Parce que… c’est l’épisode 0x633!

Shameless plug

• 12 au 17 octobre 2025 - Objective by the sea v8


• 14 et 15 octobre 2025 - ATT&CKcon 6.0


• 14 et 15 octobre 2025 - Forum inCyber Canada
  
  
  
  • Code rabais de 30% - CA25KDUX92
  
  
  
  


• 4 et 5 novembre 2025 - FAIRCON 2025


• 8 et 9 novembre 2025 - DEATHcon


• 17 au 20 novembre 2025 - European Cyber Week


• 25 et 26 février 2026 - SéQCure 2026

Description

Introduction

Ce podcast explore les enjeux de la protection des renseignements personnels (PRP) pour les petites et moyennes entreprises québécoises, particulièrement dans le contexte de l’entrée en vigueur de la Loi 25. Cette nouvelle législation a bouleversé le paysage réglementaire et créé beaucoup d’incompréhension et d’inquiétude chez les entrepreneurs.

Qu’est-ce qu’une information personnelle ?

La définition d’une information personnelle varie selon les lois et les juridictions, mais de façon générale, il s’agit de toute information capable d’identifier une personne de façon unique ou relativement unique. Le numéro d’assurance sociale (NAS) en est l’exemple parfait, identifiant de façon unique chaque personne. Une adresse peut également être considérée comme une information personnelle selon le contexte, tout comme un numéro de téléphone ou des numéros uniques attribués en entreprise.

Il est important de noter qu’une information sur une entreprise en tant qu’entité n’est pas un renseignement personnel. Toutefois, si l’information concerne une personne précise au sein de cette entreprise, elle peut le devenir. Par exemple, l’adresse d’une entreprise avec un numéro d’extension n’est pas une information personnelle, mais des photocopies de passeport ou des NAS d’employés le sont, même s’il s’agit de clients ou de travailleurs étrangers.

Les enjeux pour les PME

Le premier défi majeur pour les PME est de savoir où existe cette information. Les entreprises ont souvent très peu d’outils et peu de familiarité avec ce genre de préoccupations. Il faut identifier dans quels fichiers, ordinateurs, téléphones intelligents ou autres supports se trouvent ces données. Cette étape de répertoriage représente un énorme défi en soi.

Une fois l’information répertoriée, il faut mettre en place des mesures de protection adéquates pour traiter cette information de façon sécuritaire et éviter qu’elle se retrouve dans une fuite de données, dans des dossiers jetés à la poubelle ou sur des disques durs vendus sans avoir été effacés.

Qui est concerné ?

Au sens de la loi, le plus haut dirigeant ou propriétaire de l’entreprise détient la responsabilité légale de cette information, bien qu’il puisse la déléguer à quelqu’un d’autre. Il est essentiel d’établir une culture d’entreprise pour que tous les employés reconnaissent l’information personnelle et agissent en conséquence.

L’expérience de Nicolas-Loïc Fortin avec les normes PCI-DSS dans le domaine de la gestion des cartes de crédit l’a amené à recommander de cloisonner cette information au plus petit nombre de personnes possible. En limitant les contacts et les systèmes ayant accès à ces données, on résout une grande partie des problèmes de conformité et de protection, permettant de concentrer les énergies sur un nombre réduit de systèmes et de personnes.

Les obligations de la Loi 25

Le changement majeur qu’apporte la Loi 25 concerne l’introduction de pénalités financières en cas de fuite de données. C’est ce qui explique l’attention accrue portée à cette question. La loi impose également de surveiller la localisation des données et de s’assurer que les fournisseurs accordent la même attention à ces informations.

La situation est d’autant plus préoccupante que les fuites de données sont en croissance au Québec, au Canada, en Europe et ailleurs. Les attaquants n’hésitent plus et utilisent même ces lois contre les entreprises, menaçant de déposer une plainte à la Commission d’accès à l’information si la victime refuse de payer une rançon, créant ainsi une double pression financière.

