Loi 25 : Conformité et optimisation de nos pratiques en cybersécurité
Dans l’histoire récente, nous avons été témoins de nombreux scandales sur la vie privée qui ont causé bien des maux de tête. En réponse à cela, le gouvernement du Québec a choisi de prendre de nouvelles dispositions pour protéger la vie privée des Québécois sous la forme de la Loi 25. Adoptées et mises en place progressivement depuis septembre 2022, ces nouvelles dispositions entreront en vigueur complète d’ici septembre 2024. Voici comment nventive s’y prépare et comment nos experts renforcent nos mesures de cybersécurité déjà en place.
Les incidents comme la fuite de données chez Desjardins, Equifax ou Cambridge Analytica ont engendré un sentiment général de manque de transparence dans l’exploitation des données récoltées en ligne, dû à des lacunes dans les pratiques en entreprise et à des pratiques commerciales parfois trompeuses. Il devenait essentiel de garantir une expérience en ligne plus sécuritaire pour l'ensemble des utilisateurs.
L’Europe a d’abord ouvert la voie en mai 2018 avec le Règlement général sur la protection des données (RGPD), puis le Québec a emboîté le pas avec la Loi 25 visant à moderniser notamment la Loi sur la protection des renseignements personnels dans le secteur privé datant de 1994. Ces nouvelles obligations s’appliquent à toutes les organisations traitant des données personnelles de leurs utilisateurs. « Elles renforcent la protection des renseignements personnels et responsabilisent les entreprises, offrant à chaque citoyen un contrôle plus accru sur l'utilisation de ses données personnelles, sous peine de sanctions financières », souligne Christelle Lopez, Product Owner et membre du comité sur la conformité chez nventive.
Qu’est-ce que ça représente pour une entreprise de services comme nventive?
Nos experts travaillent activement sur un vaste éventail de projets auprès de nombreux clients en Amérique du Nord. Étant une entreprise qui offre des services de développement de solutions numériques, les produits qui en découlent sont exploités par nos clients et leurs utilisateurs. Nous nous assurons alors que les données de chaque projet soient stockées de manière sécuritaire directement chez eux, puisqu’ils en sont les uniques propriétaires une fois la solution numérique lancée.
Nous restreignons l'accès aux données de chaque projet (backlog, requis métiers, code...) aux personnes ayant un rôle autorisé. Si elles sont stockées dans le Cloud, comme c’est souvent le cas, nous faisons en sorte que les données demeurent dans des régions géographiques en accord avec les réglementations en vigueur. À tout moment, le client conserve le plein contrôle, et nous prenons toutes les mesures nécessaires afin de révoquer les accès superflus à la fin du projet, assurant ainsi une conformité totale.
Il nous est tenu de bien connaître les nouvelles règles de la Loi 25 afin de conformer nos propres pratiques internes, mais notre rôle auprès de nos clients est plutôt de les accompagner dans l’adoption de ces nouvelles mesures. Nous ne sommes pas les garants de cette nouvelle loi. Nous les renvoyons plutôt vers les services juridiques appropriés pour que chaque client établisse son propre cadre en réponse à ces nouvelles obligations.
Mise au point des pratiques internes
S’il s’agit de votre première visite sur notre site, en naviguant sur cet article, vous avez peut-être été sondés d’un « pop-up » pour divulguer notre utilisation de témoins de navigation (« cookies ») et vous demander votre autorisation de les utiliser. Effectivement, comme toute entreprise œuvrant sur le web pour renforcer ses canaux de communications, notre équipe marketing récolte et analyse le trafic et les actions posées sur les différentes pages du site afin d’offrir une meilleure expérience de navigation et présenter du contenu personnalisé et ciblé.
Avec votre consentement, ces données sont d’abord anonymisées puis stockées chez nous, le tout détaillé explicitement dans notre politique de confidentialité. Elle régit également le stockage d’une panoplie de données internes qui se doivent d’être conservées sécuritairement sur nos serveurs (ressources humaines, finances, prospects de vente, etc.)
Notre politique d’entreprise s’est donc aussi value une modernisation nécessaire suite à la mise en place de la Loi 25. Heureusement, nos processus déjà très rigoureux établis par nos experts en cybersécurité n’ont nécessité qu’une simple mise au point pour mieux s’y conformer.
Parmi les nouveaux éléments essentiels prévus par la loi, nous avions déjà mis en place un registre des incidents contenant de nombreux détails au fil des années, ainsi qu’un plan de réponse éprouvé. En plus des contrôles indispensables de cybersécurité élaborés par nos experts, la demande de consentement aux témoins de navigation était déjà active, comprenant les détails clairs sur leur utilisation, et notre responsable de la protection des renseignements personnels avait été désigné depuis longtemps afin d’encadrer la gouvernance des données.
Pour s’y conformer davantage, nos experts en cybersécurité se sont assurés de documenter et de veiller à la transparence de nos politiques, notamment sur le processus de collecte, la conservation, la destruction et l’anonymisation des données personnelles. « Il fallait entre autres s’interroger sur les fournisseurs de services avec qui nous faisons affaire pour déterminer où sont stockées nos données externes et ce qu’ils font avec, s’assurer que les informations sur le site web soient facilement accessibles, veiller à ce que seulement certains rôles puissent avoir un accès privilégié à certaines données à l’interne, tout ça en agrémentant nos politiques au maximum », explique Francis Venne, responsable de la sécurité informatique chez nventive.
Ce qu’il faut retenir
La première chose à faire, peu importe où vous en êtes dans vos démarches, c’est de s’assurer d’obtenir les meilleurs conseils légaux afin que toutes les mesures soient mises en place et correspondent à votre utilisation des données personnelles de vos utilisateurs. Aucune compagnie n’est identique, et les conseils que nventive a reçus sont uniques à nos pratiques d’entreprise. Mal se conformer ou omettre de le faire peut mener à des amendes très salées.
En suivant de bons conseils juridiques, veillez à comprendre le parcours des données de vos clients une fois le consentement reçu, révisez vos mesures de cybersécurité et maintenez-les à jour. Protéger ses utilisateurs et leur garantir une navigation sécuritaire fait partie d’un processus continu.
Choisir de faire affaire avec nventive, c’est s’assurer d’être du bon côté de la loi. Notre équipe en connaît bien les tenants et aboutissants et, en collaboration avec votre équipe légale, nous veillons à ce que votre solution comporte les fonctionnalités essentielles pour assurer sa conformité.
Les renseignements affichés sur le site Web de nventive sont généraux et fournis à titre informatif seulement. Rien de ce qui y figure n’est un conseil ou un avis juridique. Vous devez consulter un avocat avant de vous fier à toute information affichée par nventive.