Bienvenue à tous !
La cybersécurité et l’hygiène numérique sont des termes qui font désormais partie de notre vocabulaire et de l’actualité.
Lorsqu’il est question de cybermenaces, nous pensons immédiatement aux initiatives que doivent prendre les grandes corporations, mais rarement aux comportements des utilisateurs. Pourtant, ceux-ci sont la cause principale des incidents compromettant les opérations d’une entreprise!
Due à la méconnaissance des bonnes pratiques de la part des gestionnaires et des employés, la fraude et le piratage pourraient mettre à risque et atteindre gravement la réputation de votre entreprise.
Aujourd’hui, notre experte en cyberprévention revient sur l’adoption de la loi 25 et comment les PME doivent s’y conformer et se préparer aux exigences de 2023.
Bonne écoute !
Le compte LinkedIn de Simon : www.linkedin.com/in/simondeschenes
Et celui d’Emeline : https://www.linkedin.com/in/cyberemanson/
[00:00:00] Ce podcast est propulsé par une firme spécialisée dans le développement des affaires numériques. Bonjour et bienvenue au podcast B2B and Go, le podcast qui vous sert à chaque épisode une bonne dose des meilleurs outils et pratiques de vente et marketing B2B. C’est dans une formule pour emporter que Simon Deschênes et ses invités discutent des meilleures stratégies numériques et tendances de l’industrie, toujours sous le thème de la croissance des ventes. La table est mise pour vous présenter le B2B sous un nouvel angle. Bonne écoute.
[00:00:41] Bonjour, Alors aujourd’hui on aborde un sujet qui qui a l’air de s’éloigner un peu du thème de la croissance des ventes mais qui est la cyber prévention. Donc pourquoi on aborde ça aujourd’hui? C’est que toutes les entreprises, toutes les PME, tous ceux qui sont à la direction des PME, qui nous écoutent, savent très bien que l’aspect de la conformité est importante. Quand on parle de la conformité, on parle de de comptabilité, entre autres. Tout ce qui est fiscalité avec le gouvernement s’en est de la conformité vis à vis de la conformité dans plusieurs domaines de vos opérations. Mais il y en a aussi et il y a quelque chose d’actualité qui vient de tomber, c’est à dire qu’on avait. Il y avait un projet de loi qui était le projet de loi 64, qui est devenu la loi 25, qui est sorti le 22 septembre et qui concerne la cyber prévention, c’est à dire la conformité au niveau des technologies de l’information. Et aujourd’hui, pour nous en parler, on a une experte avec nous, Emmanuelle Manson, Eminem.
[00:01:40] Bonjour, bonjour, Merci.
[00:01:42] Bienvenue au podcast!
[00:01:43] Je suis tellement contente! C’est un podcast que j’écoutais, puis là d’être là, c’est vraiment, vraiment nice.
[00:01:47] C’est le fun ça. C’est le fun d’entendre écoutez, mêlé peut être nous parler de qui tuer parce que bon, on peut te voir à travers les médias, tu agis comme expert conseil dans plusieurs pour plusieurs articles récemment, surtout récemment parce que c’est d’actualité. Donc parle nous de toi un peu.
[00:02:05] Avec plaisir. J’ai une entreprise de formation d’accompagnement en prévention des fraudes en cybersécurité et je viens plus d’un bagage en crimino. À la base, j’ai un bac en criminologie et j’ai été longtemps intervenante psychosociale justement en toxicomanie itinérance, ça n’a pas trop rapport avec la cyber pour le moment, mais ça, ça fait en sorte qu’on développe de grosses valeurs de relation, d’aide, d’écoute, d’accompagnement. Et j’ai été chercher une petite saveur cyber à mon bagage via un certificat en cyber enquête à Polytechnique Montréal. Où est ce que j’ai aujourd’hui la chance et l’honneur d’enseigner? Je donne trois cours en cyber fraude, cyber enquête et j’ai eu aussi quelques expériences dans le domaine plus bancaire au niveau des fraudes et des clients qui se faisaient frauder. Mais je peux pas croire qu’ils ont cliqué à cette place là. Donc quand on pense cybersécurité, on pense beaucoup à l’aspect technique, technologique, mais on a un humain derrière notre écran aussi. Donc moi mon travail, c’est de l’accompagner cet humain là, pour m’assurer que le pouvoir qu’il a sur la technologie, il s’en serve comme il faut pour éviter de cliquer le clic de trop et de ou d’envoyer le courriel qu’il ne faut pas.
[00:03:06] Donc si je comprends bien, ça fait de la formation en entreprise sur le thème de la cyber prévention? Exact.
[00:03:12] Tout à fait.
[00:03:13] Tu formes les employés, les gestionnaires et les équipes et tout.
[00:03:17] Exact. Exact.
