Demandez une démo
Conformité avec la loi québécoise 25

Loi québécoise 25

Protection des données et gestion des risques liés aux tiers

Le projet de loi 64 du Québec a été adopté en 2021 pour moderniser la loi sur le secteur privé de la province canadienne et améliorer les normes de protection des données personnelles. L'une des dispositions clés du projet de loi est la loi 25, qui comprend des exigences régissant la collecte, l'utilisation et la communication de renseignements personnels et habilite l'autorité québécoise de protection des données - la Commission d'accès à l'information du Québec - à appliquer des exigences telles que la réalisation d'évaluations des facteurs relatifs à la vie privée avant de transférer des données personnelles à l'extérieur de la province.

Les autorités canadiennes ont mis en œuvre les exigences de la loi 25 en matière de protection des données par étapes en septembre 2022 et 2023, avec une mise en œuvre supplémentaire prévue pour septembre 2024.

Applicable à toute entité établie au Québec et/ou faisant des affaires au Québec qui collecte, utilise ou divulgue des informations personnelles de personnes situées dans la province, la loi prévoit des sanctions allant de 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial à 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial en cas d'infraction.

Les organisations qui font des affaires au Québec devraient évaluer leurs pratiques actuelles en matière de protection des données des tiers afin de déterminer si les processus actuels sont conformes à la loi.

Conditions applicables

  • régissent la collecte, l'utilisation et la divulgation des informations personnelles des personnes situées au Québec

  • Réaliser des évaluations obligatoires des incidences sur la vie privée (EIVP) pour le transfert de données à caractère personnel en dehors du Québec

  • Inclure des dispositions obligatoires dans tous les contrats d'externalisation (par exemple, pour les tiers).

Alignez votre programme TPRM sur CCPA, GDPR, HIPAA et autres

Téléchargez ce guide pour passer en revue les exigences spécifiques de 6 autorités de protection de la vie privée, identifier les capacités du TPRM qui correspondent à chaque exigence et découvrir les meilleures pratiques pour assurer la conformité.

Lire la suite
Ressources présentées manuel de conformité vie privée

Loi québécoise 25 Exigences en matière de TPRM

Le tableau ci-dessous résume certaines dispositions de la loi 25 relatives à la protection des données des tiers et explique comment la plateforme de gestion des risques des tiers (TPRM) dePrevalent peut aider à répondre aux exigences.

Note : Les informations présentées dans ce tableau sont un résumé des exigences de la loi 25 et ne doivent donc pas être considérées comme des conseils juridiques exhaustifs. Veuillez consulter le texte intégral de la loi et le conseiller juridique de votre organisation pour déterminer la meilleure marche à suivre pour votre entreprise.

Sélectionner les exigences de la loi québécoise 25 Meilleures pratiques en matière de gestion des risques liés aux tiers

Avec effet au 22 septembre 2022

En cas d'incident de confidentialité impliquant des informations personnelles :

a. Prendre des mesures raisonnables pour réduire les risques de préjudice pour les personnes concernées et empêcher que des incidents similaires ne se reproduisent.

b. Notifier la Commission et la personne concernée si l'incident présente un risque de préjudice grave.

c. Tenir un registre des incidents, dont une copie doit être fournie à la Commission sur demande.

Répondre aux incidents de protection des données des fournisseurs tiers, en rendre compte et en atténuer l'impact en gérant les fournisseurs de manière centralisée, en procédant à des évaluations d'événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance continue de cyber et en accédant à des conseils en matière de remédiation. Les capacités clés de votre programme de réponse aux incidents impliquant des tiers devraient inclure :

  • Questionnaires de gestion des événements et des incidents continuellement mis à jour et personnalisables
  • Suivi en temps réel de la progression du remplissage du questionnaire
  • Des propriétaires de risques définis avec des rappels de poursuite automatisés pour maintenir les enquêtes dans les délais prévus
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations de risque, des comptes, des scores et des réponses marquées pour chaque fournisseur.
  • Règles de flux de travail permettant de déclencher des scénarios automatisés pour agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés pour les parties prenantes internes et externes

Établissez des pratiques qui vous permettront de réagir de manière appropriée et rapide en cas d'incident de confidentialité impliquant des informations personnelles (par exemple, un plan d'intervention en cas d'incident et des directives à l'intention du personnel).