Le registre des incidents

Un aspect particulier et contre-intuitif de la loi concerne le registre des incidents. Un incident d’information personnelle n’est pas nécessairement informatique : envoyer une lettre ou un relevé de compte à la mauvaise adresse constitue un incident de confidentialité qui doit être consigné dans un registre, avec mention des mesures correctives prises. Le champ d’application de la loi dépasse donc largement l’informatique.

Le responsable désigné

La loi exige qu’un responsable soit identifié et que ses coordonnées soient publiées sur le site web de l’entreprise. Par défaut, il s’agit du plus haut dirigeant ou propriétaire, mais cette responsabilité peut être déléguée. Il existe même la possibilité de déléguer ce rôle à un tiers externe, une pratique courante en Europe où des entreprises se spécialisent dans ce domaine pour guider les organisations sans nécessairement déployer les solutions elles-mêmes.

Ce n’est pas un titre honorifique, mais bien une démarche s’inscrivant dans la maturité organisationnelle de l’entreprise, bien que cette maturité soit en quelque sorte forcée par la loi.

Les sanctions

Les pénalités prévues peuvent atteindre jusqu’à 4 % du chiffre d’affaires de l’entreprise, ce qui peut représenter un montant considérable. Toutefois, la Commission d’accès à l’information dispose d’un pouvoir discrétionnaire. Si une entreprise démontre avoir fait des efforts réels et visibles, la pénalité sera moindre, voire inexistante. À l’inverse, une entreprise négligente s’expose au maximum des pénalités possibles.

L’évaluation des facteurs relatifs à la vie privée (EFVP)

Pour les PME, cet exercice peut s’avérer très lourd et parfois futile, sauf pour celles qui manipulent exclusivement de l’information personnelle. L’approche recommandée consiste à limiter autant que possible l’information conservée et à ne garder que ce qui est nécessaire. Cette stratégie permet d’éviter un exercice fastidieux dont l’efficacité n’a pas encore été testée par la Commission d’accès.

L’accompagnement et les ressources

Bien que l’avocat ait le dernier mot en matière d’interprétation de la loi, plusieurs professionnels en technologies de l’information ou en cybersécurité possèdent des compétences dans ce domaine et peuvent guider les PME dans la sélection d’outils appropriés. Cependant, dès qu’un incident impliquant de l’information personnelle survient, ce sont des avocats spécialisés qui interviennent pour évaluer la portée des dommages et déterminer les mesures correctives.

Il est donc préférable de consulter un avocat avant qu’un incident ne survienne plutôt que de devoir gérer une situation complexe avec un “breach coach” dans l’urgence.

La cyberassurance

La souscription à une cyberassurance est fortement recommandée. Au-delà de la couverture financière, ces assurances fournissent généralement l’accès à un avocat et à une firme spécialisée en cybersécurité pour accompagner l’entreprise. Les assureurs exigent de plus en plus de prérequis, ce qui force les entreprises à améliorer leurs pratiques. Leurs formulaires sont de plus en plus complexes et obligent à mettre en place des mesures concrètes comme le chiffrement des données et des sauvegardes adéquates.

Conclusion

Malgré la volonté du législateur de sensibiliser les PME à la protection des renseignements personnels, l’accompagnement gouvernemental demeure insuffisant comparativement à d’autres pays. Beaucoup de PME se sentent laissées à elles-mêmes, et cette obligation s’ajoute à leurs contraintes existantes. Il faudra probablement attendre quelques cas médiatisés de pénalités importantes pour que les propriétaires de PME prennent pleinement conscience de l’importance de cette protection. Cette loi vise ultimement à protéger les citoyens dont les informations personnelles pourraient être manipulées de façon négligente et qui en subiraient les conséquences réelles.

Collaborateurs

• Nicolas-Loïc Fortin


• Claude Mercier

Crédits

• Montage par Intrasecure inc


• Locaux réels par Intrasecure inc