Module 7 rencontre des attentes des autorités règlementaires - loi 64

4/6/2022 Communications unifiées et Conformité ISO -
Teccart - Louis-Martin Landry
1
Communications unifiées et
Conformité ISO 420-701-TT
Spécialisation en gestion de réseaux informatiques, 420 AC

Louis-Martin Landry
2
 1991 – Soutien technique Services Financiers Eaton-La Laurentienne
 Ahuntsic – Technique Juridique (2 ans sur 3)
 1992 – Laser Net
 1993 – Aventure Électronique
 1995 – Soutien Technique - Berger Laurin Scott - PlanPlus
 1996-2001 – Institut Teccart: Étudiant soir & fin de semaine
 2002 – BioAxone Thérapeutique
 2005 – International Pharmaceutical Association – Computer Validation
 2007 – LML Technologie Inc.
 2014 – Événements-TI
 2016 – OneSky - Cie de 16: Techniciens, programmeurs web, médias sociaux, etc.
 350 Clients corporatifs PME
 2018 – BioITpm – Consultant TI
 Logiciels de GED, logiciels pour conseillers financiers, gestion de projet, Événements-TI
 Formation PMP (en cours)
 2019-2020 – BioITpm – Consultant TI
 Logiciels de GED, Cyber-attaques, Conformité TI, gestion de projet, Événements-TI
 PVT 6004 Computer System Validation - GetReskilled.com (en cours)

Louis-Martin Landry
• 514-641-7379
• lmlandry@teccart.qc.ca
• www.BioITpm.com
3

4
Module 0- Préliminaires

5
Module # Section Théorie Pratique Maison
0 Préliminaires 3 0
1 Conformité aux politiques et
procédures
2 1
2 Évaluation de risque 0,5 2 2
3 Contrôle de la qualité 1 2 2
4 Communication en entreprise 2 1 1
5 Cycle complet de la sécurité
informatique
1 1 2
6 Rédaction : politiques, procédures
et documentation
2,5 5,5 5
7 Rencontre des attentes des
autorités règlementaires
2 1
8 Aspects juridiques 3 2,5
Résumé 45 heures 17 16 12

6
Module 1 – Conformité aux politiques et procédures

Étude sur la loi 64
• Loi modernisant des dispositions
législatives en matière de
protection des renseignements
personnels
7

But de l’exercise
• Vision académique de la mise en force de cette loi
– Comment de façon transparente, avec une vision académique, je peux aider
les étudiants à entrer dans le marché du travail en prenant en considération
les enjeux TI de cette nouvelle loi?
• Vision de la mise en place de cette loi versus le cours
Documentation informatique et introduction à ISO offert à
Teccart
– Y a-t-il des éléments dans le cours actuel qui doivent être ajustés lorsque
cette loi sera en force?
• Impact de cette loi dans les entreprises
– Comment cette loi va impacter les entreprises québécoises, canadiennes et
internationales?
• N.B.: Les sources externes sont référencés par des liens URL liés au textes.
Erreurs et omissions exclues.
8

Outils utilisés pour analyse
• Portail principal de l’Assemblée Nationale du Québec
– Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels -
Assemblée nationale du Québec (assnat.qc.ca)
• Projet de loi
– http://www.assnat.qc.ca/Media/Process.aspx?MediaId=ANQ.Vigie.Bll.DocumentGenerique_159567&process=D
efault&token=ZyMoxNwUn8ikQ+TRKYwPCjWrKwg+vIv9rjij7p3xLGTZDmLVSmJLoqe/vG7/YWzz
• Séance du 12 juin Assemblée Nationale
– http://www.assnat.qc.ca/fr/travaux-parlementaires/assemblee-nationale/42-1/journal-
debats/20200612/272135.html
• Mémoire de la Commission de l’éthique en science et technologie
– https://www.ethique.gouv.qc.ca/media/1385/cest_pl64.pdf
• Vidéo #1: Finance Montréal - Êtes-vous prêt pour la loi 64 : les 3 impacts majeurs sur
l'industrie fintech
– https://youtu.be/bw0FKr26vx0
• Vidéo #2: Consultations particulières et auditions publiques sur le projet de loi n° 64 -
Assemblée nationale du Québec (assnat.qc.ca)
– Séances des commissions - Assemblée nationale du Québec (assnat.qc.ca)
9

Outils utilisés pour analyse (suite)
• Commission d’accès à l’information
– Perte ou vol de renseignements personnels : comment réagir? Aide-mémoire à l’intention des citoyens
(gouv.qc.ca)
– Formulaire d’incident de sécurité impliquant des renseignements personnels | Commission d'accès à
l'information du Québec (gouv.qc.ca)
• Le règlement général sur la protection des données : directives pour les entreprises
canadiennes
– Le règlement général sur la protection des données : directives pour les entreprises canadiennes | Standards Council of Canada -
Conseil canadien des normes (scc.ca)
• Comprendre le RGPD
– Comprendre le RGPD | CNIL
– RGPD : par où commencer | CNIL
• CPRA vs. CCPA vs. GDPR
– WireWheel-GDPR-vs-CCPA-vs-CPRA-Cheat-Sheet.pdf
• Conseil du Patronat du Québec
– Consultation – Projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements
professionnels (Terminée) (cpq.qc.ca)
10