[00:03:19] Super, écoute. Peut être nous parler de. On parle de cyber prévention versus cyber sécurité. Tu nous as fait un peu la différence parce qu’on parle plus de l’humain versus la technologie. On parle aussi de. On parle de la loi 25. Bon, j’ai pas nommer ce que c’était. Peux tu nous expliquer un peu en qu’est ce que c’est le quoi finalement de cette de cette nouveauté là?
[00:03:42] La loi 25, c’est une loi qui vient encadrer davantage les dispositions au niveau de la protection des renseignements personnels. Donc toute entreprise, toute personne, tout travailleur autonome qui travaille avec des renseignements personnels, il y a des choses à mettre en place pour s’assurer que le citoyen, ces renseignements, soit protégé, soit convenablement collecté, conservé, détruit. Ultimement. Donc, c’est comme tout le processus qui entoure les renseignements personnels de s’assurer que d’éviter les fuites de données. Parce que, tu sais, on en a eu beaucoup quand même, des entreprises, des grosses entreprises qui ont eu des fuites de données dernièrement dû à des attaques dues à des rançongiciel, peu importe, et ça c’est des incidents de confidentialité. Donc le gouvernement va un peu plus et c’est Québécois. C’est une loi québécoise qui veut un peu plus encadrer ça, justement. Et on pourrait insister sur les les aspects négatifs de dire si tu te conformes pas, tu vas avoir des amendes, etc. Mais on peut aussi t’aider en plus dans le côté vente qui vous est plus cher de dire ça peut être un argument aussi pour se démarquer auprès de nos clients de dire nous on a déjà mis des choses en place. Bref, je vais un petit peu plus loin dans la thématique et je dépasse un peu le cadre de ta question. Mais grosso modo, c’est les dispositions au niveau des renseignements personnels.
[00:04:50] Mais bon, on peut un peu se demander est ce que ce qu’on a le choix de se conformer à ça ou là c’est une loi? Donc en quoi, en quoi ça consiste? Puis je pense que c’est important, puis on est à l’amener parce qu’on en entend parler, mais peu de gens en ce moment, un peu d’entrepreneurs ou de chefs d’entreprise savent vraiment qu’est ce que c’est, pourquoi il faut se conformer.
[00:05:14] Pourquoi se conformer? Parce que c’est une loi et qu’on va nous taper sur les doigts s’il arrive quelque chose et si on n’est pas content.
[00:05:20] Parce que la loi est déjà en place et il y a déjà des mesures répressives prévues maintenant ou le calendrier.
[00:05:26] Non, il y a déjà des choses quand même sur lesquelles on peut, on peut nous chicaner, si je peux dire. C’est une loi qui va entrer en vigueur de façon progressive sur les trois prochaines années. On a eu un premier deadline qui est déjà passé, qui était le 22 septembre de cette année, donc 22 septembre 20, 22, On a d’autres choses à faire pour le 22 septembre 20, 23 et ensuite septembre septembre 20 24. Donc plusieurs choses à mettre en place là, ce qui était important pour le 22 septembre. Donc on a peut être des délinquants qui nous écoutent en ce moment, mais on va pouvoir rattraper et rattraper le tir. Première chose hyper importante, ça va être de nommer un ou une responsable des renseignements personnels par défaut en ce moment. Si les gens qui nous écoutent ont aucune idée de ce que c’est le responsable par défaut, c’est la plus haute personne au sein de l’entreprise, la plus la plus haute hiérarchie de l’entreprise qui occupe ce rôle, peut être sans le savoir. Donc, c’est c’est un enjeu, c’est un rôle qui peut être délégué à l’interne, à quelqu’un d’autre, à l’interne ou à l’externe aussi. Et une autre chose qui est importante avec ce rôle de responsable, c’est qu’il doit être affiché sur le site web. Donc on doit afficher sur notre site web, soit si on a déjà une politique de confidentialité qui est en place, l’intégrer dans cette politique, ses coordonnées ou bien dans notre section Contacts, ajouter les coordonnées du responsable de la protection des renseignements personnels. Ça c’est un premier aspect. Est ce que avant que j’embarque dans l’autre aspect, tu as des petites questions par rapport à est de coutume?
[00:06:53] Là c’est quand même récent, mais qu’est ce que tu vois dans le portrait des PME? Est ce qu’on nomme des gens nécessairement en TI? Absolument. Est ce que ça peut être je dis n’importe quoi, un comptable qu’on a, qui est à l’externe? Est ce que ces gens là doivent être rémunérés pour pour occuper ce poste là? Comme quel genre de pratique tu vois sur le terrain avec ça?
