Qu'est-ce qu'un renseignement personnel?

Cet article vise à définir ce que sont les renseignements personnels et insiste par le fait même sur l’importance que l’on doit leur accorder puisqu’ils possèdent une valeur inestimée pour les pirates informatiques. Il y est également souligné que plusieurs organisations en ont fait une utilisation irresponsable au courant des dernières années. En définitive, vous comprendrez comment le projet de loi 64 viendra remédier au traitement inadéquat des renseignements personnels par l’imposition d’exigences strictes en la matière.

‍

‍

Qu'est-ce qu'un renseignement personnel?

‍

Vos renseignements personnels ne sont rien de moins que votre identité. Ils vous rendent unique, servent à vous différencier et sont donc propres à chaque individu. Un renseignement personnel en vertu du projet de loi 64 sera essentiellement toute information concernant une personne spécifique et qui permet de l’identifier directement ou indirectement. Cette nouvelle définition élargie de renseignement personnel fait dorénavant en sorte que tout renseignement concernant un individu soit protégé par les dispositions de la loi.

‍

Considérant qu’un renseignement personnel constitue tout élément d'information pouvant être utilisé pour identifier une personne, cela comprendra donc le nom, l'adresse ou alors la date de naissance. On trouve également la catégorie de renseignements personnels plus sensibles, tels que le numéro d'assurance sociale, les données bancaires, les renseignements médicaux ainsi que les opinions politiques, la religion et les préférences sexuelles.

‍

‍

Pourquoi s’avère-t-il important de veiller à la protection de nos renseignements personnels?

‍

Chaque individu devrait attacher la même importance à ses renseignements personnels qu’à ses possessions les plus chères. Au même titre que nous jugeons nécessaire de poser des actions afin de protéger nos biens matériels, telles que barrer les portes de note véhicule ou d’installer un mot de passe sur notre téléphone intelligent, nous devrions tous veiller à appliquer le même genre de mesure vis-à-vis la protection de nos informations.

‍

Prendre ces précautions peut grandement aider à prévenir que vos renseignements personnels n’aboutissent ultimement entre les mains de personnes mal intentionnées et soient par exemple utilisés dans le but d’usurper votre identité. Nous savons tous qu'aujourd'hui les cybercriminels disposent d’outils sophistiqués pour arriver à pirater vos systèmes, leur permettant ainsi d’exploiter vos données en les vendant notamment sur le dark web, causant plus souvent qu’autrement des dommages irréversibles.

‍

Ces derniers temps, nous avons malheureusement réalisé que confier nos données personnelles à des institutions reconnues ne garantissait pas nécessairement leur sécurité. Les cybercriminels ont par conséquent profité des failles au niveau de la protection des données personnelles, ce qui leur a permis d’exploiter un nouveau secteur d’activité extrêmement lucratif.

‍

Une valeur inestimée aux yeux des pirates informatiques

‍

Les données sont le nerf de la guerre des opérations d’une entreprise et donc inévitablement de ses revenus. Une cyberattaque bien exécutée peut entre autres permettre aux pirates informatiques de prendre le contrôle des serveurs de l’organisation, en bloquant notamment l’accès par le cryptage des données dérobées, mettant ainsi les cybercriminels en position avantageuse de négociation. Également, la plupart du temps lors de ce genre d’attaque, des renseignements personnels sont compromis et dès lors exploités à plusieurs fins, dont l’usurpation d’identité.

‍

Les pirates informatiques savent pertinemment que les temps d'arrêt sont excessivement préjudiciables et coûteux pour une entreprise. Ils comptent ainsi sur le fait qu'en perturbant la continuité des activités, l'entreprise n'aura d'autre choix que de payer la rançon pour limiter les dégâts et reprendre ses activités le plus rapidement possible puisqu’il ne semble y avoir aucune autre alternative. Il n’est donc pas rare qu’une organisation se voit obligée de payer la rançon à titre de moindre mal afin de rétablir la situation et récupérer tout ce qui a été compromis, en souhaitant évidemment préserver sa réputation.