Raisons de la loi 64 et chronologie
• Loi mise en place suite à:
– à l’incident Desjardins de fuite de données
• La poursuite de l’employé de Desjardins s’est vue très difficile à cause des lois en place
– Les lois des autres gouvernements deviennent de plus en plus exigeants pour les données
• GDPR (Europe) & CPRA (California Privacy Rights Act)
• Grande-Bretagne (Brexit): DPA (Data Protection Act) 2018 and UK GDPR (General Data Protection Regulation)
• Chronologie:
– Printemps 2020, dépôt du projet de loi – Sonia Lebel
– Séance assemblé nationale - juin 2020,
– Consultations particulières – 22,23,24,29 septembre 2020,
– Dépôt du rapport, 30 septembre 2020,
– Adoption du principe – 20 octobre 2020,
– Éric Caire hérite du dossier de la Protection des renseignements personnels - 21 janvier
• « Parmi ses nouveaux dossiers, Éric Caire aura notamment à mener à terme l’adoption du projet de loi 64, qui doit
donner plus de mordant à la Commission d’accès à l’information du Québec (CAI), afin d’assurer la protection des
données personnelles des Québécois. » Journal de Québec, 21 janvier
11

Raisons de la loi
• Refonte des lois pour les institutions publiques
– Utilisations des données entre institutions publiques
– Une certaine forme de conscientisation suite au problème Desjardins
– « Silver Bullet » pour tenter de tout réparer tous les articles de loi d’un coup
– Mettre la Commission d’accès à l’information responsable de la gestion de la confidentialité pour tous les
Québécois.
• Refonte des lois pour les entreprise
– Forcer les entreprises à suivre les mêmes règles de gouvernance qu’au niveau mondial
– Conscientiser les entreprises aux données présentes dans leurs infrastructure
– Possibilités d’amendes en cas de non-respect de la règlementation
12

Loi 64 – Modifications d’une grande quantité de lois
LOIS MODIFIÉES PAR CE PROJET DE LOI:
1) Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (chapitre A-2.1);
2) Loi sur l’administration financière (chapitre A-6.001);
3) Loi sur l’administration fiscale (chapitre A-6.002);
4) Loi sur l’assurance maladie (chapitre A-29);
5) Loi concernant le cadre juridique des technologies de l’information (chapitre C-1.1);
6) Loi sur les élections et les référendums dans les municipalités (chapitre E-2.2); 5
7) Loi sur les élections scolaires visant certains membres des conseils d’administration des centres de services scolaires anglophone (chapitre E-2.3);
8) Loi électorale (chapitre E-3.3);
9) Loi sur l’Institut de la statistique du Québec (chapitre I-13.011);
10) Loi sur La Financière agricole du Québec (chapitre L-0.1);
11) Loi sur le ministère de l’Emploi et de la Solidarité sociale et sur la Commission des partenaires du marché du travail (chapitreM-15.001);
12) Loi concernant les paramètres sectoriels de certaines mesures fiscales (chapitre P-5.1);
13) Loi concernant le partage de certains renseignements de santé (chapitre P-9.0001);
14) Loi sur la protection des renseignements personnels dans le secteur privé (chapitre P-39.1);
15) Loi sur la protection sanitaire des animaux (chapitre P-42);
16) Loi sur la publicité légale des entreprises (chapitre P-44.1);
17) Loi sur la Régie de l’assurance maladie du Québec (chapitre R-5);
18) Loi sur le régime de retraite des employés du gouvernement et des organismes publics (chapitre R-10);
19) Loi sur la santé et la sécurité du travail (chapitre S-2.1);
20) Loi sur les services de santé et les services sociaux (chapitre S-4.2);
21) Loi sur les services de santé et les services sociaux pour les autochtones cris (chapitre S-5).
13

Amendes
14

Problèmes soulevés par différents intervenants
 Mémoire de la commission de l’éthique en science et en technologie durant la consultation particulière sur le projet de loi numéro 64
 Multiplication de politique de confidentialité à lire pour les individus.
 Naturellement, dès que les documents juridiques seront mis à jour, le consommateur devra répéter l’exercice.
 La commission de l’éthique en science et en technologie émet aussi ses inquiétudes quant à la « désanonymation » et de risque de réidentification
puisse se faire.
 La quasi-impossibilité de garantir l’anonymat des données, même lorsque les procédures d’anonymisation ont été respectées
 Plusieurs chercheurs mettent ainsi en doute la capacité des techniques d’anonymisation.
 Un flou réside cependant dans ce qui est entendu par les fins de planification, la gestion, l’évaluation ou le contrôle de ressources, de programmes
ou de services gouvernementaux, une catégorie de fins susceptibles d’englober une grande quantité d’usages différents.
 Conseil du patronat Québécois
 Pour l’instant le Québec (PL-64) a adopté une approche calquée sur le RGDP de l’union européenne qui a été négociée entre 27 pays, mais il est
primordial que les dispositions législatives du Québec puissent être cohérentes avec le gouvernement fédéral canadien, les provinces du Canada,
les États-Unis et les alliés économiques avec qui nous transigeons;
 Une analyse de gestion des risques ne semble pas avoir été envisagée en regard de la portée extraterritoriale de la loi québécoise. Les tests
d’équivalence démontrent que le PL-64 est beaucoup plus restrictif au Québec qu’en Europe.
 Aucune autre avenue ne semble avoir été considérée pour minimiser les risques au niveau de la sécurité des données
 Par exemple, fournir des lignes directrices claires aux entreprises pour leur permettre de mieux encadrer la gestion des données. Ou encore, fournir de la formation et des
informations permettant d’aider les entreprises à protéger les données, etc.
 FinTech Montreal - Êtes-vous prêt pour la loi 64 : les 3 impacts majeurs sur l'industrie fintech
 Qui est responsable du consentement ?
 Qu’est-ce qui est des données sensibles ?
 Entreprises en démarrage, il sera essentiel que les entreprises qui débutent effectuent un concept « Privacy by Design » et que les investisseurs
de capital de risque effectuent des audits avant d’investir.
 Sera aussi applicable pour les ventes d’entreprises, les fusions et les acquisitions.
15

