHOTO CATHERINE LEFEBVRE, COLLABORATION SPÉCIALE ARCHIVES
Nicolas Duguay, co-PDG d’In-Sec-M
Depuis des années, le gouvernement du Québec encourage les organisations privées de toutes tailles à numériser, mais sans s’assurer que des structures de cybersécurité soient présentes. Cela explique notamment pourquoi on assiste à une explosion des cyberattaques.
Nicolas Duguay, codirecteur général d’In-Sec-M
Plutôt que de se concentrer uniquement sur le respect de la loi 25, son organisation a mis sur pied un programme subventionné par Québec, MaLoi25, qui intègre également ce qu’on appelle la « cyber-résilience ».
Jusqu’à présent, admet-il, écouter les entrepreneurs est, disons, minime.
« Je suis appelé à faire des discours, des présentations, je demande systématiquement aux gens : « Qui a entendu parler de la loi 25 ? » J’ai toujours une minorité de personnes qui lèvent la main. Il y a vraiment un manque de communication. »
En attente des amendes
MaLoi25 propose un autodiagnostic comme point de départ, base d’un accompagnement proposé par la suite à un prix qu’on promet d’être « avantageux ». Si M. Duguay ne peut préciser ce qui ressort des milliers d’autodiagnostics réalisés, il fait ce constat général : « C’est typique, et ce n’est pas seulement en matière de protection des renseignements personnels ou de cybersécurité : il y a une forme de candeur qu’on observe dans les entreprises ici. On attend de voir les sanctions. J’ai l’impression qu’il y aura un boom assez important des demandes de la Loi 25, le jour où en La presse, Le Journal de Montréal ou à Radio-Canada, on verra qu’une telle entreprise a été pointée du doigt par le gouvernement du Québec et a été condamnée à des amendes. Ce qui n’est pas demain, évidemment. »
