« Loi modernisant des dispositions législatives en matière de protection des renseignements personnels »
La réponse est claire : oui. Toute personne physique travaillant pour un employeur est et sera tenue responsable de ses informations personnelles ainsi que celles d`autrui. Un exemple simple mais très commun d’incident de confidentialité est l’inclusion intentionnelle ou accidentelle d’informations personnelles dans les profils de contacts Outlook et Google. Il s’agit de numéro de cellulaire, adresse courriel et physique personnelles, nom des enfants, NAS, dates d’anniversaires, etc se retrouvant normalement dans les bases de données d’une grande majorité des compagnies et institutions.
Or, il est plus qu`important de se sentir impliqué dès maintenant, car les répercussions légales pourront être graves, dépendamment de la nature des données en question.
Pourquoi « dès maintenant » ?
- En tant que Président ou Directeur Général, avez-vous nommé une personne responsable pour gérer le Dossier de la Loi 25 dans votre compagnie/institution, qui sera en charge de la protection des renseignements personnels?
Si la réponse est non, sachez que :
- Vous êtes en retard sur l`échéancier émis par le Gouvernement, (c’est exigé depuis le 22 septembre dernier), et
- La loi stipule qu’en tant que Leader de vos troupes, vous êtes délégué par défaut à prendre en charge le Dossier, et par conséquent vous serez tenu responsable des conséquences des incidents de confidentialité qui surviendront. Donc, ce n’est pas le temps de jouer à l`autruche ou de se sentir faussement à l`abris !
2 - Saviez-vous que tous les incidents de confidentialités DEVRONT être signalés à la Commission d`Accès à l`Information, (CAI) ? Également, si lesdits incidents confidentiels impliquent des membres du personnel, leurs actions devront être rapportées à la CAI. Vous devrez donc tenir à jour un registre documenté des incidents, qui sera mis à la disposition de la CAI si cette dernière en fait la demande.
3 - Savez-vous où se trouvent ces données sensibles, et de quel type de données s’agit-il ?
Il est primordial de mettre à niveau les processus de gouvernance et de conformité de votre compagnie/institution, afin de respecter les exigences de cette loi. Ce sera un défi de taille si vous êtes dans le noir, parce qu’on ne peut pas protéger et répertorier ce que nous ne voyons pas.
Ce récent chapitre dans ce monde exponentiel et en perpétuel changement de la Cybersécurité va faire couler beaucoup d’encre dans les mois et années qui viennent. La prochaine date butoir concernant la loi 25 est le 22 septembre 2023 et elle prendra effet à cette même date, en 2024.
L’équipe NOVIPRO peut vous accompagner afin de voir où vous vous situez, et par où commencer si ce n’est pas déjà fait.
Retrouvez également une conférence sur la Loi 25 qui a été faite lors de notre évènement CyberEX en cliquant ICI.
Auteur: Éric Distexhe, Spécialiste des ventes - Solutions Réseau et Sécurité - NOVIPRO
