La loi 25 du Québec et la gestion des risques liés aux tiers

Appliquer les meilleures pratiques du TPRM pour répondre aux exigences de protection des données des tiers dans cette loi canadienne.
Par :
Scott Lang
,
VP, Marketing produit
30 novembre 2023
Partager :
Blog Post Droit québécois 25 11 23

Le projet de loi 64 du Québec est une loi adoptée en 2021 pour moderniser la loi sur le secteur privé de la province canadienne et améliorer les normes de protection des données personnelles. Le projet de loi 64 a une portée similaire à celle du Règlement général sur la protection des données (RGPD) de l'Union européenne. L'une des principales dispositions du projet de loi est la loi 25, qui habilite l'autorité de protection des données du Québec - la Commission d'accès à l'information du Québec - à appliquer des exigences telles que la réalisation d'évaluations des facteurs relatifs à la vie privée avant de transférer des données personnelles en dehors de la province. Les autorités canadiennes ont mis en œuvre les exigences de protection des données de la loi 25 par étapes en septembre 2022 et 2023, avec une mise en œuvre supplémentaire prévue pour septembre 2024.

Ce billet examine les principales exigences de la loi 25 relatives à la protection des données des tiers et recommande les meilleures pratiques pour répondre à ces exigences.

Loi québécoise 25 Résumé

Adoptée en 2021, la loi 25 du Québec contient des dispositions régissant la collecte, l'utilisation et la communication de renseignements personnels. La loi :

  • S'applique à toute entité établie au Québec et/ou faisant des affaires au Québec qui recueille, utilise ou divulgue des renseignements personnels sur des personnes situées dans la province.
  • Obligation de réaliser des évaluations d'impact sur la vie privée (EIVP) pour le transfert de données à caractère personnel hors du Québec
  • Inclut des dispositions obligatoires dans tous les contrats d'externalisation (par exemple, pour les tiers).
  • Les sanctions vont de 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial à 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial en cas d'infraction.

Les organisations qui font des affaires au Québec devraient évaluer les pratiques de protection des données des tiers, de la même manière que cela est exigé des entreprises opérant à Singapour ou dans l'Union européenne.

Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres

Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources présentées manuel de conformité vie privée

Loi 25 du Québec - Exigences en matière de gestion du risque pour les tiers

Le tableau ci-dessous résume certaines dispositions de la loi 25 relatives à la protection des données des tiers.

Note : Les informations présentées dans ce tableau sont un résumé des exigences de la loi 25 et ne doivent donc pas être considérées comme des conseils juridiques exhaustifs. Veuillez consulter le texte intégral de la loi et le conseiller juridique de votre organisation pour déterminer la meilleure marche à suivre pour votre entreprise.

Sélectionnez QuébecLaw 25 Requirements Meilleures pratiques en matière de gestion des risques liés aux tiers
Avec effet au 22 septembre 2022

En cas d'incident de confidentialité impliquant des informations personnelles :

a. Prendre des mesures raisonnables pour réduire les risques de préjudice pour les personnes concernées et empêcher que des incidents similaires ne se reproduisent.

b. Notifier la Commission et la personne concernée si l'incident présente un risque de préjudice grave.

c. Tenir un registre des incidents, dont une copie doit être fournie à la Commission sur demande.

Répondre aux incidents de protection des données des fournisseurs tiers, en rendre compte et en atténuer l'impact en gérant les fournisseurs de manière centralisée, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance continue de cyber et en accédant à des conseils en matière de remédiation. Les capacités clés de votre programme de réponse aux incidents impliquant des tiers devraient inclure :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés pour les parties prenantes internes et externes

Établissez des pratiques qui vous permettront de réagir de manière appropriée et rapide en cas d'incident de confidentialité impliquant des informations personnelles (par exemple, un plan d'intervention en cas d'incident et des directives à l'intention du personnel).

Envisager de structurer les pratiques de réponse aux incidents autour d'un cadre commun de meilleures pratiques industrielles pour la gestion des incidents, tel que le guide de traitement des incidents de sécurité informatique du National Institute of Standards and Technology (NIST), SP 800-61.

Inventorier les informations personnelles détenues par votre entreprise (ou en son nom par un tiers) et évaluer leur sensibilité.

Commencez par dresser une carte pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque.

Avec effet au 22 septembre 2023

Réaliser une évaluation des incidences sur la vie privée (PIA) lorsque la loi l'exige, par exemple avant de divulguer des informations personnelles en dehors du Québec.

Réaliser une évaluation interne de l'impact sur la vie privée (E IVP) ciblant les données les plus sensibles liées à la protection de la vie privée et les processus opérationnels présentant le risque le plus élevé. S'appuyer sur l'évaluation de l'impact sur la vie privée pour évaluer l'origine, la nature et la gravité du risque potentiel et fournir des recommandations pour atténuer les risques identifiés et garantir la conformité avec les réglementations en matière de protection de la vie privée.

