Loi 25 au Québec : la CAI a publié la liste des organisations ayant déclarés des incidents de confidentialité depuis septembre 2022

Comme vous le savez, la nouvelle loi 25 (projet de loi 64) sur la protection des renseignements personnels est entrée en vigueur au Québec le 22 septembre 2022.

Pour rappel, cette loi exige que toutes les organisations publiques, privées et OBNL prennent des mesures pour protéger les renseignements personnels des Québécois.

La loi 25 exige que tous les incidents de confidentialité (brèches de sécurité concernant les renseignements personnels) soient signalés à la Commission d’Accès à l'Information (CAI). Des sanctions pénales pouvant aller jusqu'à 25 millions de $ sont prévues à partir de septembre 2023.

Publication de la liste des organisations victimes par la CAI

Le 25 mai 2023, la CAI a publié la liste des organisations ayant déclaré des incidents de confidentialité. La liste couvre la période de septembre 2022 à mai 2023 et va s’allonger au fur et à mesure que les organisations victimes feront des notifications auprès de la CAI.

La CAI a donc opté pour la transparence, ce qui comprend aisément car l’objectif de la loi est de renforcer la protection des renseignements personnels et de permettre au citoyen d’avoir plus de contrôle sur ses renseignements.

Les citoyens pourront consulter la liste et prendre contact avec les organisations pour demander des comptes si d’aventure celles-ci détiennent leurs renseignements personnels.

Les conseils de Streamscan suite à la publication par la CAI de la liste des organisations victimes

• Conformez vous aux exigences de la Loi en mettant en place les exigences de 2022 et 2023 (voir notre fiche de sécurité sur la loi 25). D’un point de vue cybersécurité, vous devez déjà avoir en place un plan de réponse aux incidents et un registre des incidents éventuels.
• Soyez transparents : en cas d’incident, s’il est avéré que des renseignements personnels ont été touchés, faites une notification à la CIA et à l'ensemble des personnes concernées. Offrez aux personnes des options pour minimiser le risque de vol d’identité.
• Pour les détails sur les bonnes pratiques de sécurité à appliquer pour minimiser les risques d’incidents de confidentialité, veuillez consulter ce lien.

Quoi faire si vous êtes déjà sur la liste publiée par la CAI

Si votre organisation est sur la liste qui vient d’être publiée par la CAI, attendez vous à ce qu’un(e) journaliste ou des partenaires essaient éventuellement de vous contacter pour en savoir plus sur la nature de l’incident que vous avez vécu et combien de personnes ont été touchées. Pour cela, soyez prêts en suivants nos recommandations suivantes:

• Désigner une personne responsable de la communication et lui fournir toutes les informations nécessaires pour interagir avec les journalistes ou les partenaires. La règle de base est de rester transparent, tout en ne donnant pas de détails inutiles. Soyez brefs et concis.
• Informez l’ensemble de vos employés que vous avez vécu un incident. Si d’aventure un(e) journaliste ou partenaire voudrait en savoir plus sur l’incident, la seule personne habilitée à communiquer est le/la responsable de la communication désignée. En procédant ainsi, vous gardez le contrôle sur la communication et vous vous assurez qu’il n’y a qu’une seule version de l’incident.
• Maintenant que la liste est publique, les médias vont fouiner. Attendez-vous à apparaître peut-être dans les médias (si vous apparaissez malheureusement sous les radars d’un journaliste). Ceci peut arriver quelque soit votre taille (petite, moyenne ou grande organisation). Préparez-vous à faire face à la situation en consultant notre article de blog Réagir à l'incident de sécurité déjà médiatisé!

Besoin d'aide?

Parlez à l’un de nos experts.