‍

Ce modus operandi fonctionne plutôt bien puisque plusieurs organisations décident de payer sans cependant divulguer l’avoir fait. Or il faut comprendre qu’à la base, cette industrie de la cybercriminalité ne serait pas aussi lucrative si les particuliers et les entreprises veillaient à être mieux informés quant aux mesures de sécurité à adopter en vue de protéger de manière proactive les renseignements personnels.

‍

‍

Pourquoi l’annonce du projet de loi 64 au Québec n’a pas eu un effet de surprise

‍

L’adoption du projet de loi 64 au Québec était longuement attendue. En effet, les nouvelles dispositions législatives ont été grandement justifiées par l'absence d'initiatives en matière de protection de la vie privée de la part des entreprises, par le manque flagrant de formation adéquate de leurs employés à cet effet, ou voire même par le non-respect des politiques en place. Ces mauvaises pratiques font courir inutilement des risques à de nombreuses personnes, dont certains seraient facilement évitables.

‍

Un bon exemple de l’impact de ce type d’incident s’avère le cas tristement célèbre au Québec de la plus grande violation de données financières de Desjardins au Canada. L’incident de confidentialité a touché 9,7 millions de personnes, ayant même affecté des utilisateurs inactifs chez Desjardins au moment des évènements. Les renseignements personnels volés comprenaient les noms de famille, les dates de naissance, les numéros d'assurance sociale, les adresses résidentielles, les numéros de téléphone, les adresses électroniques et l'historique des transactions.

‍

Nous sommes malheureusement témoins de ce genre d’histoire trop souvent dans l'actualité. Nous aurions d’ailleurs pu choisir n’importe quelle autre violation qui s’est produite au Québec puisque Desjardins est évidemment loin d’être la seule organisation à avoir été déficiente dans la protection des renseignements personnels détenus. Or, cet incident de confidentialité a été énormément médiatisé et Desjardins a par ailleurs fait face à des poursuites judiciaires, ce qui nous permet d'en connaître davantage et de pouvoir prendre les faits en question à titre d’exemple. (ITWorldCanada)

‍

‍

Voici donc les faits saillants entourant l’incident :

1. Les données ont été volées par un employé du service marketing qui avait un accès autorisé aux fichiers compromis et a donc pu télécharger les informations sur une clé USB.
2. Apparemment, le vol a eu lieu sur une période de 26 mois (entre 2017-2019) et les données ont été vendues à un prêteur privé.
3. Le service de police n’a identifié la violation que 26 mois après le commencement du crime par l’employé, soit en 2019.
4. La moitié des données volées étaient des renseignements personnels concernant des utilisateurs inactifs (environ 4 millions de personnes concernées).
5. Desjardins avait 13 politiques de confidentialité des données, lesquelles étaient soit incomplètes ou non appliquées.

‍

‍

Cette année, la Cour supérieure du Québec a approuvé le règlement de 200,9 millions de dollars de la poursuite en recours collectif contre Desjardins.

‍

Le fait que des incidents de cette nature se produisent de plus en plus démontrent que la sécurité et la confidentialité des renseignements personnels ne constituent tout simplement pas un élément prioritaire à prendre en compte pour les entreprises.

‍

Considérant cela, comment ainsi pouvons-nous prévenir ce genre d’évènement? Tout simplement en forçant les entreprises à devoir respecter des règles qui leur sont clairement dictées. D’où la raison de l’adoption d’une législation plus stricte applicable dès qu’il est question de procéder au traitement de renseignements personnels sur l’ensemble du territoire québécois et/ou pour chaque compagnie étrangère ayant des activités commerciales dans la province.

‍

Examinons donc maintenant comment le projet de loi 64 rétablira le manque de protection des renseignements personnels au Québec et comment les citoyens seront mieux protégés par cette nouvelle loi afin d’éviter d’autres cas semblables à celui de Desjardins.

