Concrètement, la cybersécurité est l’art subtil de savoir quelles informations doivent être protégées et de trouver les moyens appropriés pour les sécuriser.
La cybersécurité englobe l’ensemble des moyens qui permettent d’assurer la sécurité des réseaux et des systèmes informatiques. Il s’agit des manières d’assurer la confidentialité, l’intégrité et la disponibilité de ces systèmes et des données qu’ils hébergent. La cybersécurité est un complément à la sécurité de l’information qui, pour sa part, vise à assurer la confidentialité de toutes les informations, qu’elles soient sur un support numérique ou non.
La cybercitoyenneté, c’est l’ensemble des normes et des valeurs du vivre-ensemble dans le numérique. Internet est à la fois vu comme un espace de liberté et d’expression, qui offre des possibilités de collaboration et d’action collective, et d’autres fois comme un espace commercial, parfois addictif, qui peut participer à des dynamiques d’éloignement et de repli sur soi. Les identités utilisées dans les mondes physique, social et numérique sont liées de manière complexe sans complètement se recouper. Ces identités exigent de revoir les questions de l’anonymat et du respect de la vie privée (exemple : droit à l’oubli, action masquée sous un avatar, collecte de données personnelles, cybersurveillance, etc.).
La cybersécurité englobe l’ensemble des moyens qui permettent d’assurer la sécurité des réseaux et des systèmes informatiques. Il s’agit des manières d’assurer la confidentialité, l’intégrité et la disponibilité de ces systèmes et des données qu’ils hébergent. La cybersécurité est un complément à la sécurité de l’information qui, pour sa part, vise à assurer la confidentialité de toutes les informations, qu’elles soient sur un support numérique ou non.
Une donnée sensible, aussi appelée donnée personnelle, est une information qui rend un citoyen personnellement identifiable. Il peut s’agir, par exemple, d’un numéro d’assurance sociale, d’une adresse domiciliaire, d’un numéro de téléphone ou d’un mot de passe. Il peut aussi s’agir d’un contrat (avec des employés ou des fournisseurs), de messages ou de communications sur les réseaux sociaux, de comptes Google ou encore de fichiers médias (films, vidéos, sons, etc.).
Ces données peuvent être générées lors de démarches administratives, d’un achat, de l’utilisation d’une application, d’une messagerie électronique ou d’un réseau social.
L’infonuagique est l’ensemble de l’information qui se trouve sur des serveurs distants sur lesquels sont hébergées données et documents, ainsi que des logiciels de gestion des données, notamment par le biais de Google Drive, Dropbox, iCloud, etc. Stockée sur le “cloud”, l’information est disponible à partir de multiples appareils et permet également une récupération plus facile en cas de bris ou de perte de matériel. Par ailleurs, l’utilisation du cloud comporte des inconvénients en matière de confidentialité, les compagnies n’ayant pas toutes les mêmes normes quant à la sécurisation de leurs serveurs. De plus, l’accès à votre service cloud peut également représenter une porte d’entrée intéressante à des fins malveillantes.
Une phrase de passe est une suite de mots ou de symboles qui permettent d’assurer une authentification plus sécurisée qu’un mot de passe.
L’authentification, ou la double-authentification, est le processus de vérification de votre identité par un système automatisé. S’il est possible de s’authentifier avec un mot de passe, l’authentification à l’aide d’un deuxième (ou même d’un troisième) facteur est de plus en plus utilisée. Ces facteurs supplémentaires peuvent être liés à quelque chose que nous possédons (une carte bancaire ou un téléphone cellulaire pour l’authentification par SMS) ou à quelque chose que nous sommes (exemple: empreinte digitale).
Aussi appelé pirate informatique, il s’agit d’un cybercriminel dont le but est d’accéder aux données sécurisées, généralement à des fins malveillantes.
Le harponnage consiste en l’utilisation de courriels trompeurs dans le but de persuader un individu à révéler des informations personnelles. Il s’agit parfois de d’inciter une personne d’un organisme à révéler des information sensibles. Le harponnage se distingue de l’hameçonnage dans la mesure où les victimes sont ciblées et l’attaque est extrêmement bien adaptée au contexte de l’organisation.
L’hameçonnage est une opération frauduleuse par laquelle un criminel usurpe l’identité d’une institution, d’une entreprise ou d’une personne de confiance afin de récolter des informations personnelles. Ceux-ci envoient en général un grand nombre de courriels à des adresses plus ou moins aléatoires dans l’objectif que certains cliquent sur le lien frauduleux et soumettent des informations personnelles, souvent dans le but de détourner des fonds. Par exemple, un courriel qui prétend provenir d’Amazon ou d’une institution bancaire peut demander de fournir des données bancaires pour valider une commande, mais il s’agit d’un courriel d’hameçonnage.
La compromission est le terme utilisé pour décrire l’action par laquelle une information ou une donnée est compromise. Lorsqu’une cyberattaque est réussie, la donnée est compromise. La conséquence d’une compromission est que les données sont exposées à un dommage ou à une détérioration.