[00:07:12] Alors je pose souvent, je veux donner de la formation justement auprès de certains groupes, auprès de chanter, auprès de gens en RH, puis ou même de dirigeants d’entreprises. Je leur pose la question vous, qu’est ce que vous en faites? Est ce que vous gardez ce rôle là? Est ce que vous le déléguer à l’interne, à l’externe? Et malheureusement, j’ai un des choix de réponse dans mon petit questionnaire que les gens sont. On n’a aucune idée encore et que les gens ne le savent pas trop. Pour l’instant, je dirais que je le vois beaucoup être délégué. Encore une fois, ça dépend de la taille de nos entreprises, mais déléguer plus aux équipes comme tu dis à l’interne comptable, aux gens en RH, aux gentils. Mais je trouve que les gens en TI et les gens en RH ont déjà beaucoup de choses sur leur bureau par exemple, mais ou alors plus s’il y a un département juridique, des avocats à l’interne, ça se serait comme généralement le best.
[00:07:54] C’est une nature.
[00:07:55] Exacte parce qu’il y a beaucoup le le rôle du responsable de la protection des renseignements personnels. C’est un grand aiprp pour les intimes. Il a quand même beaucoup de choses qui s’ajoutent à sa liste de tâches habituelles. Parce que ce responsable là, il doit entre autres mettre en place plusieurs politiques et procédures. Ça, c’est ce qu’il va y avoir à faire pour 20 23, Donc des politiques, des procédures entourant. On parlait de la politique de confidentialité. Si on n’a pas de politique de confidentialité actuellement, mais pour 20 23, il va falloir en avoir une sur son site web. Pareil au niveau de la collecte des renseignements, de la destruction des renseignements, toutes ces choses là. Il y a beaucoup, beaucoup de travail à faire. Donc ce responsable là, son rôle, ça va être de s’assurer qu’on est conforme, s’assurer de respecter la loi. Et aussi, quand il y a un incident, c’est cette personne là qui va chapeauter un petit peu toute la gestion de crise, indirectement toute la documentation de cette crise là. Donc, oui, de gros rôles quand même.
[00:08:52] Donc. Donc, ce que tu constates, c’est qu’il y a beaucoup d’entreprises qui n’ont pas de normes ou de facto. Le Président lorsque tu poses la question, on vient de comprendre que c’était lui, c’est ça? Oui.
[00:09:03] Je veux une petite précision parce que c’est une question qu’on m’a posée dernièrement. Et exemple dans le cas de OBNL OBNL, à ce moment là, qui serait le responsable? C’est plus au niveau du C.A. Et là, le C.A. Va le déléguer plus, peut être au directeur général, mais sinon, c’est au Sénat que revient ce rôle.
[00:09:20] Lorsqu’il y a un conseil d’administration par exemple, souvent les gens sont habitués un peu plus de règles, plus de décorum, de conformité. À ce moment là, j’imagine que le cadre est déjà prévu, ou du moins, il s’en occupe davantage.
[00:09:32] Puis c’est pas rare qu’on ait un membre du C.A. Qui soit avocat ou qu’il y ait un peu ce chapeau légal là. Donc ça vient vraiment faciliter. Et moi, c’est quoi le contraire d’alourdir plus léger, allégé?
[00:09:47] Bon, là on rentre dans le cœur du sujet, dans le contenu. Homme de la loi comme tel. C’est quoi un renseignement personnel?
[00:09:54] Un renseignement personnel? Alors c’est. Il y a comme une petite définition en fait, comme deux définitions, dépendamment de de l’organisme où est ce qu’on va regarder ça? Mais c’est un renseignement qui permet d’identifier quelqu’un. Donc on peut penser, il y a des renseignements personnels qui sont plus évidents que d’autres. Quand on pense au nom prénom d’une personne, à une date de naissance, à une adresse, c’est beaucoup plus évident. C’est des choses auxquelles on pense le plus. Les adresses courriel aussi, c’est dans le domaine. On va avoir tendance à collecter beaucoup d’adresse courriel, mais il y a aussi des renseignements personnels qui sont moins évidents, qui nous viennent moins à l’esprit du type une adresse IP, c’est une adresse IP, on a quelqu’un qui vient sur notre site web, on collecte l’adresse IP, tout ce qui traite aussi de dossiers plus médicaux, de renseignements médicaux. La personne, quelle langue est ce qu’elle parle? Donc c’est plein d’informations qui qui permettent d’identifier directement ou indirectement une personne. C’est très large et une personne.
[00:10:50] Une personne physique ou une adresse. O Une personne morale aussi parce que.
[00:10:55] Personnes.
[00:10:55] Physiques, personnes physiques. Donc une entreprise qui fait affaire avec une autre entreprise, qui collecte des informations sur cette entreprise là, ce n’est pas couvert par la loi.
[00:11:06] Sur les renseignements professionnels, ne sont pas couverts par cette loi là.
[00:11:10] Ok, ok, c’est vraiment personnel. Est ce que j’imagine les informations de paiement, une carte de crédit de quelqu’un par exemple, ça en fait partie aussi? Ok.
