La Loi sur la protection des renseignements personnels, c’est-à-dire toute donnée permettant d’identifier directement ou indirectement une personne, bat son plein et touche les organismes publics, les entreprises et les partis politiques provinciaux. En vigueur depuis 2022, elle sera achevée en 2024. Cette loi vise à renforcer la protection des informations personnelles des internautes et oblige les entreprises à obtenir un consentement éclairé des utilisateur·trices avant de collecter, d’utiliser ou de divulguer leurs informations personnelles. Une non-conformité peut être lourde de conséquences: on parle de pénalités pouvant aller de 2% à 4% du chiffre d’affaires.
Si la première phase de la loi en septembre 2022 était simple à implanter (soit désigner une personne responsable de la protection des renseignements personnels), les autres phases s’avèrent être un casse-tête complexe. La seconde phase, en place depuis fin septembre dernier, concernait notamment la mise en place des directives et des méthodes pour régir la gestion des données personnelles, en fournissant des informations claires et accessibles sur ces directives sur le site web de votre entreprise, en effectuant une évaluation des éléments concernant la protection de la vie privée, et en se conformant aux nouvelles règles concernant l’obtention du consentement pour la collecte de données. La phase 3, elle, entrera en fonction le 22 septembre 2024, ce qui signifie que chaque organisation devra être en mesure de communiquer tout renseignement personnel informatisé sur demande de la personne concernée.
D’après ce qu’observe le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l’Université de Sherbrooke, à peine 3 % des PME respectent les exigences actuelles de la Loi 25 et seulement 40 % des PME ont la ferme intention de s’y conformer. L’adoption est très difficile, selon le GRIC, puisque les PME se heurtent à plusieurs défis importants. Elles ne perçoivent notamment pas la complexité des pratiques d’affaires et technologiques à mettre en place. Selon une enquête par la Fédération des chambres de commerce du Québec (FCCQ), près de quatre entreprises sur dix, en particulier les petites et moyennes entreprises, déclarent ne pas comprendre toute l’ampleur des répercussions du projet de loi 25 sur leurs activités et n’ont pas encore mis en place de dispositifs solides pour la protection des renseignements personnels. Thomas Veynachter, directeur général pour le Québec de Neotrust, indiquait à La Presse ne pas être étonné de voir peu de PME lancer leur chantier de mise en conformité avec cette loi. Les entreprises européennes éprouvaient elles aussi des difficultés à s’y conformer lorsque le Règlement général sur la protection des données (RGPD) est arrivé en Europe.
Tant que vous n’êtes pas victime de cyberattaque, il est possible que la sécurité des données personnelles sensibles ne soit pas votre principale préoccupation. Et pourtant, saviez-vous que les cyberattaques se produisent toutes les 39 secondes ? Les risques sont préjudiciables et peuvent atteindre votre crédibilité, votre réputation envers vos clients, fournisseurs et employé·es. Selon un rapport de KPMG, plus de six PME québécoises sur dix ont été touchées par la cybercriminalité dans la dernière année. «Les petites et moyennes entreprises ont de nombreuses priorités d’affaires concurrentes et leurs capitaux et ressources sont souvent limités, ce qui en fait une cible», a déclaré Guillaume Clément, associé, services de cybersécurité, et président de KPMG Egyde Conseils Inc. par voie de communiqué. «Une atteinte à la cybersécurité peut être coûteuse et nuire aux opérations et à la réputation. Bien que de nombreuses PME ne pensent pas avoir les moyens d’embaucher des équipes de cybersécurité à temps plein, plusieurs options s’offrent à elles. Elles ne peuvent pas se permettre de laisser leurs opérations exposées à des criminel·les. Elles doivent évaluer régulièrement leurs vulnérabilités et prendre des mesures pour protéger leurs opérations.» De plus, suite à une cyberattaque, 60 % des petites entreprises font faillite.
Les options pour se conformer à la loi — si ce n’est pas déjà fait — sont vastes. Plusieurs entreprises peuvent accompagner les PME dans leurs démarches. Du financement est même disponible via maloi25.ca. Pour rappel, Meta a écopé, en Europe, d’une amende de 1,2 milliard d’euros — un record — pour avoir enfreint le RGPD, soit l’équivalent à la Loi 25 québécoise, ce printemps. Mais au-delà de la simple observance de la loi, la conformité en matière de protection des données personnelles repose sur la confiance et le respect envers vos collaborateur·trices. En sécurisant leurs données, vous démontrez votre engagement envers leur sécurité et leur vie privée. C’est un pensez-y-bien.
