Sensibilisation à la cybersécurité et Loi 25 pour les PME du Québec

La Loi 25 (qui modifie la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1) demande aux entreprises de prendre des mesures de sécurité propres à assurer la protection des renseignements personnels qu'elles détiennent. Ces mesures doivent être raisonnables, c'est-à-dire proportionnées à la sensibilité des renseignements, à leur quantité, à leur usage et au support sur lequel ils se trouvent.

Important à retenir : la Loi 25 ne nomme pas la « cybersécurité » comme une obligation distincte et n'impose pas un cours de cybersécurité précis. Elle fixe une obligation de résultat (protéger les renseignements) et laisse à chaque organisation le soin de choisir les moyens. Pour une PME qui stocke des données clients dans des courriels, un CRM ou des fichiers infonuagiques, ces moyens passent très souvent par des mesures techniques et humaines relevant de la cybersécurité.

Autrement dit, la cybersécurité n'est pas une exigence en soi de la Loi 25 : elle est l'un des principaux moyens raisonnables qui permettent de satisfaire l'obligation de sécurité. C'est à ce titre que la sensibilisation à la cybersécurité pour les PME entre en jeu, appuyée par la formation du personnel.

Formation Loi 25 pour votre équipe

Chaque employé reçoit un lien, complète sa formation, obtient son certificat.

À partir de 5 $ 1 $ / mois par employé · 1^re année

En savoir plus →

Un incident de confidentialité est l'accès, l'utilisation ou la communication non autorisés d'un renseignement personnel, sa perte ou toute autre atteinte à sa protection. La majorité des incidents touchant les PME ont une cause numérique : courriel envoyé au mauvais destinataire, fichier accessible à tort, rançongiciel, ou vol d'identifiants à la suite d'un hameçonnage.

Depuis la Loi 25, dès qu'une entreprise a un motif de croire qu'un incident s'est produit, elle doit :

• prendre des mesures raisonnables pour réduire le risque de préjudice et éviter que d'autres incidents du même type se produisent;
• tenir un registre des incidents de confidentialité, que la CAI peut demander à consulter;
• évaluer si l'incident présente un risque de préjudice sérieux pour les personnes concernées;
• en cas de risque sérieux, aviser la Commission d'accès à l'information (CAI) ainsi que les personnes touchées.

Pour évaluer le « préjudice sérieux », on tient compte notamment de la sensibilité des renseignements, des conséquences appréhendées et de la probabilité qu'ils soient utilisés à des fins préjudiciables. Selon Statistique Canada (2023), environ 16 % des entreprises canadiennes ont déclaré avoir été touchées par un incident de cybersécurité : la prévention en amont reste le levier le plus efficace.

La plupart des incidents de confidentialité partent d'un geste humain : un clic sur un faux courriel, un mot de passe réutilisé, une pièce jointe ouverte trop vite. C'est précisément ce qu'un programme de sensibilisation à la cybersécurité, appuyé par la formation, vise à corriger. En réduisant la fréquence et la gravité de ces gestes, il renforce vos mesures de sécurité raisonnables et, du même coup, votre conformité à la Loi 25.

Les sujets qui ont le plus d'effet pour une PME :

• Reconnaître l'hameçonnage et les courriels frauduleux avant de cliquer;
• Activer l'authentification à deux facteurs (A2F/MFA) sur les comptes qui contiennent des renseignements personnels;
• Utiliser des mots de passe forts et un gestionnaire de mots de passe;
• Manipuler les données clients prudemment : vérifier les destinataires, limiter les partages, chiffrer ce qui doit l'être;
• Savoir signaler un incident rapidement à la personne responsable, pour déclencher le registre et l'évaluation du risque.

Précision juridique : nous ne dirons jamais que « la Loi 25 oblige une sensibilisation à la cybersécurité ». Ce qui est exact, c'est que la Loi 25 impose des mesures de gouvernance et de sécurité raisonnables à l'égard du personnel qui collecte, utilise, communique, conserve ou détruit des renseignements personnels, et que la sensibilisation et la formation sont des moyens reconnus d'y répondre, tout comme la sensibilisation à la cybersécurité soutient l'obligation de mesures de sécurité. Les deux se renforcent mutuellement. Pour la portion strictement « renseignements personnels », voyez notre page formation des employés à la Loi 25.

Plusieurs obligations de la Loi 25 deviennent beaucoup plus solides lorsque la cybersécurité est prise au sérieux. Voici les trois principales et leur point de contact avec la sécurité technique :

À titre d'information, la Loi 25 prévoit, en cas de manquement, des sanctions pouvant atteindre 10 M$ ou 2 % du chiffre d'affaires mondial (volet administratif) et 25 M$ ou 4 % (volet pénal), de même que des dommages-intérêts punitifs d'au moins 1 000 $ par personne touchée. Le détail figure sur notre page sanctions et amendes de la Loi 25.

Plutôt que de traiter la conformité juridique et la sécurité technique en silos, une PME gagne à les mener ensemble. Une démarche simple en cinq étapes :

1. Cartographier vos renseignements personnels : où sont-ils, qui y accède, sur quels outils?
2. Désigner un responsable (RPRP) et clarifier qui pilote la réponse aux incidents.
3. Mettre en place des mesures de base : A2F, mots de passe forts, sauvegardes, mises à jour, gestion des accès.
4. Sensibiliser et former le personnel, en continu, sur la Loi 25 et sur l'hygiène cyber.
5. Documenter : politique de confidentialité, registre des incidents, EFVP pour les nouveaux projets, preuves de formation.

Vous ne savez pas par où commencer? Notre vérificateur de conformité en ligne vous indique vos angles morts en quelques minutes, et notre catalogue de plus de 100 formations couvre autant la Loi 25 que la sensibilisation à la cybersécurité, en modules d'environ 30 minutes, avec certificats nominatifs et tableau de bord.