[00:11:20] On oublie ça, les spécimens de chèques. Mais oui, est ce que les.
[00:11:23] Documents échangés en font partie aussi?
[00:11:26] Ça dépend ce que contient le document. Si c’est un document justement qui va contenir un nom, une date de naissance, un numéro d’assurance sociale, clairement oui.
[00:11:34] Aussitôt qu’il y a un nom, ça peut être le cas. Oui, oui, ok, ok, c’est quand même assez, assez extensif. Il y a beaucoup de choses là dedans. Qu’est ce que tu nous parlais de la première échéance qui est le 22, le 22 septembre? Et après ça, il va y avoir le 22 septembre 2023 2024 aussi. Il y a d’autres, il y a d’autres milestones. Qu’est ce qui se passe si on se fait prendre? Puis comment ça va être en renforcer cette loi là? Comment ça va être maintenu, où il va y avoir une police, des hommes, des renseignements personnels, il va y en.
[00:12:07] Avoir qui existent déjà, mais qui est toute neuve elle aussi, et qui s’adapte un petit peu à cette nouveauté, c’est la commission d’accès à l’information. Ça va être un peu la police indirectement. Mais tu sais, demain matin, si on n’est pas conforme, c’est un petit peu comme pour n’importe quelle autre loi, ça va beaucoup être sous forme de dénonciation, c’est qu’il y a eu un incident puis que la les gens ne sont pas contents et vont targeté. Ça a été ciblé, ça, à la Commission d’accès à l’information. Donc, là, oui, ils vont mettre un peu plus le nez dans nos choses, mais sinon ils vont avoir tellement de job eux aussi que je ne pense pas qu’on va avoir des visites aléatoires. Je dis ça, on ne sait pas, mais ça m’étonnerait que ce soit plus comme on le voit avec Revenu Québec ou peu importe, plus sous forme de dénonciation. Et ce qui va être important quand même, c’est qu’il y a quand même des choses à faire qui sont accessibles quand on les décortique. C’est vrai que quand on regarde la loi comme ça, ça paraît un petit peu complexe et compliqué et c’est normal. Mais si on décortique ça, comme tu disais en milestones, en différentes étapes, ça devient un peu plus facile et réaliste. Donc on a parlé de la première étape qui était de nommer une responsable des renseignements de la protection et de.
[00:13:14] L’afficher sur.
[00:13:15] Le site web. Ça, c’est la première chose. Et deuxième chose qui était à faire pour cette année pour 20 22, c’est de de créer ou en tout cas d’avoir un espèce de un registre des incidents de confidentialité. Donc ça, à quoi ça ressemble si les gens sont plus visuels, mais c’est tout simplement un fichier Excel, c’est d’avoir un fichier Excel avec dans tes colonnes. Il est arrivé un événement à telle date, à telle heure. C’est quoi.
[00:13:37] Un incident?
[00:13:39] Ça c’est un bon point. Donc il y a comme quatre. Je vais peut être en oublier toujours. On oublie toujours un, mais il y a quand même quatre caractéristiques pour savoir ce qu’est un incident. C’est quand il y a eu la perte d’un renseignement personnel, quelqu’un qui a accédé à un renseignement personnel et qui ne l’aurait pas été supposé. Donc un accès non autorisé, donc un incident, ça et finalement j’en oublie deux sur les quatre, mais on pourra les mettre probablement dans les notes. De toute façon, j’invite tout le monde à aussi aller faire un petit tour sur le site de la commission d’accès à l’information. C’est hyper complet. Ils ont quand même fait un gros travail de de vulgarisation aussi, mais un incident c’est ça, c’est un renseignement sous ta responsabilité. Puis tu es un petit peu échappé des mains finalement.
[00:14:19] Donc il faut noter la date, la nature de l’incident, puis la date.
[00:14:23] C’est ça qui est arrivé. Pourquoi est ce que c’est arrivé? Puis un peu le post-mortem aussi. Qu’est ce qu’on a mis en place pour ne plus que ça arrive? Donc c’est un peu ça l’idée. Puis ultimement, on veut que ce document là reste vierge ultimement. Là, jour un il va l’être, mais ultimement, on veut qu’il le reste aussi. Donc c’est pour ça que certaines personnes me disent toi, tu es plus en cyber prévention cybersécurité, ça a été comme t’es pas avocate non plus. Pourquoi est ce que tu t’intéresses à la loi 25? Comme déjà moi étant une entreprise, j’ai dû. Me conformer puis comprendre qu’est ce que ça prend donc? Autant partager cette vulgarisation à tout le monde, mais aussi que c’est bien beau d’avoir un registre d’incidents, mais comme je le disais, ultimement, on veut qu’ils restent vides pour qu’ils restent vides. Il faut mettre des processus de sécurité un peu plus en place, faut adopter de bonnes pratiques au niveau de la gestion de nos données, au niveau de la gestion des renseignements pour éviter que ça arrive.
