Le projet de loi 64 du Québec est une loi adoptée en 2021 pour moderniser la loi sur le secteur privé de la province canadienne et améliorer les normes de protection des données personnelles. Le projet de loi 64 a une portée similaire à celle du Règlement général sur la protection des données (RGPD) de l'Union européenne. L'une des principales dispositions du projet de loi est la loi 25, qui habilite l'autorité de protection des données du Québec - la Commission d'accès à l'information du Québec - à appliquer des exigences telles que la réalisation d'évaluations des facteurs relatifs à la vie privée avant de transférer des données personnelles en dehors de la province. Les autorités canadiennes ont mis en œuvre les exigences de protection des données de la loi 25 par étapes en septembre 2022 et 2023, avec une mise en œuvre supplémentaire prévue pour septembre 2024.
Ce billet examine les principales exigences de la loi 25 relatives à la protection des données des tiers et recommande les meilleures pratiques pour répondre à ces exigences.
Adoptée en 2021, la loi 25 du Québec contient des dispositions régissant la collecte, l'utilisation et la communication de renseignements personnels. La loi :
Les organisations qui font des affaires au Québec devraient évaluer les pratiques de protection des données des tiers, de la même manière que cela est exigé des entreprises opérant à Singapour ou dans l'Union européenne.
Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres
Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.
Le tableau ci-dessous résume certaines dispositions de la loi 25 relatives à la protection des données des tiers.
Note : Les informations présentées dans ce tableau sont un résumé des exigences de la loi 25 et ne doivent donc pas être considérées comme des conseils juridiques exhaustifs. Veuillez consulter le texte intégral de la loi et le conseiller juridique de votre organisation pour déterminer la meilleure marche à suivre pour votre entreprise.
Sélectionnez QuébecLaw 25 Requirements | Meilleures pratiques en matière de gestion des risques liés aux tiers |
---|---|
Avec effet au 22 septembre 2022 | |
En cas d'incident de confidentialité impliquant des informations personnelles : a. Prendre des mesures raisonnables pour réduire les risques de préjudice pour les personnes concernées et empêcher que des incidents similaires ne se reproduisent. b. Notifier la Commission et la personne concernée si l'incident présente un risque de préjudice grave. c. Tenir un registre des incidents, dont une copie doit être fournie à la Commission sur demande. |
Répondre aux incidents de protection des données des fournisseurs tiers, en rendre compte et en atténuer l'impact en gérant les fournisseurs de manière centralisée, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance continue de cyber et en accédant à des conseils en matière de remédiation. Les capacités clés de votre programme de réponse aux incidents impliquant des tiers devraient inclure :
|
Établissez des pratiques qui vous permettront de réagir de manière appropriée et rapide en cas d'incident de confidentialité impliquant des informations personnelles (par exemple, un plan d'intervention en cas d'incident et des directives à l'intention du personnel). |
Envisager de structurer les pratiques de réponse aux incidents autour d'un cadre commun de meilleures pratiques industrielles pour la gestion des incidents, tel que le guide de traitement des incidents de sécurité informatique du National Institute of Standards and Technology (NIST), SP 800-61. |
Inventorier les informations personnelles détenues par votre entreprise (ou en son nom par un tiers) et évaluer leur sensibilité. |
Commencez par dresser une carte pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque. |
Avec effet au 22 septembre 2023 | |
Réaliser une évaluation des incidences sur la vie privée (PIA) lorsque la loi l'exige, par exemple avant de divulguer des informations personnelles en dehors du Québec. |
Réaliser une évaluation interne de l'impact sur la vie privée (E IVP) ciblant les données les plus sensibles liées à la protection de la vie privée et les processus opérationnels présentant le risque le plus élevé. S'appuyer sur l'évaluation de l'impact sur la vie privée pour évaluer l'origine, la nature et la gravité du risque potentiel et fournir des recommandations pour atténuer les risques identifiés et garantir la conformité avec les réglementations en matière de protection de la vie privée. Ensuite, évaluez les contrôles des fournisseurs en matière de confidentialité des données à l'aide d'une enquête spécifique sur la loi 25. Cette enquête doit permettre d'identifier les risques et de les mettre en relation avec les contrôles afin d'obtenir une vision claire des points sensibles potentiels. |
Détruire les informations personnelles lorsque l'objectif de leur collecte est atteint ou les rendre anonymes pour une utilisation à des fins sérieuses et légitimes, sous réserve des conditions et d'une période de conservation spécifiées par la loi. |
Automatisez les procédures d'externalisation pour réduire le risque d'exposition post-contractuelle de votre organisation. Recherchez des solutions qui vous permettent de :
|
L'inventaire des informations personnelles étant évolutif, il est important de le tenir à jour pour tenir compte des changements qui ont pu intervenir au sein de votre entreprise (par exemple, nouvelle collecte d'informations personnelles dans le cadre d'un projet) et pour vous assurer que vous planifiez vos actions de manière adéquate et que vous vous conformez à toutes vos obligations. |
Surveiller en permanence les violations de données par des tiers. Identifier les types et les quantités de données volées, les problèmes de conformité et de réglementation, et les notifications de violation de données des fournisseurs en temps réel. |
Évaluer la conformité du projet avec les lois sur la protection de la vie privée. |
Respecter les réglementations en matière de protection de la vie privée en cartographiant les risques et les réponses aux contrôles, en obtenant des pourcentages de conformité et en produisant des rapports spécifiques aux parties prenantes. |
Mettre en œuvre des stratégies et des mesures pour éviter ces risques ou les réduire efficacement. |
Automatiser l'identification des risques sur la base de seuils établis et renforcer les pratiques avec des flux de travail qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement. Recommander des mesures correctives spécifiques ou être prêt à accepter des contrôles compensatoires lorsque des lacunes sont constatées dans les pratiques en matière de protection de la vie privée. |
Les organisations qui doivent se conformer à la Loi 25 doivent s'assurer que les tiers qui traitent les renseignements personnels des citoyens du Québec ont mis en place des contrôles pour protéger ces données. Prevalent offre une plateforme évolutive de gestion des risques pour les tiers qui traite des risques liés à la protection des données. La plateforme Prevalent :
Avec Prevalent, vos équipes chargées de la sécurité et de la protection de la vie privée disposent d'une plate-forme unique et collaborative pour effectuer des évaluations de la protection de la vie privée et atténuer les risques liés à la confidentialité des données, qu'il s'agisse de données de tiers ou de données internes.
Téléchargez le Third-Party Data Privacy Compliance Handbook pour en savoir plus sur la manière dont Prevalent peut vous aider à relever vos défis en matière de conformité à la confidentialité des données. Ou planifiez une démonstration pour discuter de la manière dont nous pouvons répondre à vos besoins spécifiques.
Suivez ces 7 étapes pour un désengagement plus sûr et plus efficace lorsque les relations avec les tiers prennent fin.
10/17/2024
La gestion des risques liés aux tiers (TPRM) est passée du statut d'exercice annuel de liste de contrôle à celui de...
10/07/2024
Gérer efficacement les incidents de cybersécurité impliquant des tiers grâce à un plan de réponse aux incidents bien défini.
09/24/2024