Envisager de structurer les pratiques de réponse aux incidents autour d'un cadre commun de meilleures pratiques industrielles pour la gestion des incidents, tel que le guide de traitement des incidents de sécurité informatique du National Institute of Standards and Technology (NIST), SP 800-61.

Inventorier les informations personnelles détenues par votre entreprise (ou en son nom par un tiers) et évaluer leur sensibilité.

Commencez par dresser une carte pour identifier les relations entre votre organisation et les tierces, 4èmes ou Nièmes parties afin de visualiser les chemins de l'information et de déterminer les données à risque.

Avec effet au 22 septembre 2023

Réaliser une évaluation des incidences sur la vie privée (PIA) lorsque la loi l'exige, par exemple avant de divulguer des informations personnelles en dehors du Québec.

Réaliser une évaluation interne de l'impact sur la vie privée (E IVP) ciblant les données les plus sensibles liées à la protection de la vie privée et les processus opérationnels présentant le risque le plus élevé. S'appuyer sur l'évaluation de l'impact sur la vie privée pour évaluer l'origine, la nature et la gravité du risque potentiel et fournir des recommandations pour atténuer les risques identifiés et garantir la conformité avec les réglementations en matière de protection de la vie privée.

Ensuite, évaluez les contrôles des fournisseurs en matière de confidentialité des données à l'aide d'une enquête spécifique sur la loi 25. Cette enquête doit permettre d'identifier les risques et de les mettre en relation avec les contrôles afin d'obtenir une vision claire des points sensibles potentiels.

Détruire les informations personnelles lorsque l'objectif de leur collecte est atteint ou les rendre anonymes pour une utilisation à des fins sérieuses et légitimes, sous réserve des conditions et d'une période de conservation spécifiées par la loi.

Automatisez les procédures d'externalisation pour réduire le risque d'exposition post-contractuelle de votre organisation. Recherchez des solutions qui vous permettent de :

  • Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées
    Émission d'évaluations personnalisées des contrats afin d'en évaluer l'état
  • Personnaliser les enquêtes et les flux de travail pour établir des rapports sur l'accès aux systèmes, la destruction des données, la gestion des accès, le respect de toutes les lois pertinentes, les paiements finaux, etc.
  • Stocker et gérer de manière centralisée les documents et les certifications, tels que les accords de confidentialité, les accords de niveau de service, les accords de sous-traitance et les contrats.
    Tirer parti de l'analyse automatisée intégrée des documents.
  • Prendre des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils en matière de remédiation
  • Visualiser et répondre aux exigences de conformité en mettant en correspondance les résultats de l'évaluation avec d'autres réglementations et cadres.

L'inventaire des informations personnelles étant évolutif, il est important de le tenir à jour pour tenir compte des changements qui ont pu intervenir au sein de votre entreprise (par exemple, nouvelle collecte d'informations personnelles dans le cadre d'un projet) et pour vous assurer que vous planifiez vos actions de manière adéquate et que vous vous conformez à toutes vos obligations.

Surveiller en permanence les violations de données par des tiers. Identifier les types et les quantités de données volées, les problèmes de conformité et de réglementation, et les notifications de violation de données des fournisseurs en temps réel.

Évaluer la conformité du projet avec les lois sur la protection de la vie privée.

Respecter les réglementations en matière de protection de la vie privée en cartographiant les risques et les réponses aux contrôles, en obtenant des pourcentages de conformité et en produisant des rapports spécifiques aux parties prenantes.

Mettre en œuvre des stratégies et des mesures pour éviter ces risques ou les réduire efficacement.

Automatiser l'identification des risques sur la base de seuils établis et renforcer les pratiques avec des flux de travail qui transmettent les risques identifiés à la partie prenante appropriée pour qu'elle les examine et les prenne en compte immédiatement.

Recommander des mesures correctives spécifiques ou être prêt à accepter des contrôles compensatoires lorsque des lacunes sont constatées dans les pratiques en matière de protection de la vie privée.

Maîtriser les risques liés à la confidentialité des données des tiers

Le guide des meilleures pratiques en matière de confidentialité des données et de gestion des risques liés aux tiers propose une approche normative de l'évaluation des contrôles et des risques liés à la confidentialité des données à chaque étape du cycle de vie des fournisseurs.

Lire la suite
Ressources en vedette Confidentialité des données tprm 0323
Ressources disponibles
  • Prêt pour une démonstration ?
  • Planifiez une démonstration gratuite et personnalisée de la solution pour voir si Prevalent est fait pour vous.
  • Demander une démo