[00:15:10] Puis l’accès aussi à différentes personnes au sein de l’entreprise. Mais ça, ça veut dire aussi, je veux dire se doter de logiciels qui de suite bureautique digne de ce nom, c’est à dire que ça oblige un peu les entreprises à investir là dedans. Oui.
[00:15:26] Oui, avoir ça permet, c’est un peu. Et si on revient à un aspect plus positif que négatif, comme on disait tout à l’heure, ça permet de de s’organiser un petit peu plus, puis ultimement d’optimiser son temps. D’une certaine façon, quand on vient chercher ces outils là. Et après c’est la notion au niveau de la gestion des accès, comme tu disais, c’est bien beau, OK, on est passé à tels outils pour gérer les documents, pour gérer les dossiers, mais qui a accès à quoi dans l’entreprise? Puis là j’ai quelqu’un qui quitte, il faut révoquer les accès. Donc il y a comme toute une gestion aussi. Ensuite à faire de. Dans un premier temps, oui, faire la liste de c’est quoi les renseignements personnels qu’on collecte? Mais qui y a accès? Et ils sont où ces renseignements personnels là? Donc on peut décortiquer aussi, c’est certaines étapes qui vont être à mettre en place pour assurer la bonne gestion de ces données.
[00:16:12] Ultimement, les mots de passe, c’est, je pense à même nous, on détient des mots de passe de plateforme de nos clients comme tel. S’en est un renseignement personnel. Je suppose qu’il faut aussi prendre soin de détruire ou d’effacer, d’avoir une politique pour la suite. Est ce qu’on parle de On parle de politique? Il va falloir en rédiger une. Moi j’ai une première question plus détaillée la personne qui est notre responsable qu’on identifie, qu’est ce qu’il faut mettre? Son nom, son prénom, son nom, une adresse courriel, des coordonnées pour la joindre ou comment ça fonctionne.
[00:16:43] Ça, ça rentre justement dans la section de nommer ce responsable là, puis d’afficher ces renseignements sur le site web. C’est à cet endroit là que peuvent être indiquées. Et tu vois, certaines entreprises et certains même bureaux d’avocats ne vont pas nommer une personne en tant que tel. Ça ne va pas être Emeline Manson, mais on va avoir créé une adresse courriel générale par contre. Donc ce n’est pas. Vous pouvez écrire à Emeline Manson, c’est vous pouvez écrire à vie privée à notre nom de domaine. Donc ça permet aussi de. Si jamais il y a du changement à l’interne et que le rôle change, au moins c’est une adresse courriel générale aussi. C’est tout simple pour vrai, c’est un petit paragraphe. Les gens peuvent aller voir sur mon propre site web. C’est un petit paragraphe vraiment de quelques lignes pour dire bon, renseignement, voici une adresse courriel. On vous répond dans les 30 jours et ça peut.
[00:17:31] Être compliqué pour que les gens puissent poser des questions. Ok, lorsque tu parles de politique, ça, à chaque fois qu’on mentionne le mot politique, on a l’impression qu’on va s’asseoir là dessus devant un ordi pendant à peu près quatre jours pour la pondre. Est ce qu’il y a des guides? Est ce que est ce qu’il y a une façon de faire? Est ce qu’il y a un mode d’emploi sur sur le site de la commission pour savoir comment la rédiger? Est ce qu’il y a des indications ou on y va comme on pense?
[00:17:58] La Commission d’accès à l’information va beaucoup plus nous aider et c’est un peu leur promesse pour plus des des procédures à l’interne. Mais pour la politique, la politique, il y en aurait qu’une seule théoriquement, qui est la politique de confidentialité qui va être affichée sur le site web. Quand j’en parle à mes entrepreneurs, il y en a qui vont être tentés d’écrire sur Google politique de confidentialité puis d’y aller avec certains templates. Il manque quand même les templates qu’on peut avoir en ligne. Manque les notions importantes concernant la loi 25 parce que la loi 25, quand on regarde, c’est encore tout neuf. Donc on va avoir des politiques et elles ne sont pas complètes, elles ne sont pas complètes, puis elles n’incluent pas certaines choses qui sont importantes. Concernant la loi 25 spécifiquement, je sais que c’est c’est un budget supplémentaire qu’on n’avait pas nécessairement prévu, mais un avocat serait vraiment, vraiment la meilleure personne qui pourra nous aider à ce niveau là. Il va pouvoir nous poser les bonnes questions parce qu’une politique de confidentialité, ça nomme quels sont les renseignements personnels qu’on collecte? Ça nomme avec quelle application tierce est ce qu’on travaille? C’est vraiment très personnalisé en fonction de l’entreprise et de sa réalité et des outils qui sont utilisés. Donc on ne peut pas faire un copier coller de la politique de quelqu’un d’autre, on peut l’adapter soi même. Mais moi je dirais quand même contrevérifié ça avec un avocat. Ultimement oui.
