Loi 25 : la protection des données personnelles en construction

Avec les avancées technologiques viennent plusieurs avantages, dont la rapidité de compilation des données et la facilité à centraliser plusieurs informations. Néanmoins, qui dit croissance fulgurante des connaissances en informatique et vaste accessibilité aux outils numériques, dit aussi augmentation des risques de piratage et enjeux concernant la protection d’un haut volume de renseignements sensibles.

En effet, en tant qu’entrepreneur, vous récoltez sans doute régulièrement plusieurs données personnelles et professionnelles, notamment les coordonnées de vos clients, les NAS de vos employés, des renseignements bancaires et bien plus. Et, cela va de soi, il est de votre responsabilité d’assurer la confidentialité de tous ces éléments. 

Comment assurer la protection des données personnelles et professionnelles d'une entreprise?

Source: Canva

Avant tout, décortiquons un peu les bases du vocabulaire se rapportant au sujet de ce blogue.

Un renseignement personnel se décrit comme suit :

Renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier (nom, date d’anniversaire, numéro d’assurance sociale, adresse de résidence, adresse courriel, etc.).

Une politique de confidentialité se caractérise comme suit :

Présentation de pratiques et mesures instaurées par une entreprise pour assurer la protection des renseignements personnels d’une personne. La politique vise à informer le public cible du sérieux de l'engagement à protéger les données recueillies et à l’aider à consentir de manière éclairée.

Un risque de préjudice se définit comme suit :

Acte ou événement susceptible de porter atteinte à la personne concernée ou à ses biens. Il s’agit donc d’une situation qui pourrait nuire à ses intérêts, l'humilier, atteindre sa réputation, causer des pertes financières ou préjudicier son dossier de crédit, l’exposer à un vol d’identité, lui faire perdre son emploi, etc.

Un incident de confidentialité se présente comme suit :

Accès non permis, utilisation et communication non autorisée, ou encore perte d’un renseignement personnel. Il peut s’agir, entre autres, d’un employé qui dépasse ses droits et fonctions en fouinant ou en usurpant une identité, d’une fuite accidentelle comme un courriel envoyé au mauvais destinataire, d’une cyberattaque, de la perte ou du vol d’une clé USB contenant une banque de données, et ainsi de suite.

Comment collecter des renseignements personnels légalement?

La transparence des entreprises canadiennes envers les personnes de qui elles collectent les données personnelles est obligatoire.

Vous devez donc :

1. Expliquer comment les données seront collectées (téléphone, logiciel, soumission, formulaire, etc.)

2. Informer à quoi serviront les données (communication, contrat, infolettres, rabais exclusifs, paiements, etc.)

3. Collecter uniquement les informations utiles et justifiables aux objectifs (nul besoin des informations bancaires du client si celui-ci paye au comptoir, ni d’une date de naissance pour l’inscrire aux courriels promotionnels, par exemple)

4. Ne pas communiquer les renseignements à un tiers sans le consentement de la personne concernée et préciser à qui et pourquoi ils doivent être divulgués (exemple : un entrepreneur en construction qui doit fournir les informations d'un client à un spécialiste pour qu'il fasse les travaux de plomberie ou d’électricité)

5. Spécifier que la personne peut retirer son consentement à l’utilisation de ses renseignements

6. Mentionner les droits d’accès et de rectification prévus par la loi

7. Conserver les données pour une période logiquement nécessaire

Comment rédiger une politique de confidentialité?

Bien que les lois ne stipulent pas de réglementations formelles à ce sujet, la politique de confidentialité idéale à mettre à la disposition de vos clients doit être facile à trouver et écrite en des termes simples à comprendre.

Elle devrait inclure ces éléments :

1. Une courte description des activités et services de votre entreprise

2. Le nom et les coordonnées de l’entreprise qui collecte les renseignements (probablement la vôtre, mais peut-être aussi une plateforme de mise en relation telle que la nôtre) 

3. Le nom et les coordonnées du responsable de la protection des renseignements personnels

4. Les points 1-2-5-6-7 de la liste précédente

5. La durée de conservation des informations recueillies

6. Les mesures de sécurité en place qui assurent la protection des renseignements

7. La date d’entrée en vigueur de votre politique ainsi que la date de sa dernière mise à jour

Quelles sont les obligations de la Loi 25?

Source: Canva

Depuis le 22 septembre 2022, la Loi 25 qui modernise les dispositions législatives en matière de protection des renseignements personnels dicte de nouvelles obligations pour toutes personnes qui exploitent une entreprise. De plus, d'autres règles de sécurité feront leur entrée en septembre 2023 et 2024.

