Pour l’internaute québécois, la loi 25 est surtout synonyme depuis quelques mois de fenêtres « pop-up » demandant son consentement. Pour les entreprises, il s’agit souvent d’un casse-tête. Une poignée d’entre elles s’y conformeraient, et une majorité n’a pas l’intention de la respecter. Pourtant, plaident des experts, des ressources et des guides simples sont offerts pour dompter cette loi complexe.

3 %

Selon un sondage effectué auprès de 100 PME et OBNL québécois en juin 2023 par le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l’Université de Sherbrooke, 40 % se disaient prêts pour la loi 25. En réalité, après analyse, à peine 3 % l’étaient effectivement. En février dernier, un sondage de la firme française Axeptio arrivait à une conclusion similaire, avec 5 % des entreprises qui peuvent être considérées comme conformes.

En trois temps

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, ou loi 25, adoptée en septembre 2021 et inspirée de la législation européenne, prévoit trois phases, exigeant chaque fois un peu plus des entreprises manipulant des renseignements personnels.

Depuis septembre 2022, elles doivent notamment désigner un responsable de la protection de ces renseignements et signaler tout incident à la Commission d’accès à l’information (CAI).

En septembre 2023 s’est implantée l’obligation de respecter les règles de consentement (d’où l’apparition des fenêtres sur la plupart des sites web) et l’élaboration d’une « évaluation des facteurs relatifs à la vie privée (EFVP) ».

La dernière étape, en septembre 2024, concerne le droit à la « portabilité », en vertu duquel chacun peut demander une copie des données le concernant.

La loi prévoit des amendes maximales de 25 millions.

Une évaluation coriace

Une des exigences qui semble la plus lourde est l’évaluation des facteurs relatifs à la vie privée. Ce terme intimidant est expliqué par l’organisme chargé de l’application de la loi 25, la CAI, dans un guide… de 60 pages.

C’est précisément sur cette obligation qu’Emeline Manson, formatrice en prévention des fraudes et en cybersécurité, a décidé de lancer un outil gratuit. Essentiellement, l’EFVP doit être rédigée pour toute entreprise qui offre des services impliquant des renseignements personnels ou communique ceux-ci à l’extérieur du Québec.

PHOTO MATHIEU CHEVALIER, FOURNIE PAR EMELINE MANSON

Emeline Manson, formatrice en prévention des fraudes et en cybersécurité et présidente de la firme CY-clic

Là, on a une organisation qui regarde ça et qui se dit : ‟concrètement, qu’est-ce que je fais demain matin ?” C’est décourageant, vraiment décourageant.

Emeline Manson, formatrice en prévention des fraudes et en cybersécurité et présidente de la firme CY-clic

La formatrice n’aime pas le concept de « conformité », préférant insister sur les comportements sécuritaires d’une entreprise.

« Notre objectif, c’est vraiment de rendre ça moins gros, de rendre ça plus le fun, plus réconfortant, moins culpabilisant. C’est la réputation de la cybersécurité et de la loi 25 en ce moment d’être beaucoup dans la culpabilité. »

Petits pas

Selon elle, il s’agit avant tout de dresser un bilan des renseignements personnels qu’une entreprise gère, établir comment ils sont stockés et prendre des mesures efficaces pour les protéger.

« La Commission d’accès à l’information veut avoir une preuve qu’on s’est au moins posé la question. Si on ne le documente pas, si ce n’est écrit nulle part, c’est comme si on n’avait pas eu la réflexion. Si la Commission débarque chez nous, on doit pouvoir leur prouver qu’on a fait cette évaluation, qu’on a eu cette réflexion, qu’on a fait cette démarche. »

Plutôt que de terroriser les petites et moyennes entreprises avec des exigences insurmontables, Mme Manson affirme préférer la « méthode des petits pas ». « Si tu vois toute la montagne, ça te décourage et tu ne fais rien. C’est pire que de le faire par petites bouchées, de le faire du mieux que tu peux et de pouvoir démontrer que tu es dans une démarche, que tu as cherché à te conformer. »

Élargir le débat

Pour Nicolas Duguay, co-directeur général d’In-Sec-M, un organisme regroupant des acteurs clés en cybersécurité, il faut voir le respect de la loi 25 dans une perspective plus large.

PHOTO CATHERINE LEFEBVRE, ARCHIVES COLLABORATION SPÉCIALE

Nicolas Duguay, co-directeur général d’In-Sec-M

Pendant des années, le gouvernement du Québec a encouragé les organisations privées de toutes les tailles à se numériser, mais sans s’assurer que les structures en matière de cybersécurité soient présentes. Ça explique notamment pourquoi il y a une explosion des cyberattaques.

Nicolas Duguay, co-directeur général d’In-Sec-M

Plutôt que de s’attarder uniquement à la conformité à la loi 25, son organisme a mis sur pied un programme subventionné par Québec, MaLoi25, intégrant également ce qu’on qualifie de « cyberrésilience ».

Jusqu’à maintenant, reconnaît-il, l’écoute des entrepreneurs est, disons, minimale.

« Je suis appelé à faire des allocutions, des présentations, je demande systématiquement aux gens : ‟Qui a entendu parler de la loi 25 ?” J’ai toujours une minorité de gens qui lèvent la main. Il y a vraiment un déficit de communication. »

En attente d’amendes

MaLoi25 offre comme point de départ un autodiagnostic, une base pour un accompagnement offert par la suite à un tarif qu’on promet « avantageux ». Si M. Duguay ne peut préciser ce qui se dégage des milliers d’autodiagnostics effectués, il fait ce constat général : « C’est typique, et ce n’est pas seulement en matière de protection des renseignements personnels ou en cybersécurité : il y a une forme de candeur qu’on observe sur les entreprises ici. On attend de voir les sanctions. J’ai l’impression qu’il va y avoir un boom assez important de demandes pour la loi 25, le jour où dans La Presse, Le Journal de Montréal ou sur Radio-Canada, on va voir que telle entreprise s’est fait épingler par le gouvernement du Québec et s’est fait mettre à l’amende. Ce qui n’est pas demain, évidemment. »