[00:19:14] Puis un avocat. Dans quelle spécialité de droit des affaires tout simplement, où il y a. Est ce qu’il y a des avocats qui se spécialisent là dedans? Si c’est le cas, c’est oui à quel niveau?
[00:19:24] Mais dans les bureaux d’avocats, généralement, c’est rare qu’on trouve un avocat qui est tout seul. Généralement, un avocat va être avec d’autres avocats qui ont chacun leur propre expertise. Mais oui, il y a de plus en plus des avocats qui sont spécialisés au niveau de la protection des renseignements personnels. Donc c’est plus ces avocats là qu’il faudrait aller.
[00:19:43] Dans des cabinets qui traitent du droit des affaires, entre autres, une spécialité qui devrait aller là. Là tu nous parlais de nommer une personne, avoir une politique pour 2023. Mais l’Islande de 2024, c’est quoi alors 2024?
[00:19:58] Et là tu es passé vite sur 2023? Peut être que je suis allé trop vite.
[00:20:01] On revient à des choses.
[00:20:03] Pour 20 23 donc politique de confidentialité pour le site web qu’on vient d’aborder. Mais il va y avoir aussi plein de procédures à mettre en place à l’interne. Et ça, ça va être le rôle du responsable de la protection des renseignements personnels. Ça va être de dire bon, ben, un citoyen, un usager, un client, peu importe comment on peut nommer cette même personne, peut à un moment donné cogner à notre porte et nous dire Hey, je veux que tu me fournisse tous les renseignements personnels que tu détiens sur moi. Donc quand on reçoit ce type de demande, il faut avoir quand même une procédure à l’interne pour savoir comment on traite ça, comment on fait, de quelle façon on le fait. Donc une procédure qui vient justement couvrir la demande de renseignements personnels d’un client. Il y a aussi ce client là, si jamais il le souhaite, il peut pas porter plainte parce que ça fait référence à la police mais plus. Il y a quand même le mot plainte dans ce que dans ce que je veux dire, mais en tout cas nous flaguer de dire et je ne suis pas d’accord avec les informations que tu as, je veux que tu les supprimes. Exemple Donc je veux que tu supprimes les informations que tu détiens me concernant. Là encore, notre responsable, il faut qu’il y ait une procédure en place de dire est ce que la demande est recevable si c’est encore un client en cours? On s’entend que je ne peux pas effacer ces renseignements personnels. On en a encore besoin. On travaille ensemble, mais peut être que dans d’autres contextes, c’est légitime et à ce moment là, il va falloir les supprimer. Comment je les supprime? Est ce que je les anonymise? Ça, c’est une autre notion aussi de dire on la garde, mais on enlève l’information qui identifie directement ou indirectement le client.
[00:21:28] Donc c’en est une autre. Qu’est ce qu’on peut avoir d’autre? C’est une politique aussi. J’ai un incident. Qu’est ce qu’on fait? On a un incident de confidentialité? C’est quoi les étapes? Donc je suis quelqu’un qui aime bien les procédures et les politiques de façon pas politique, mais plus les procédures de façon générale. Donc je trouve ça bien d’encadrer tout ça et c’est de dire quand vient le moment, quand le feu est pogné, notre cerveau est plus apte à penser à tout ce qu’il y a à faire. Donc c’est en fait c’est simplement une checklist, C’est vraiment juste une liste de contrôle de dire Il arrive ça, c’est quoi la prochaine étape? Puis c’est beaucoup mieux de créer cette liste là quand on a la tête un peu plus sereine pour pouvoir penser à des choses que quand le feu est pogné, on pense pas. Exemple rien que ça peut être bête, mais il y a l’incident de confidentialité, donc là on intervient mais on oublie de l’indiquer dans notre registre des incidents, mais c’est important. Donc c’est plein de petites étapes, puis il y en a d’autres, des politiques. Si on peut penser à une politique au niveau des employés pour assurer le bon roulement des employés, Quand j’ai quelqu’un qui quitte, qu’est ce que je fais? Qu’est ce qui est révoqué quand j’ai quelqu’un qui est promu à l’interne, Qu’est ce que je fais? Qu’est ce qui doit être évoqué? Qu’est ce qui doit être ajouté? Donc un peu toutes, toutes ces idées, j’en oublie peut être en termes de procédures, mais globalement, les plus importantes ont été nommées, C’est intéressant.
[00:22:43] Puis, dans le fond, les procédures, ça me fait penser un peu à un plan de gestion de crise lorsqu’on est à risque, ça fonctionne pas mal mieux quand on lui a prévu avant que quand on vit la crise en improvisation. Mais mon Dieu, après les politiques, après avoir nommé quelqu’un, après les procédures, qu’est ce qui va rester à faire? Il me semble que tout est fait pour 2024.
