Pour les internautes québécois, le projet de loi 25 est synonyme depuis plusieurs mois de fenêtres « pop-up » demandant leur consentement. Pour les entreprises, c’est souvent un casse-tête. Une poignée d’entre eux s’y conformeraient, et une majorité n’a pas l’intention de s’y conformer. Cependant, affirment les experts, des ressources et des guides simples sont disponibles pour apprivoiser cette loi complexe.
Publié à 1h52
Mis à jour à 6h00
3 %
Selon un sondage réalisé en juin 2023 par le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l’Université de Sherbrooke auprès de 100 PME et OBNL québécois, 40 % se disaient prêtes pour le projet de loi 25. En réalité, après analyse, à peine 3 % étaient réellement prêtes. En février dernier, un sondage de la firme française Axeptio arrivait à une conclusion similaire, avec 5 % des entreprises pouvant être considérées comme conformes.
En trois fois
Le Loi visant à moderniser les dispositions législatives relatives à la protection des renseignements personnelsou encore la loi 25, adoptée en septembre 2021 et inspirée de la législation européenne, prévoit trois phases, exigeant à chaque fois un peu plus des entreprises traitant des informations personnelles.
Depuis septembre 2022, ils doivent notamment désigner un responsable de la protection de ces informations et signaler tout incident à la Commission d’accès à l’information (CAI).
En septembre 2023, l’obligation de respecter les règles de consentement (d’où l’apparition de fenêtres sur la plupart des sites internet) et l’élaboration d’une « Privacy Impact Assessment (PIA) » ont été introduites.
La dernière étape, en septembre 2024, concerne le droit à la « portabilité », en vertu duquel chacun peut demander une copie des données le concernant.
La loi prévoit des amendes maximales de 25 millions.
Une évaluation difficile
L’une des exigences qui semble la plus contraignante est l’évaluation des facteurs de confidentialité. Ce terme intimidant est expliqué par l’organisme chargé de mettre en œuvre la loi 25, le CAI, dans un guide de 60 pages.
C’est précisément sur cette obligation qu’Emeline Manson, formatrice en prévention de la fraude et en cybersécurité, a décidé de lancer un outil gratuit. Essentiellement, l’EFVP doit être rédigé pour toute entreprise qui offre des services impliquant des renseignements personnels ou qui les communique à l’extérieur du Québec.
PHOTO MATHIEU CHEVALIER, FOURNIE PAR EMELINE MANSON
Emeline Manson, formatrice en prévention de la fraude et cybersécurité et présidente du cabinet CY-clic
Là, on a une organisation qui regarde ça et qui se dit : « concrètement, qu’est-ce que je fais demain matin ? » C’est décourageant, vraiment décourageant.
Emeline Manson, formatrice en prévention de la fraude et cybersécurité et présidente du cabinet CY-clic
Le formateur n’aime pas le concept de « compliance », préférant mettre l’accent sur les comportements sécuritaires d’une entreprise.
« Notre objectif est vraiment de le rendre moins gros, de le rendre plus ludique, plus réconfortant, moins culpabilisant. C’est la réputation de la cybersécurité et du projet de loi 25 en ce moment d’être beaucoup culpabilisant. »
Petites étapes
Selon elle, il s’agit avant tout de faire le point sur les informations personnelles qu’une entreprise gère, d’établir comment elles sont stockées et de prendre des mesures efficaces pour les protéger.
« La Commission d’accès à l’information veut avoir la preuve qu’on a au moins posé la question. Si on ne la documente pas, si ce n’est écrit nulle part, c’est comme si on n’y avait pas réfléchi. Si la Commission vient nous voir, il faut qu’on puisse lui prouver qu’on a fait cette évaluation, qu’on a eu cette réflexion, qu’on a fait cette démarche. »
Plutôt que de terroriser les petites et moyennes entreprises avec des exigences insurmontables, Mmoi Manson dit préférer la « méthode des petits pas ». « Si tu vois toute la montagne, ça te décourage et tu ne fais rien. C’est pire que de le faire par petites étapes, de le faire du mieux qu’on peut et d’être capable de démontrer qu’on est dans un processus, qu’on a cherché à s’y conformer. »
Élargir le débat
Pour Nicolas Duguay, codirecteur général d’In-Sec-M, un organisme regroupant les acteurs clés de la cybersécurité, il faut voir le respect de la loi 25 dans une perspective plus large.
PHOTO CATHERINE LEFEBVRE, COLLABORATION SPÉCIALE ARCHIVES
Nicolas Duguay, co-PDG d’In-Sec-M
Depuis des années, le gouvernement du Québec encourage les organisations privées de toutes tailles à se numériser, mais sans s’assurer que des structures de cybersécurité soient présentes. Cela explique notamment pourquoi on assiste à une explosion des cyberattaques.
Nicolas Duguay, co-directeur général d’In-Sec-M
Plutôt que de se concentrer uniquement sur le respect de la loi 25, son organisation a mis sur pied un programme subventionné par le Québec, MaLoi25, qui intègre également ce qu’on appelle la « cyberrésilience ».
Jusqu’à présent, reconnaît-il, l’écoute des entrepreneurs a été, disons, minime.
« Je suis appelé à faire des discours, des présentations, je demande systématiquement aux gens : « Qui a entendu parler de la loi 25 ? » J’ai toujours une minorité de personnes qui lèvent la main. Il y a vraiment un manque de communication. »
En attente d’amendes
MaLoi25 propose un autodiagnostic comme point de départ, base d’un accompagnement offert par la suite à un tarif qu’on promet d’être « avantageux ». Si M. Duguay ne peut préciser ce qui ressort des milliers d’autodiagnostics effectués, il fait ce constat général : « C’est typique, et ce n’est pas seulement en termes de protection des renseignements personnels ou de cybersécurité : il y a une forme de candeur qu’on observe dans les entreprises ici. On attend de voir les sanctions. J’ai l’impression qu’il y aura un boom assez important des demandes pour le projet de loi 25, le jour où en La presse, Le Journal de Montréal ou à Radio-Canada, on verra qu’une telle entreprise a été pointée du doigt par le gouvernement du Québec et a été mise à l’amende. Ce qui n’est pas pour demain, évidemment. »