‍

‍

Une nouvelle ère pour la protection des renseignements personnels au Québec grâce au projet de loi 64/ Loi 25

‍

Le Québec a récemment adopté sa loi la plus restrictive à ce jour en matière de protection des renseignements personnels, modernisant par le fait même de nombreuses lois dans la province visant la protection des données. En effet, le projet de loi 64 établit un nouveau cadre législatif beaucoup plus adapté à la réalité du cybermonde actuel de même qu’aux nombreuses vulnérabilités en ligne auxquelles font face les entreprises quotidiennement.

‍

À compter de septembre 2022, toutes les entreprises devront obligatoirement se conformer à la nouvelle loi lors du traitement de renseignements personnels. Les différentes dispositions du projet de loi 64 apportent des modifications majeures requérant des mises en œuvre graduelles qui s’échelonneront jusqu’à septembre 2024. Cependant, à noter que la grande majorité des changements devront être pleinement en application pour septembre 2023.

‍

Ces exigences plus strictes ont pour objectif de forcer les organisations à considérer sérieusement la protection de la vie privée et à se concentrer. Toute entreprise contrevenante se verra imposer de sévères pénalités, lesquelles auront sans contredit des conséquences désastreuses.

‍

En veillant à se conformer aux règles et mesures fixées par la loi, les organisations éviteront de nombreux incidents de confidentialité ou, du moins, s’assureront d’être mieux positionnées pour pouvoir en atténuer les dommages qui en découlent.

‍

Voici un bref aperçu des changements auxquels vous devez vous attendre du projet de loi 64/ Loi 25:

• Le projet de loi 64/Loi 25insiste sur la nécessité de former les employés non seulement en fonction des postes qu'ils occupent, mais également en les sensibilisant aux mesures de cybersécurité en général.
• Il sera crucial de restreindre l'accès interne aux données (afin d’éviter des situations comme Desjardins).
• Les externalisations et transferts de flux de données transfrontaliers s’accompagneront de règles strictes.
• Les évaluations des facteurs relatifs à la vie privée seront désormais la norme afin de jauger le risque concernant les renseignements personnels.
• Des politiques de gouvernance claires devront être publiées sur le site web de chaque entreprise. La majorité des aspects concernant le traitement visant la protection des renseignements personnels devra être divulguée dans ces politiques. Ce faisant, la loi s’assure de faire en sorte de responsabiliser les organisations relativement à chacune des actions posées ou omissions commises.
• Des mécanismes spécifiques pour la conservation et la destruction des renseignements personnels devront être mis en place afin de voir à respecter les dispositions de la loi. Ainsi tout renseignement personnel inutile ou non requis devra obligatoirement être détruit, advenant par exemple que l’objectif pour lequel il a été initialement recueilli a été atteint.

‍

Ce ne sont là que quelques-unes des nombreuses exigences auxquelles les entreprises devront se conformer afin de ne pas être tenues responsables de mesures de sécurité défaillantes. Voici une liste de toutes les exigences.

‍

À l'heure actuelle, nous nous trouvons dans une période de transition, c’est donc dès maintenant que les entreprises doivent procéder aux changements requis. Avec la mise en exécution du projet de loi 64 au Québec, il ne sera plus possible d’ignorer la protection de la vie privée et de ne pas la considérer en tant qu’élément crucial et essentiel des opérations d'une organisation. Les entreprises devront absolument s’assurer de respecter la conformité ou alors risquer d’en subir de lourdes conséquences.

‍

‍

Prochaines étapes.

‍

Vous avez des questions concernant le projet de loi 64 / Loi 25 ou le traitement que vous faites des renseignements personnels? Contactez-nous ici.

‍

Si vous êtes une entreprise, nous vous suggérons de jeter un coup d’œil à ce que peut vous apporter la formation sur le projet de loi 64 d'Assurance IT. En tant que pionnier dans ce domaine, nous offrons une formation complète de 8 heures qui décortique les différents changements apportés par la nouvelle loi québécoise et qui prépare notamment le délégué à la protection des données (DPD) aux mises en œuvre requises au courant des prochaines années.

‍