[00:23:04] Alors attends, on va 23. J’ai une dernière chose qui m’est, oui, qui m’est venue en tête. Une toute nouvelle notion aussi, c’est l’évaluation des facteurs relatifs à la vie privée. C’est une évaluation qui doit être faite par le responsable des renseignements personnels, responsable de la protection des renseignements personnels. Ça, c’est encore un peu nébuleux. Comment est ce que ça va être mis en place? Mais grosso modo, ce qui est dit et la compréhension qu’on en a jusqu’à maintenant, c’est si jamais on travaille avec un fournisseur qui héberge les. Et là je simplifie, mais qui héberge les données à l’extérieur du Québec. Il faut quand même faire une évaluation des facteurs de risque, puis que la conclusion confirme que ok, c’est le risque a été mesuré, le risque est acceptable et on peut travailler avec eux encore. Donc si on regarde, on parlait de certains outils collaboratifs tout à l’heure, on peut nommer Microsoft, on peut nommer Google, mais Google, il n’a pas de serveurs du tout. Même au Canada. Et Microsoft c’est au Canada, mais c’est pas au Québec. Donc ça va amener des enjeux pour beaucoup de personnes de faire ces évaluations. Donc ça, c’est encore un peu nébuleux. Puis il y a d’autres, d’autres d’autres moments où est ce qu’une évaluation serait à faire aussi, Mais ça, c’est un élément important. Et pour 20 24, enfin, c’est l’année la moins chargée en terme de liste. Et quand tu regardes la liste des choses à faire, elle est moins importante.
[00:24:23] Mais ça aborde la notion de droit à la portabilité des données. Ça, ça veut dire que si demain exemple encore une fois, je caricature, je caricature pas, mais je mets des images un peu parce que c’est abstrait. Si demain j’ai un client qui ne veut plus travailler avec moi et qui souhaite que je transfère son dossier complet à une autre entreprise, je devrais être supposé pouvoir le faire dans un format prédéfini. Donc exemple, l’exemple le plus illustré que je peux que j’ai pu trouver en lien avec ça, c’est exemple dentiste Je suis un dentiste, puis là, mon client il a déménagé et il a droit à la portabilité. Ce serait ça, c’est de dire le dossier médical, je le transfère à un autre professionnel. Donc ça, ce métier là, les dentistes le font déjà, les médecins le font déjà, ce type de démarche, mais ça va être à faire pour toutes les autres entreprises aussi. Ça n’inclut pas les si on en a fait un travail avec le client. Le contenu du travail qu’on a fait ensemble n’est pas concerné par ça, bien entendu, mais les informations, les renseignements personnels de la personne, son dossier un petit peu plus avec ce qui concerne les choses identifiables directement ou indirectement. Ça, on devrait pouvoir le transférer. C’est ça la trois, c’est ça aussi, c’est abstrait encore de comment on va faire ça.
[00:25:40] Ça semble, mais au moins ils ont deux ans encore pour le préciser. Donc oui, c’est beaucoup de travail quand même. On parle, on parle d’une loi, Donc si on parle de se conformer, si on se conforme pas, on parle de probablement des sanctions, ça ressemble à quoi?
[00:25:56] Il y a trois échelons de sanctions au niveau des chiffres, ça ressemble à des montants quand même assez salé dans le sens où ça peut être des amendes allant de 2 à 4 % du chiffre d’affaires mondial d’une entreprise. Il peut y avoir aussi des recours de la part des personnes qui ont été ciblées. On le voit avec certaines entreprises aujourd’hui, qui a quand même des recours collectifs pour demander réparation. Donc, soit ça peut être ça peut être très salé et on oublie aussi l’impact sur la réputation d’une entreprise que ça peut avoir, c’est de dire bon ben oui, ça fait un trou dans le portefeuille. Mais au delà de ça, il y a aussi un impact sur notre réputation. Et donc c’est pour ça que moi j’encourage plus plus les gens à pouvoir intervenir en amont, même si on le disait tout à l’heure. Bon, il y a peut être pas d’enquête, il y a peut être pas personne qui va cogner à notre porte de façon aléatoire, mais quand même, c’est de rassurer nos clients, de rassurer les gens avec qui on travaille, de dire on a mis des choses en place, puis c’est comparativement à un concurrent, peut être Nous, on a mis des choses en place et la protection de vos renseignements personnels, c’est important pour nous.
[00:27:01] Puis informer aussi ses employés que ça existe parce que ça, c’est une autre chose. On peut bien faire des procédures en tant que dirigeant de ça, puis si ça dort sur une tablette, puis si on est questionné à un moment donné, il faut que ça vive aussi dans l’entreprise, je suppose.