Ensuite, évaluez les contrôles des fournisseurs en matière de confidentialité des données à l'aide d'une enquête spécifique sur la loi 25. Cette enquête doit permettre d'identifier les risques et de les mettre en relation avec les contrôles afin d'obtenir une vision claire des points sensibles potentiels.

Détruire les informations personnelles lorsque l'objectif de leur collecte est atteint ou les rendre anonymes pour une utilisation à des fins sérieuses et légitimes, sous réserve des conditions et d'une période de conservation spécifiées par la loi.

Automatisez les procédures d'externalisation pour réduire le risque d'exposition post-contractuelle de votre organisation. Recherchez des solutions qui vous permettent de :

  • Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées
    Émission d'évaluations personnalisées des contrats afin d'en évaluer l'état
  • Personnaliser les enquêtes et les flux de travail pour établir des rapports sur l'accès aux systèmes, la destruction des données, la gestion des accès, le respect de toutes les lois pertinentes, les paiements finaux, etc.
  • Stocker et gérer de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les accords de sous-traitance et les contrats.
    Tirer parti de l'analyse automatisée intégrée des documents.
  • Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils en matière de remédiation
  • Visualiser et répondre aux exigences de conformité en mettant en correspondance les résultats de l'évaluation avec d'autres réglementations et cadres.

L'inventaire des informations personnelles étant évolutif, il est important de le tenir à jour pour tenir compte des changements qui ont pu intervenir au sein de votre entreprise (par exemple, nouvelle collecte d'informations personnelles dans le cadre d'un projet) et pour vous assurer que vous planifiez vos actions de manière adéquate et que vous vous conformez à toutes vos obligations.

Surveiller en permanence les violations de données par des tiers. Identifier les types et les quantités de données volées, les problèmes de conformité et de réglementation, et les notifications de violation de données des fournisseurs en temps réel.

Évaluer la conformité du projet avec les lois sur la protection de la vie privée.

Respecter les réglementations en matière de protection de la vie privée en cartographiant les risques et les réponses aux contrôles, en obtenant des pourcentages de conformité et en produisant des rapports spécifiques aux parties prenantes.

Mettre en œuvre des stratégies et des mesures pour éviter ces risques ou les réduire efficacement.

Automatiser l'identification des risques sur la base de seuils établis et renforcer les pratiques avec des flux de travail qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement.

Recommander des mesures correctives spécifiques ou être prêt à accepter des contrôles compensatoires lorsque des lacunes sont constatées dans les pratiques en matière de protection de la vie privée.

Comment Prevalent aide à répondre aux exigences de la loi 25 du Québec en matière de TPRM

Les organisations qui doivent se conformer à la Loi 25 doivent s'assurer que les tiers qui traitent les renseignements personnels des citoyens du Québec ont mis en place des contrôles pour protéger ces données. Prevalent offre une plateforme évolutive de gestion des risques pour les tiers qui traite des risques liés à la protection des données. La plateforme Prevalent :

  • Établit une base solide pour la protection des données des tiers dans le cadre d'un programme complet de gestion des risques et de la protection des données.
  • Permet aux équipes d'élaborer et d'appliquer des dispositions relatives à la protection des données dans les contrats, et de mesurer en permanence le respect de ces dispositions tout au long du cycle de vie du fournisseur.
  • Permet de savoir où se trouvent les données, comment elles circulent et qui y a accès.
  • Évaluer et surveiller en permanence les risques liés à la confidentialité des données des tiers, conformément aux normes sectorielles communes.
  • Accélère l'identification des risques et la prise de mesures correctives, ce qui permet de limiter les coûts liés aux violations et les atteintes à la réputation.
  • Générer des rapports ciblés pour les régulateurs, les vendeurs et les parties prenantes internes.
  • Surveille en permanence les violations et accélère la réponse aux incidents afin de réduire le risque d'un incident préjudiciable et coûteux en matière de sécurité des données.

Avec Prevalent, vos équipes chargées de la sécurité et de la protection de la vie privée disposent d'une plate-forme unique et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la confidentialité des données, qu'il s'agisse de données de tiers ou de données internes.

Téléchargez le Third-Party Data Privacy Compliance Handbook pour en savoir plus sur la manière dont Prevalent peut vous aider à relever vos défis en matière de conformité à la confidentialité des données. Ou planifiez une démonstration pour discuter de la manière dont nous pouvons répondre à vos besoins spécifiques.

Tags :
Partager :
Leadership scott lang
Scott Lang
VP, Marketing produit

Scott Lang a 25 ans d'expérience dans le domaine de la sécurité. Il dirige actuellement la stratégie de marketing des produits pour les solutions de gestion des risques des tiers de Prevalent, où il est responsable du contenu des produits, des lancements, des messages et de la mise en œuvre. Avant de rejoindre Prevalent, Scott était directeur principal du marketing produit chez BeyondTrust, leader de la gestion des accès privilégiés, et avant cela, directeur du marketing des solutions de sécurité chez Dell, anciennement Quest Software.

  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo