Or un sondage récent de la FCCQ démontre que 4 entreprises sur 10 ne comprennent pas les effets de la loi 64 sur leurs activités, dans un contexte où la plupart des compagnies ne disposent que d’un faible niveau de maturité concernant la gestion de la confidentialité des données.
La Québec garde en mémoire le vol massif des données des membres du Mouvement Desjardins, qui a démontré, les conséquences d’une gestion négligente des données personnelles.
Le législateur avait certainement en tête cette mésaventure, en adoptant le 21 septembre 2021 le projet de loi 64, qui modernise les dispositions applicables en matière de protection des renseignements personnels.
La loi, inspirée du RGPD (le Règlement général sur la protection des données) de l’Union européenne, s’applique à toute entreprise privée ou publique, au sens du Code civil du Québec, qui collecte, détient, utilise ou communique des renseignements personnels.
Selon la ligne du temps ci-dessous, les entreprises ont jusqu’au 22 septembre 2022 pour nommer un responsable de la protection des renseignements personnels et se doter d’un plan de réponse à incident de confidentialité.
Elles ont jusqu’au 22 septembre 2023 pour adopter et diffuser une politique de gouvernance des données, et jusqu’au 22 septembre 2024 pour se conformer à la portabilité des données, en permettant ainsi aux clients de récupérer leurs informations personnelles.
Les risques de pénalités applicables en 2023 forcent aujourd’hui les entreprises à répondre aux questions suivantes :
Vous devriez dès maintenant adopter la stratégie de la tortue, car la route pourrait être longue, et les tâches et interdépendances trop nombreuses pour que vous soyez en mesure de bruler les étapes.
Pour être en mesure d’identifier les changements que vous devez effectuer et les ressources dont vous aurez besoin, vous pourriez adopter une démarche qui pourrait être résumée comme suit.
Pour de nombreuses compagnies, en particulier des PME, il va dès lors s’agir de changer la façon d’envisager la protection des données, et de rehausser, sans attendre, leur degré de cybersécurité.
C’est qu’en effet, il est devenu plus important que jamais de mettre la confidentialité des données, et en particulier celles associées aux renseignements personnels, en pratique.
Ce faisant vous faites coup double. Non seulement vous vous adaptez au paysage actuel des menaces, mais vous vous préparez en même temps au PL 64.