8 minute read time

Les technologies de protection de la vie privée ouvrent des perspectives de croissance et d'innovation dans le cadre de la Loi 25

by   in Cybersecurity

Voltage by OpenText soutient Loi 25 du Québec sur la protection des données

Loi 25 du Québec sur la protection des données

En septembre 2021, la province de Québec a pris des mesures pour mettre à jour ses lois sur la protection des données et de la vie privée en introduisant la Loi 25, déployant un ensemble d'obligations sur trois ans que les entreprises doivent respecter lorsqu'elles traitent les renseignements personnels. En septembre 2023, la loi 25 sera plus contraignante et introduira des droits supplémentaires en matière de protection de la vie privée pour les consommateurs. C'est une bonne nouvelle pour les consommateurs, et pour les entreprises, l'alignement de la loi 25 sur le GDPR et la PIPEDA contribuera à réduire les frictions lors de la conduite des affaires dans différentes juridictions.

Obligations des entreprises Points forts de la loi 25

  1. Notification de la violation : La loi 25 exige la notification rapide d'une violation de données susceptible de causer un "préjudice grave". Les entreprises du secteur privé doivent en informer la Commission d'accès à l'information (CAI) du Québec, ainsi que tous les consommateurs concernés (délai recommandé : 48 heures). Le défaut de déclaration peut entraîner des amendes et des sanctions pouvant aller jusqu'à 4 % du chiffre d'affaires (ou 25 millions de dollars canadiens, le montant le plus élevé étant retenu). Un montant supplémentaire de 2 % ou 10 millions de dollars canadiens est laissé à la discrétion des autorités de réglementation pour imposer des sanctions administratives pécuniaires (SAP).
  2. Personne en charge des informations personnelles (PCPI) : La loi 25 confie la responsabilité de la protection de la vie privée et des données au cadre supérieur le plus haut placé (PDG). Les autres personnes désignées comme PCPI doivent être nommées et publiées sur le site web de l'entreprise.
  3. Évaluation de l'impact sur la vie privée (PIA) : La loi 25 reconnaît que la protection de la vie privée et le traitement approprié des données sensibles ne sont pas des initiatives ponctuelles. Les données sont au cœur de toutes les entreprises. Au fur et à mesure que les entreprises changent, se transforment et évoluent, les données peuvent être affectées (par exemple, en cas de fusion ou d'acquisition, de modernisation informatique, d'intelligence artificielle (IA) ou de développement d'applications). La loi 25 exige des entreprises qu'elles réalisent une évaluation des facteur relatifs à la vie privée (ÉFVP). Les évaluations d'impact sur la vie privée doivent couvrir les données impactées, la manière dont elles sont utilisées et protégées, et la manière dont la vie privée est préservée.
  4. Consentement renforcé : La loi 25 exige que les entreprises privées obtiennent le consentement des consommateurs avant de collecter, d'utiliser ou de partager des données personnelles. Toutefois, dans certains cas, les entreprises peuvent traiter des données personnelles sans consentement lorsqu'elles effectuent une transaction commerciale ou mènent des recherches. Pour les autres activités, les entreprises doivent être en mesure de montrer comment les données personnelles sont utilisées (à des fins commerciales). Pour les informations sensibles, le consommateur doit avoir expressément consenti à leur utilisation.

Nouveaux droits des consommateurs

À partir de septembre 2023, les consommateurs ont désormais les droits suivants :

  • Droit d'être informé d'une violation.
  • Droit d'accès à ses données
  • Droit de rectification de ses données
  • Droit à la suppression de ses données.
  • Droit de retirer son consentement à la collecte de données à caractère personnel.
  • Droit de restreindre le traitement des données à caractère personnel.
  • Droit d'action (dommages-intérêts civils d'un montant minimum de 1 000 dollars canadiens)
  • Droit à la portabilité des données (à partir de septembre 2024)

Loi 25 Respect de la vie privée avec OpenText by Voltage


Voltage offre des technologies améliorant la confidentialité et préservant la vie privée

La technologie améliorant la confidentialité (TAC) fait référence aux technologies conçues pour améliorer la protection de la vie privée en réduisant la quantité de données personnelles collectées et partagées. Ces technologies comprennent la détection des IPI, la dépersonnalisation, l'anonymisation et les techniques de minimisation des données. Les TAC visent à réduire le risque que les données personnelles soient utilisées ou détournées d'une manière qui pourrait nuire à l'utilisateur si elles n'étaient pas traitées de manière éthique.

La technologie de préservation de la vie privée (TPVP) fait référence à un sous-ensemble de technologies améliorant la confidentialité qui offre une variété de techniques et d'outils conçus pour protéger la vie privée des individus et des organisations lorsqu'ils partagent, collectent ou traitent personnellement des données. Ces technologies sont utilisées dans différents contextes, notamment la protection de la vie privée des consommateurs, l'analyse des données et la gestion du cycle de vie des données. L'objectif des TPVP est de garantir que les données personnelles restent sécurisées et ne peuvent être consultées ou utilisées par des parties non autorisées.

Voici quelques exemples de technologies de préservation de la vie privée :

  • Le chiffrement: préserve les données d'une utilisation ou d'un accès non autorisé ou permet de voir les données en clair.
  • Le masquage des données : préserve les données en supprimant les informations personnelles identifiables (IPI) des ensembles de données, ce qui rend difficile de remonter depuis les données jusqu'à des personnes spécifiques.
  • La tokenisation : préserve les données en remplaçant les données sensibles par un jeton unique et réversible qui peut être utilisé pour représenter les données, mais qui ne peut pas être utilisé pour révéler les données elles-mêmes sans la présence du jeton.
  • Anonymisation : préserve les données en remplaçant les IPI par un pseudonyme ou un faux nom qui ne permet pas de remonter jusqu'à la personne concernée.
  • La minimisation des données : préserve les données en ne collectant et en ne stockant que le minimum nécessaire pour atteindre un objectif spécifique, en réduisant le risque de mauvaise utilisation ou d'abus des données ; et,
  • Contrôle de l'accès aux données : préserve la vie privée en veillant à ce que des parties non autorisées ne puissent pas accéder à des données personnelles ou les utiliser.

Ces technologies de préservation de la vie privée sont essentielles aux opérations d’affaires, car les organisations doivent trouver un équilibre entre la collecte et l'utilisation des données des clients et leur obligation de protéger les informations personnelles des individus contre l'accès, l'utilisation ou le partage sans leur consentement.

Voltage Data Privacy and Protection aide les organisations dans les domaines suivants de la Loi québécoise sur la protection des données 25 :

Le droit de suppression - Article 27

Les capacités de découverte de données de Voltage Fusion aident les organisations à comprendre la valeur de leurs données et comment elles peuvent appliquer des objectifs d’affaires ainsi que des politiques de conservation et de disposition sur les données de grande valeur en cours d'utilisation Cela permet de minimiser les perturbations causées par les demandes liées aux droits des sujets. Par exemple, dans les cas où le droit de suppression est demandé et valide, Voltage peut supprimer ces données de l'emplacement source ou de l'application principale.

Objectif commercial - Section 8(1)

Les fonctions de découverte de données permettent de comprendre et d'analyser les données sensibles. Elles peuvent étiqueter dynamiquement les données avec des catégories qui correspondent aux réglementations, en particulier en ce qui concerne l'objectif d’affaires pour lequel les informations personnelles ont été collectées.

Minimisation des données - Article 12, paragraphe 2 (1)

Au cours des processus de découverte des données, aider à identifier ce qui doit être conservé et ce qui peut être minimisé ou supprimé. Par exemple, cela peut aider à déterminer si les données sont en double, redondantes ou obsolètes. En outre, les données d'application peuvent être archivées et supprimées afin de réduire les menaces et d'améliorer la conformité et les mesures de sécurité.

La protection des données - article 12, paragraphe 2(3), article 13

Les services de protection des données de Voltage aident les organisations à dépersonnaliser les données sensibles (masquer, chiffrer, tokeniser). Lorsque des données sensibles sont dépersonnalisées, la Loi 25 considère qu'elles ne sont plus directement identifiables à l'individu. Les capacités de protection des données de Voltage peuvent également contribuer au respect de cette exigence en garantissant que les données sensibles ne puissent être ré-associées à l'individu.

Voltage peut :

  • Chiffrer les données à la source ou s’appuyer sur des bases de données d'entreprise (entrepôts de données dans le cloud, plateformes d'analyse et d'IA). En cas de violation, cela peut protéger les organisations contre les sanctions et les amendes. (Section 12)
  • Protéger l'identité et les informations personnelles via le masquage dynamique des données lorsqu'elles sont utilisées par l'entreprise. (Section 13)
  • Appliquer des politiques de cycle de vie de l'information aux données afin de s'assurer que les exigences en matière d'utilisation professionnelle et de suppression des données sont respectées automatiquement.

Portabilité des données - Section 4 (d)

Si une demande de portabilité des données est faite et qu'elle est valable, Voltage peut produire les informations de la personne concernée dans un format structuré, couramment utilisé et lisible par machine.

En résumé

Voltage Data Privacy and Protection fournit une technologie qui, dans un cadre de confiance des données, découvre et protège les données, améliorant ainsi la sécurité et assurant la conformité à des réglementations comme la Loi 25. Voltage d'OpenText permet aux entreprises de réduire les risques liés aux informations, de garantir le respect de la confidentialité et d'assurer un accès rapide aux données critiques qui sont le moteur de l'activité. Voltage protège et préserve les données et atténue le risque lié au traitement des données sensibles tout en soutenant d'autres initiatives de l'entreprise qui favorisent la croissance, l'efficacité opérationnelle et la durabilité.

Pour plus d'informations sur Voltage Fusion, consultez notre chaîne YouTube : https://youtu.be/3CSxK60_cJs?si=DFxdgq9Ou-CJANVf

Pour savoir comment Voltage aide ses clients à respecter d'autres réglementations en matière de protection de la vie privée, veuillez consulter le OpenText Cybersecurity Privacy Hub :  Voltage Fusion Data Security Platform - Data Security Platform

Labels:

Data Privacy and Protection