Depuis septembre 2022, vous devez impérativement :

• Désigner un responsable de la protection des renseignements personnels au sein de votre entreprise et publier ses coordonnées sur votre site Web (ou tout autre média accessible sur demande si vous n’avez pas de site).

• En cas d’incident touchant à la confidentialité, avertir la Commission d’accès à l’information du Québec et les personnes concernées, puis avoir à votre disposition un registre à jour de ces incidents.

• Obtenir le consentement de la personne concernée pour utiliser ses renseignements dans le cadre d’une étude, de statistiques, d'une transaction commerciale ou pour toute forme de publicité et promotion.

Dès le 22 septembre 2023, vous devrez nécessairement :

• Mettre en pratique des politiques encadrant la gouvernance des renseignements personnels, puis les expliquer de manière simple sur votre site Web (ou autre moyens de communication).

• Rédiger et publier une politique de confidentialité en des termes clairs, surtout si vous récoltez des renseignements personnels grâce à la technologie.

• Informer les personnes concernées lorsqu’elles font l’objet d’une décision fondée exclusivement sur un traitement automatisé et lors du recours à une technologie d’identification, de localisation ou de profilage.

• Détruire ou rendre anonyme les informations personnelles qui ne vous servent plus.

• Évaluer les facteurs relatifs à la vie privée lorsque la loi l'exige et respecter les nouvelles conditions de communication, par exemple avant de divulguer des renseignements personnels à l’extérieur du Québec.

• Vous soumettre aux nouvelles règles concernant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels de personnes majeures ou mineures.

• Instaurer des paramètres par défaut pour assurer le plus haut niveau de confidentialité possible.

• Respecter les récentes conditions de communication des renseignements personnels facilitant le processus de deuil.

À partir du mois de septembre 2024, vous devrez aussi :

• À la demande de la personne concernée, lui fournir ses renseignements personnels recueillis dans un format technologique.

Les obligations sur la protection des renseignements personnels énoncées ci-haut s’appliquent, peu importe la taille de votre entreprise. Que vous ayez 700 employés ou que vous soyez le seul maître à bord, de même que si vous représentez une entreprise individuelle, une société par actions ou en nom collectif, toutes les personnes physiques ou morales se doivent de se soumettre à leurs responsabilités en instaurant les meilleures pratiques possibles en terme de protection des données.

Qu’est-ce qu’un cybercrime?

Un cybercrime qui vise les renseignements privés de votre entreprise peut se présenter sous les formes suivantes :

• Un logiciel malveillant qui s’installe incognito par le biais de sites ou d’applications dans le but qu’un voleur puisse accéder au contenu de votre ordinateur.

• Un rançongiciel qui vous bloque l'accès à votre ordinateur et tente de vous convaincre de verser une somme d’argent pour récupérer vos données importantes avant qu'elles ne soient vendues.

• L’hameçonnage utilise des méthodes plus classiques, comme les fameux faux courriels ou les appels automatisés visant à ce que vous fournissiez vos renseignements personnels de votre plein gré.

• Une attaque par déni de service distribué (DDoS) qui augmente considérablement le trafic sur votre site Web, rendant ainsi son accès quasi impossible à vos clients; technique utilisée pour vous extorquer de l’argent, soit en vous demandant de payer pour rétablir l’accessibilité, soit en vous vendant un service de réparation bidon.   

• Les tables arc-en-ciel, quant à elles, accèdent à votre serveur pour s’emparer des renseignements de tout le monde d’un coup, pour ensuite examiner les algorithmes de mots de passe et avoir accès à l’intégralité d’un serveur.

Comment sécuriser la base de données de votre entreprise?

Voici quelques conseils utiles afin de vous prémunir contre les attaques informatiques.

Vérifiez vos logiciels régulièrement

Assurez-vous que votre système d’exploitation, vos logiciels et votre pare-feu soient à jour, que vos antivirus soient de bonne qualité et que votre réseau Wifi soit sécurisé.

Identifiez vos lacunes en matière de gestion de données et de protection afin d’ajuster le tir. Au besoin, faites appel à des experts pour trouver des outils adaptés à votre réalité et pour régler les problèmes ou potentielles failles de cybersécurité.

Sécurisez les données à l'interne

Il est malheureusement possible qu’une personne mal intentionnée se trouve dans votre entourage, voire qu'elle travaille pour vous. Difficile, donc, de contrer l’adversaire, mais il est faisable d’établir quelques paramètres afin de réduire les risques d'une fuite de données.

Vous pourriez, par exemple, restreindre l’accès aux appareils informatiques en votre absence, interdire les clés USB, réinitialiser fréquemment vos mots de passe, bloquer l’accès du site interne aux employés qui quittent votre entreprise, installer un logiciel qui compile qui a eu accès à quoi et quand, etc.

