ÉFVP: connaissez-vous cette conformité trop souvent oubliée de la Loi 25 ?
17 novembre 2024
Depuis ce mois de septembre, de nouvelles obligations liées à la protection des données sont entrées en vigueur. En prenant un pas de recul, Emeline Manson, formatrice en prévention des fraudes et en cybersécurité, s’est rendue compte que le rapport d’Évaluation des Facteurs relatifs à la Vie Privée (ÉFVP) était l’une des modalités trop souvent oubliée par les entreprises. Voyons de quoi il s’agit.
Isarta Infos : La Loi 25 a suivi une entrée progressive de 2022 à 2024. L’obligation de faire une évaluation des facteurs de risques relatifs à la vie privée, est-ce une nouvelle obligation de cette année?
Emeline Manson: Non. En fait, elle est obligatoire depuis 2023. Si on n’insiste pas toujours là -dessus, c’est que les entreprises ont beaucoup de retard dans leur démarche de conformité. Et que ce n’est pas nécessairement l’élément prioritaire à faire, si on n’a pas encore de politique de protection des renseignements personnels sur son site Web. Or, maintenant que toutes les obligations sont en vigueur, ça m’apparaît un bon moment de formuler un rappel.
De quoi s’agit-il, donc?
E. M. : La loi 25 décrit trois situations où il faut mener une « évaluation des facteurs de risques relatifs à la vie privée ».
- Première situation : si on change un système informatique ou une application dans lesquels il y a des renseignements personnels [article 3.3].
- Deuxième situation : si on communique des renseignements personnels à un tiers parti pour un projet de recherche ou de production statistique [article 21].
- Troisième situation : si on communique des renseignements personnels à l’extérieur du Québec. Ce dernier point concerne la plupart des gens, puisque nous utilisons des plateformes américaines comme Google ou Facebook.
C’est une évaluation ponctuelle, donc? Pas besoin de la refaire, année après année.
E. M.: Exact.
Quelle forme prend ce rapport ? Existe-t-il un modèle à suivre?
E. M. : Sur le site de la Commission d’accès à l’information, il y a un document de 50 pages expliquant comment faire ce rapport. Toutefois, ça demeure très théorique. Pour aider les entreprises à se conformer à cette obligation de la loi, j’ai créé ce gabarit gratuit à remplir en format Word. Pour produire son rapport, il suffit de lire une explication de cet aspect de loi, trois scénarios fictifs puis de répondre aux questions.
Quel type d’information doit se trouver dans ce rapport ?
E. M. : Le but est d’amener les entreprises à réfléchir aux questions suivantes :
- Quels sont les renseignements personnels en ma possession et où sont-ils ?
- Où sont les serveurs ?
- Quelles sont les lois en vigueur à cet endroit ?
- Quels sont les risques possibles, s’il arrive un incident?
- Quelle est la gravité pour nous?
- Qui sera touché : les employés, les clients, les dirigeants ?
Nous avons créé des listes à points pour aider les entreprises à ne rien oublier.
Pour résumer, quel est l’esprit de cette obligation ? Pourquoi le gouvernement demande cela?
E. M. : C’est pour amener les entreprises à poser la question : est-ce que mes renseignements personnels sont en sécurité. La réponse courte, la plupart du temps, c’est oui. Ils sont en sécurité, surtout lorsqu’on utilise de grandes plateformes reconnues. Toutefois, ça n’empêche pas qu’il faille faire ces rapports, pour se conformer à la loi.
Sur le même thème
Cybersécurité