CIRA réalise un sondage auprès des décideurs canadiens responsables de la sécurité des technologies de l’information pour mieux comprendre comment ils font face aux cyberrisques. Le sondage de cette année, mené en août par le cabinet de recherche The Strategic Counsel, a recueilli les réponses de 500 professionnels des technologies de l’information de tout le pays. Il s’agit là du troisième billet de blogue d’une série de cinq pour 2022.
Dans un contexte où les consommateurs sont de plus en plus conscients de l’importance de protéger leurs données personnelles, les gouvernements du monde entier renforcent les lois sur la confidentialité des données pour les protéger. En juin, le gouvernement du Canada a présenté le projet de loi C-27, la Loi de 2022 sur la mise en œuvre de la Charte du numérique, une mise à jour de la Loi canadienne sur la protection des renseignements personnels et les documents électroniques. Si elle est adoptée, la nouvelle loi remplacera la première partie de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) par la Loi sur la protection de la vie privée des consommateurs (LPVPC).
De nombreuses organisations canadiennes n’ont pas connaissance du projet de loi C-27
Dans le cadre du sondage de CIRA sur la cybersécurité 2022, nous avons demandé à des professionnels de la cybersécurité s’ils avaient eu connaissance du projet de loi C-27. Étonnamment, seulement 55 % ont répondu par l’affirmative. Parmi eux, 59 % ont exprimé leur préoccupation des répercussions potentielles du projet de loi sur leur organisation. Avec raison, car pour les organisations qui ne se conforment pas aux nouveaux règlements proposés, les sanctions sont sévères. Celles qui sont reconnues coupables d’un acte criminel peuvent se voir infliger une amende pouvant aller jusqu’à 5 % de leurs revenus mondiaux ou 25 millions de dollars, selon le montant le plus élevé.
Parmi les autres changements proposés, le projet de loi C-27 exigerait des organisations du secteur privé qu’elles mettent en œuvre plusieurs nouvelles procédures pour la collecte et le traitement des renseignements personnels des consommateurs. Par exemple, les organisations seraient tenues d’obtenir le consentement valide d’une personne pour la collecte, l’utilisation ou la communication de ses renseignements personnels et de cesser de recueillir et d’utiliser ses données lorsqu’une personne retire son consentement. Le projet de loi exigerait également des organisations qu’elles établissent et maintiennent un programme de gestion des renseignements personnels et qu’elles mettent à la disposition de leurs clients, de leurs employés et d’autres personnes des renseignements sur leurs politiques et leurs pratiques en langage clair.
Parmi les autres dispositions importantes du nouveau règlement sur la protection des renseignements personnels, citons : la création d’un nouveau Tribunal de la protection des renseignements personnels et des données chargé d’examiner les recommandations du commissaire à la protection de la vie privée du Canada et d’imposer des sanctions si nécessaire; et la création de nouvelles règles pour le développement et le déploiement responsables de l’intelligence artificielle (IA).
Quelles sont les implications pour les organisations canadiennes?
La collecte de renseignements personnels par les entreprises canadiennes est une pratique répandue. Selon le sondage de CIRA, 63 % des organisations canadiennes du secteur privé recueillent des renseignements personnels auprès de leurs clients, employés, fournisseurs, vendeurs ou partenaires dans le cadre de leurs activités commerciales courantes. Par ailleurs, les atteintes à la protection des données sont relativement courantes. Selon le sondage, environ un tiers des organisations (29 %) ont subi une atteinte à la protection des données de leurs clients ou de leurs employés l’an dernier.
En vertu de la législation canadienne sur la protection des données, les organisations qui en sont victimes sont tenues d’informer les personnes concernées si cette violation entraîne un risque de préjudice important. Cependant, seulement 44 % des organisations qui ont subi une telle violation ont déclaré avoir informé leurs clients. Le fait de contrevenir sciemment aux dispositions du projet de loi relatives au signalement des atteintes à la protection des données n’est pas le seul motif susceptible d’entraîner des sanctions pécuniaires et des amendes importantes.
Mais les sanctions pécuniaires encourues ne constituent pas la seule leçon à tirer des résultats du sondage. En plus de respecter la législation sur la protection des renseignements personnels, il est essentiel de mettre en place de solides protections en matière de cybersécurité pour empêcher les renseignements des utilisateurs d’être compromis par la liste croissante de menaces auxquelles les organisations sont confrontées aujourd’hui. Protéger les renseignements personnels de vos clients est bon pour les affaires. Cela renforce la confiance de vos clients et de vos employés et peut donner à votre entreprise un avantage concurrentiel sur le marché.
Prochaines étapes : Comment se préparer si le projet de loi est adopté?
Même s’il est probable que le projet de loi C-27 subisse au moins quelques modifications avant d’être adopté, il est temps de commencer à préparer votre organisation pour la rendre conforme à la nouvelle réglementation. Les modifications proposées sont importantes et nécessiteront le déploiement d’efforts concertés pour assurer la préparation de votre organisation.
Obtenir l’évaluation d’un expert en sécurité tiers est un excellent moyen de lancer le processus et de cerner les éventuelles lacunes dans les procédures relatives à la confidentialité des données de votre organisation, ainsi que dans vos protections en matière de cybersécurité.
Une autre démarche essentielle pour veiller à la préparation de votre organisation consiste à former vos employés aux pratiques sécuritaires de traitement des données et à les sensibiliser à la cybersécurité pour leur permettre de traiter les renseignements des utilisateurs en toute sécurité. C’est pourquoi CIRA propose une formation en cybersécurité, qui offre des simulations d’hameçonnage, des cours, une ludification et des rapports, le tout sur une seule plateforme, et donne à vos employés les moyens de prévenir et de signaler les cyberattaques.
Une autre option à envisager pour se préparer à la nouvelle législation sur la sécurité des données consiste à participer au programme CyberSécuritaire Canada. Ce programme du gouvernement du Canada peut vous aider à améliorer la posture de cybersécurité de votre organisation en renforçant les connaissances des employés en la matière, en limitant les conséquences des cyberincidents, et bien plus encore. En janvier 2023, le programme met à jour ses exigences de certification pour se conformer à la norme nationale élaborée par le Conseil Stratégique des DPI pour les contrôles de cybersécurité des petites et moyennes organisations.
Chez CIRA, nous suivons de près l’adoption du projet de loi C-27. Bien que le projet de loi soit susceptible d’être modifié, la nécessité d’accroître la sensibilisation de votre organisation à la cybersécurité demeure constante.
Mason est le coordinateur des affaires publiques au sein de l’équipe d’investissement communautaire, de politique et de défense des droits de CIRA. Il soutient les relations gouvernementales de CIRA, la sensibilisation des intervenants et la recherche analyse des politiques pour aider à bâtir un Internet de confiance pour tous les Canadiens.