De plus, n’hésitez pas à faire signer un code d’éthique et une entente de confidentialité dès l’embauche de nouveaux talents.

Éduquez-vous en matière de protection des renseignements

Suivez ou donnez une formation à vos employés sur les risques auxquels ils s’exposent en utilisant la technologie en dehors d’un cadre très sécuritaire. Par exemple, il n’est pas recommandé de se connecter à un réseau public pour aller trouver une information sur un client dans votre base de données, ni de cliquer sur une fenêtre de publicité, ni de laisser votre ordinateur accessible à vos enfants alors que vous vous apprêtez à envoyer un courriel confidentiel et ainsi de suite.

Établissez un protocole de cybersécurité 

Définissez d’abord les mesures à prendre et notez qui contacter si jamais un incident de confidentialité se produit (police, banques, clients, fournisseurs, etc.).

Ensuite, faites systématiquement des copies de sauvegarde dans le Cloud et sur un disque dur caché. De même, tous les dossiers contenant des renseignements personnels devraient être chiffrés et leurs clés de chiffrement non stockées sur des serveurs.

Souscrivez à une assurance de cyberrisques

Une telle assurance pourrait vous éviter bien des pertes financières et des tracas reliés à la gestion de crise, tout en vous mettant en contact avec des experts divers (pros de sécurité informatique, conseillers juridiques, relationnistes…).

Cette protection pourrait donc couvrir les frais juridiques ou de médiation, rembourser une partie de vos pertes d’exploitation d’entreprise, payer un service de surveillance du crédit de vos clients ou même assurer une partie des coûts d’embauche d’une firme de relations publiques si vous avez besoin d’informer les médias.

Quels mesures prendre en cas d'incident de confidentialité?

Source: Canva

Dès que vous croyez ou avez la certitude que la protection des données personnelles de votre compagnie et/ou de vos clients est compromise et que la situation comporte un risque de préjudices importants, vous devez le signaler au Commissariat à la protection de la vie privée du Canada et à la Commission d’accès à l’information. Avisez également toutes les personnes concernées et inscrivez immédiatement l’incident dans un registre que vous conserverez pendant 5 ans.

Par la suite, vous devez instaurer des mesures pour minimiser l’étendue des fuites et empêcher qu’un tel événement ne se reproduise. Par exemple, en récupérant ou en exigeant la destruction des renseignements personnels dérobés, puis en perfectionnant vos méthodes de sécurité et en corrigeant les lacunes repérées au moment de l’incident.

Comment rédiger l’avis écrit aux services gouvernementaux?

Incluez les renseignements suivants :

1. Nom et NEQ de votre entreprise

2. Nom et coordonnées de la personne à contacter pour obtenir les informations liées à l’incident

3. Description des renseignements personnels touchés

4. Circonstances et, si possible, cause de l’incident

5. Date ou période à laquelle l’incident s’est produit et quand votre entreprise s'en est-elle rendue compte

6. Nombre de personnes concernées par l’incident

7. Énumération des éléments qui portent à croire qu’il existe un risque de préjudices sérieux

8. Mesures prises ou prévues pour aviser les personnes touchées

9. Mesures prises ou prévues pour diminuer les risques qu’un préjudice soit commis, pour atténuer les répercussions d’un préjudice et pour éviter que la protection des données de votre entreprise ne soit à nouveau affectée par un incident de confidentialité

Comment rédiger l’avis écrit aux personnes concernées?

Incluez les renseignements suivants :

1. Nom et coordonnées de la personne à contacter pour obtenir les informations liées à l’incident

2. Description des renseignements personnels touchés

3. Circonstances et, si possible, cause de l’incident

4. Date ou période à laquelle l’incident s’est produit et quand votre entreprise en a pris connaissance

5. Conseils offerts par votre organisme qui suggèrent des moyens que peut prendre la personne affectée pour diminuer le risque de préjudice à son égard

6. Mesures prises ou prévues pour diminuer les risques qu’un préjudice soit commis, pour atténuer les répercussions d’un préjudice et pour éviter que la protection des données de votre entreprise ne soit à nouveau affectée par un incident de confidentialité

Pour conclure, en plus des liens intégrés à même le texte, voici quelques-uns de nos articles qui touchent au sujet de l’informatique en construction et qui pourraient bien vous intéresser :

• Entrepreneur en rénovation : l'importance d'optimiser votre profil

• Comment créer un site Web efficace pour votre entreprise de construction?

• Entrepreneur en rénovation : choisir un logiciel d'estimation

• 6 Applications pour vous Aider à Gérer votre Entreprise de Rénovation

• Entrepreneurs : trouver des clients grâce aux réseaux sociaux

• Comment utiliser les réalités virtuelle et augmentée dans le domaine de la construction