Problèmes soulevés par Louis-Martin
 Il pourrait y avoir un très gros risque pour les entreprises de devoir divulguer les algorithmes derrière les
décisions qui sont prises. La propriété intellectuelle des entreprises pourrait être mise en danger.
 Le Chief Data Officer doit avoir en tout temps accès aux bases de données qui pourraient être hébergées à
l’externe chez les partenaires pour pouvoir effectuer des audits.
 Si l’hébergement des serveurs est en Ontario, devons-nous aviser le client ? Il deviendra presque impossible
de garantir que l’information est toujours présente au Québec, plus particulièrement avec des solutions telles
que les hébergements de Google, qui ont des protections niveau nucléaires avec une redondance
géographique des données.
 Comment pouvons-nous garantir que les données d’une tierce partie seront retirées ? Si vous avez un bureau
chef en Asie, et que vous avez des bureaux Québec, ce sera difficile de garantir que les données sont
retirées de toutes les bases de données du bureau chef en Asie.
 Il est à noter que les dispositions pénales et le montant des amendes sont stipulés pour les entreprises, mais
que je n’ai pas vu de dispositions pénales ou d’amende ni d’autres types de contraventions pour le secteur
public.
 Jusqu’à maintenant, la commission d’accès à l’information était très peut impliquée dans les interactions des
entreprises, plus particulièrement les petites entreprises de moins de 50 employés au Québec. Est-ce que la
commission d’accès à l’information sera prête pour être capable de recevoir le volume exigé par son
implication dans ses nouvelles dispositions présentées dans le projet de loi ?
16

Un premier plan pour mettre en place dans l’entreprise
 Selon moi, toutes les entreprises devront au minimum effectuer les étapes suivantes
 Gestionnaire de renseignements personnels - Chief Data Officer.
 La responsabilité de Chief Data Officer doit être assignée de façon écrite et explicite par la direction.
 Prévoir la formation d’un comité sur l’accès à l’information et la protection des renseignements personnels ainsi qu’obliger la production d’une
évaluation des facteurs relatives à la vie privée s’avère des pistes judicieuses pour renforcer un usage responsable de données.
 Procéder à une évaluation des facteurs relatifs à la vie privée.
 Réévaluation à tous les deux ans.
 Audit de la pertinence des champs retenus et inscrits dans les bases de données SQL MySQL et autres bases de données de CRM, ERP
et autres.
 Audit des liens API et des bases de données externes hébergées par des fournisseurs dans les solutions infonuagiques. Confirmation de
la sécurité de ses liens API (protocole sftp par exemple).
 Autres bases de données externes tels que MailChimp et autres systèmes d’envoi de courriel, par exemple.
 Audit des emplacements d’hébergements de serveurs.
 Dans l’évaluation, prendre en considération tous les types de données confidentielles, telles que des données des actionnaires, des
clients, des employés, des fournisseurs tout autres intervenants avec l’entreprise.
 Audit externe de capacité de désanonymiser les données.
 Pour les entreprises, il faudra avoir un rapport similaire suivant la fin de chaque année financière. Malgré que le gouvernement exige 45
jours, les déclarations fiscales ont habituellement 180 jours de période pour un dépôt. Il serait donc normal que les comptables ajoutent ce
rapport concernant les renseignements personnels recueillis avec le rapport du comptable.
 Un plan de réaction et un plan de communication semble être essentiel pour toutes les entreprises en cas de problématiques. Ce plan doit
être lié non seulement au plan de cyberattaques mais aussi en cas de plainte concernant les données personnelles des employés, clients
et fournisseurs.
17

Module 7 rencontre des attentes des autorités règlementaires - loi 64

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (14)

Similaire à Module 7 rencontre des attentes des autorités règlementaires - loi 64

Similaire à Module 7 rencontre des attentes des autorités règlementaires - loi 64 (20)

Dernier

Dernier (20)

Module 7 rencontre des attentes des autorités règlementaires - loi 64

Notes de l'éditeur