Le récent sondage 2018 de CIRA sur la cybersécurité a rapporté que 38 pour cent des entreprises canadiennes ne connaissaient pas suffisamment les exigences de la LPRPDE.
Si vous en avez assez des acronymes sur la protection de la vie privée sur Internet, j’ai une mauvaise nouvelle pour vous… La Loi sur la protection des renseignements personnels et les documents électroniques, que nous appellerons ici LPRPDE pour simplifier les choses, est l’équivalent canadien du RGPD (GDPR en anglais) de l’Union européenne et elle fera l’objet de grands changements en novembre.
Bien qu’elle ne soit probablement pas aussi embêtante que le RGPD, il y a fort à parier que vous en entendrez beaucoup parler dans les prochains jours et les prochaines semaines. Pour vous préparer, passons rapidement en revue quelques-unes des raisons pour lesquelles vous devriez vous intéresser à la LPRPDE :
- Elle sera bientôt modifiée. D’importants changements seront apportés à la LPRPDE le 1er novembre 2018. Ces changements auront des répercussions significatives pour les entreprises canadiennes de toutes tailles.
- Vous ne pouvez plus l’ignorer. Si vous n’aviez pas de clients européens, le RGPD n’était qu’une fenêtre intempestive sur laquelle vous deviez cliquer sur le site Web d’un tiers plutôt qu’un règlement avec lequel vous deviez composer. La LPRPDE ne pourra être ignorée.
- C’est toute une affaire. Les nouvelles exigences en matière de déclaration obligatoire des atteintes à la sécurité des données sont le changement le plus significatif à la LPRPDE. Toute atteinte aux données que vous avez recueillies doit être déclarée au Commissariat à la protection de la vie privée et aux individus touchés, et votre entreprise doit conserver des archives de toutes ces atteintes.
- Il y a de fortes chances que vous collectiez des données. Les atteintes aux données ne sont plus seulement l’affaire des grosses sociétés en ligne; si vous conservez des dossiers de clients qui pourraient servir à identifier des individus, la LPRPDE s’applique sans doute à votre entreprise. Cela signifie des numéros de carte de crédit, des données GPS, des adresses personnelles ou des adresses électroniques.
- Elle s’accompagne de pénalités. Les changements à la LPRPDE s’accompagnent maintenant d’amendes pour non-conformité pouvant aller jusqu’à 100 000 $. Bien que ces amendes soient loin d’être aussi élevées que celles du RGPD, elles ne sont probablement qu’un début.
- Vous devez agir. Les changements à la LPRPDE exigent que les entreprises mettent en place des mesures de protection des données recueillies. Ces mesures peuvent aller de l’installation de verrous sur des classeurs au cryptage des données en passant par la mise en place d’un pare-feu DNS. La cybersécurité représente maintenant un devoir important envers vos clients et elle comporte la nécessité de s’assurer que tous ceux qui ont accès à des renseignements personnels comprennent leur responsabilité (par exemple en choisissant un mot de passe autre que « motdepasse123 »).
- Il vous faut un plan. Même les petites entreprises sont exposées à des atteintes aux données maintenant que les outils de piratage sont accessibles à tous ceux qui ont une connexion Internet. Chaque entreprise doit avoir un plan d’intervention en cas d’atteinte, elle doit comprendre le type de données qu’elle conserve et elle doit savoir qui est responsable de surveiller et de signaler les problèmes.
Vous trouverez ici un excellent aperçu des changements apportés à la LPRPDE : https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2018/nr-c_181029/
Alors, pourquoi est-ce toute une affaire?
Le récent sondage 2018 de l’ACEI sur la cybersécurité a rapporté que 38 pour cent des entreprises canadiennes ne connaissaient pas suffisamment les exigences de la LPRPDE — et le sondage portait sur les anciennes exigences.
Niveau de connaissance de la réglementation canadienne sur la LPRPDE
Avec les nouveaux changements du 1er novembre, il est probable que le nombre d’entreprises canadiennes qui ne sont pas informées de leurs nouvelles responsabilités soit beaucoup plus élevé. La mise en œuvre du RGPD a peut-être entraîné une certaine lassitude envers la question de la protection des données personnelles, mais il est peu probable que ce problème disparaisse.
Notre sondage auprès des entreprises canadiennes a aussi découvert que 59 pour cent des répondants conservent des renseignements personnels. Ces renseignements peuvent être des données provenant de clients, de fournisseurs, de partenaires ou de vendeurs, et il semble probable que ce pourcentage soit lui aussi plus faible qu’il ne l’est réellement en raison du manque de compréhension de ce qui constitue un renseignement personnel.
De nos jours, presque toutes les entreprises recueillent des renseignements personnels quelconques et même un bulletin électronique peut mettre une entreprise en danger. Alors que les entreprises canadiennes prennent davantage conscience des risques et des enjeux liés à la protection des données, le besoin en ressources devient criant. Et alors que les grandes entreprises ont les moyens financiers d’embaucher pour combler ce besoin ou d’externaliser leur cybersécurité, les petites entreprises sont souvent mal équipées pour le faire.
Une dernière statistique a été laissée de côté par le rapport même si elle faisait partie du sondage : seulement 42 pour cent des répondants étaient au courant des changements à venir quant aux exigences de divulgation de la LPRPDE. Et bien, vous voilà maintenant au courant.
Spencer Callaghan gère les communications des produits pour CIRA. Auteur et ancien journaliste, il a acquis tout au long de sa carrière de l’expérience en technologie ainsi que dans les milieux des OSBL et des agences. Ses domaines d’expertise comprennent le marketing de contenu, les médias sociaux, l’image de marque et les relations publiques.
