Cybersécurité : Plus d’un tiers des entreprises québécoises ne sont pas conformes au projet de loi 25 !
13 février 2023
Le 22 mars prochain, le duo Emeline Manson, formatrice en prévention des fraudes et cybersécurité, et Erwan Jonchères, avocat associé et responsable du pôle data de Lex Start Avocats, donneront la formation Loi 25, protection des données et protocoles de cybersécurité. Un webinaire qui vient à point nommé, considérant le « manque de préparation » des entreprises face à une loi déjà partiellement en vigueur.
Depuis le 22 septembre dernier, les entreprises ont de nouvelles responsabilités à observer en termes de protection des données. Les deux plus importantes – et les plus pressantes – sont de nommer un Responsable de la protection des données personnelles (RPDP) et mettre en place un registre des incidents de confidentialité.
Ce qui est inquiétant, c’est qu’une portion d’entreprises continuent de se traîner les pieds, malgré le fait que les dispositions sont déjà effectives. Selon un sondage de Varibase mené à l’automne dernier, 35% entreprises québécoises avouent ne pas être conformes au projet de loi 25. Dans le cas des petites entreprises (revenus inférieurs à 1 M$), le pourcentage de non-conformité avoisine les 60%!
L’été dernier, plusieurs entreprises n’étaient même pas au courant qu’une nouvelle loi s’en venait, explique Emeline Manson, qui n’est pas surprise par les résultats du sondage. Puis, sachant qu’il y aura un délai de carence avant que les sanctions soient appliquées, certains choisissent d’attendre à la dernière minute, en se disant : on verra ce que ça donne… »
Erwan Jonchères, avocat associé et responsable du pôle data de Lex Start Avocats, peut comprendre d’où vient l’inertie observée dans les petites entreprises.
On nous a toujours dit que la technologie, c’était rapide, facile et agréable; or, on se rend compte que pour avoir un environnement sécuritaire, il y a toute une série de comportements à adopter, qui ne vont pas toujours de soi. C’est pourquoi il est important de former et de sensibiliser les équipes de travail. »
Pour l’avocat, la première étape de conformité est de rapidement nommer un RPDP et de définir son rôle. D’ailleurs, les chefs d’entreprise seront intéressés de savoir que, en l’absence d’un responsable explicitement désigné, ils en assument de facto le rôle.
Plutôt que de s’enliser dans des questions de non-conformité, Québec a décidé de désigner automatiquement le chef de l’entreprise à titre RPRP. Si le chef d’entreprise ne veut pas l’être, en raison d’un manque de temps, d’énergie ou de compétence, il peut déléguer ce rôle à l’interne ou à l’externe. Et Dieu sait que les dirigeants d’entreprises ont d’autres priorités en tête!»
Mettre l’humain avant la machine
Au-delà des nominations, se conformer à tous les aspects de la loi 25 demande un changement de culture à l’intérieur de l’entreprise, rappelle Emeline Manson.
Ce n’est pas une formation d’une heure qui va régler la question. Il s’agit d’un processus, et non d’une course. Il faut y aller pas à pas, une étape à la fois. Il faut développer une culture interne de cybersécurité. Et ça implique une gestion du changement. »
La cybersécurité, rappelle-t-elle, est une affaire « humaine » avant d’être « technologique ».
Une solution technologique qui est très bonne aujourd’hui… sera peut-être moins efficace demain, parce que la technologie évolue très rapidement. Miser sur l’humain est un meilleur choix, parce qu’il va pouvoir s’adapter. »
À travers la formation, Emeline Manson et Erwan Jonchères amènent justement les utilisateurs à adopter des comportements numériques plus sécuritaires.
Découvrez la formation :
Sur le même thème
Cybersécurité • Formation