[00:27:14] Oui, oui, oui. Donc de former aussi les employés, ça va être important de les sensibiliser à ça. Informations personnelles avec lesquelles ils gravitent. Et puis ça va être. C’est là que la cyber prévention rentre en jeu de dire Bon, bien, on envoie des courriels. Informations sensibles, c’est pas top d’envoyer ça par courriel. Ok, on fait ça comment? Donc ça va être aussi beaucoup de gestion de changement dans les pratiques actuelles. Mais on a fait on fait ça depuis tout le temps. Ouais, mais ce n’était pas une bonne chose. Puis aujourd’hui, exactement. Puis aujourd’hui, on a un petit peu plus à perdre, donc d’accompagner les équipes. Clairement. 100 % d’accord avec toi, y a pas.
[00:27:47] Beaucoup de publicité qui est faite sur la loi. Disons qu’elle a été, elle est passée dans un moment où on était en élections, puis on dirait que peu de gens, peu peu de chefs d’entreprise savent que ça existe même. Est ce que tu penses que le gouvernement prévoit, va faire des campagnes pour sensibiliser un peu le gouvernement?
[00:28:06] Je sais pas. Je sais qu’il y a beaucoup de regroupements d’entreprises qui essaient de mettre ça de l’avant. Moi, personnellement, je fais partie d’un cercle numérique justement où on est plusieurs experts dans le domaine de la cyber, donc avec des avocats justement, où est ce qu’on veut informer plus, plus? Il y a aussi une entreprise, un organisme qui s’appelle In-sec-m, qui est en train de bâtir, bâtir des choses pour pouvoir aider. Mais je sais pas, je sais pas pourquoi il y a tant de silence de la part. Du gouvernement. Et j’ai appris aussi dernièrement que la Commission d’accès à l’information, donc, cette entité là, comme changer de ministère aussi. Donc, il y a de l’adaptation de leur côté aussi, plus, plus, c’est venu plus vite qu’on pensait, on le savait, mais c’est venu plus vite qu’on pensait quand même.
[00:28:56] Mais il va y avoir un avantage à être prêt en premier puis avoir fait ses devoirs. Clairement 100 % Écoute Émeline, merci beaucoup de nous avoir partagé tes connaissances à ce niveau là. Je pense que c’est très éclairant pour pour chaque dirigeant d’entreprise d’entendre ça. Ça allume des lumières, clairement, ça allume, ça provoque certaines alertes. Il n’est pas trop tard. Ce qui est bien, on n’en parle pas. Puis on est en 2024, donc on est en 2022. Je te remercie beaucoup de ta contribution. Ce que je propose, on fait toujours une check list, donc j’invite tout le monde à venir voir les points importants parce qu’il y a beaucoup de détails dans ce que tu as donné. Donc à se rappeler. Donc si vous voulez venir consulter, on mettra ça par écrit, là, sur la page de l’épisode du podcast.
[00:29:45] Puis je te partagerai même un fichier Excel sur lequel j’ai travaillé pour que les gens puissent commencer à faire l’inventaire des renseignements personnels qu’ils collectent et devenir un peu challengés. C’est quoi la sensibilité de ce renseignement personnel? Où est ce qu’il est? Qui y a accès? Donc je vous partagerai ça aussi avec grand plaisir.
[00:29:59] C’est très généreux de ta part si on veut te rejoindre, si on veut. En fait, si on veut t’embaucher pour une formation, pour sensibiliser nos employés ou quoi que ce soit, comment on fait pour te joindre?
[00:30:11] Très très présente sur LinkedIn et j’ai une chaine YouTube également avec des capsules vidéo très courtes, une minute, deux ou trois minutes pour venir sensibiliser puis allumer des lumières un petit peu plus. Donc la chaîne YouTube est un bon début pour apprendre à me connaître et apprendre à connaître ma vibe et voir si ça fitte.
[00:30:26] Donc on tape ton nom puis on trouve automatiquement ça.
[00:30:29] Devrait, ça devrait être ça.
[00:30:30] Je te remercie beaucoup.
[00:30:31] Merci à toi.
[00:30:39] C’est ce qui met fin à un autre épisode de Be to Be and Go. N’oubliez pas de vous abonner à notre infolettre en vous rendant au B2B comme public podcast pour être notifié dès la sortie de notre prochain épisode, en plus de recevoir l’aide mémoire préparée par notre équipe. Vous trouverez dans celle ci un résumé des sujets abordés aujourd’hui, en plus de stratégies pour donner un boost de caféine à votre développement d’affaires B2B. Rendez vous le mois prochain pour un tout nouvel épisode. À bientôt! Le podcast que vous venez d’écouter est propulsé par Be to Be, une firme spécialisée dans le développement d’affaires numériques.
Thank you for Signing Up |