Un pourriel est un courriel non désiré, envoyé de manière massive et automatisée, à des fins souvent commerciales. Il peut être une menace pour la cybersécurité (s’il contient un logiciel malveillant). Il peut s’agir d’un courriel commercial non sollicité qui cherche à vous faire consommer un bien ou un service. Les adresses qui figurent dans ces listes d’envoi de pourriels sont généralement achetées ou récoltées de diverses manières (exemple : quand vous participez à un concours).
Un rançongiciel est un logiciel malveillant qui empêche un utilisateur d’accéder à ses données (ou système) tant qu’une rançon n’a pas été payée. Le contenu du disque dur d’un ordinateur infecté par un tel logiciel peut être rendu inaccessible (autant aux visiteurs qu’à l’organisme) tant qu’un paiement n’a pas été effectué. Il est à ce moment recommandé de consulter un spécialiste en cybersécurité, car chaque cas est unique.
Attaque ciblée ou aléatoire où un.e hacker.euse utilise un logiciel dans le but unique de déchiffrer votre mot de passe. Le logiciel essaie des combinaisons de lettres, de chiffres, de caractères et de mots de façon aléatoire, jusqu’à ce que la bonne combinaison soit trouvée. Plus un mot de passe est complexe, plus l’attaque sera longue et coûteuse pour un.e adversaire.
Il s’agit d’une attaque envers une cible spécifique, qui analyse les réseaux sociaux d’un individu pour récolter les informations relatives aux questions de sécurité standards. Dans ce type d’attaque, on consultera les réseaux sociaux d’un individu et on tentera de récolter des informations qui lui permettront de faire une supposition éclairée ou de répondre à vos questions de sécurité. On peut également essayer de vous berner en vous envoyant un courriel qui vous demande de réinitialiser votre mot de passe.
Dans de telles situations, les informations d’identification de citoyens ont fait partie d’une fuite de données. Le terme usuel en anglais pour définir ce concept est Data Dump. Les informations peuvent alors être achetées par des criminels, qui obtiennent ainsi les identifiants et, potentiellement, les mots de passe associés à des millions de comptes, puis qui peuvent se retrouver sur le dark Web. En guise d’exemple de fuite majeure de ce type, on peut penser à celle qui a eu lieu à la Caisse populaire Desjardins en 2019.
Curieux ou curieuse de savoir si vos identifiants font partie d’une fuite? Visitez ce site.
Saviez-vous qu’au Québec, la cause première des pannes Internet sont… les écureuils! En creusant et en grugeant des choses, ils en viennent à sectionner des câbles. En fait, plusieurs enjeux en matière de cybersécurité sont liés à des événements anodins (exemple: le vol aléatoire d’un ordinateur, une batterie vide qui met l’appareil hors tension lors de la modification d’un document, ou encore un dégât d’eau sur l’appareil).
Le VPN (pour Virtual Private Network), ou en français RPV (pour réseau privé virtuel), est un logiciel qui permet de créer une connexion sécurisée entre un appareil (votre cellulaire par exemple) et un serveur (un site Internet, par exemple). On peut comparer ce réseau privé virtuel à un tunnel opaque créé entre l’appareil et le serveur pour empêcher que des intrus.es puissent intercepter les données qui y transitent.
Le chiffrement est un processus mathématique employé pour assurer la confidentialité et l’intégrité des communications. Il utilise un algorithme pour modifier un texte ou une information en une série de caractères incompréhensibles, puis il requiert qu’une clé (exemple: mot de passe) afin que l’algorithme se re-transforme en texte lisible.
Chaque appareil connecté au réseau Internet possède un numéro d’identification, qu’on appelle adresse IP. Ce numéro unique très complexe ressemble par exemple à ceci: 193.45.17.94. L’identification d’un appareil par une adresse IP est requise pour la navigation sur Internet. Lorsque vous visitez une page Web, c’est l’adresse IP de votre appareil qui se branche à l’adresse IP du site consulté, comme lorsque deux personnes se joignent par le biais de leurs numéros de téléphones respectifs.
Le DNS (abréviation de Domain Name System), traduit en français par SND (système des noms de domaines), est le système qui permet, en quelque sorte, de traduire une adresse IP chiffrée (exemple: 192.169.226.73), en une adresse écrite en lettres. Cette adresse, qui est alors plus facile à comprendre, à mémoriser et à repérer, constitue le nom de domaine (exemple: www.brigade-numerique.ca).
L’abréviation URL (Uniform Resource Locator), traduit de façon littérale par le terme localisateur universel de ressources, est utilisée pour désigner l’adresse d’un site ou d’une page de contenu sur Internet. C’est tout simplement ce que l’on appelle couramment comme étant l’adresse Web.
Ce terme est issu d’une contraction entre «Deep learning» et «Fake». Il est utilisé pour désigner de faux contenus visuels ou de faux enregistrements audio qui sont rendus extrêmement crédibles par le biais des technologies et de l’intelligence artificielle. Le terme réfère à la fois aux contenus vidéo ou audio trompeurs qu’aux techniques de retraitement vidéo ou audio visant à les créer.
La cybersécurité, ou la sécurité numérique, ne se limite pas à la protection des renseignements personnels et de la vie privée. Elle repose en fait sur trois piliers, que les artistes ou organismes de la culture ont le devoir de considérer. Si ces piliers sont tous très importants, ils entrent par ailleurs parfois en conflit les uns avec les autres.
L’intégrité est la qualité que l’on attribue à une information qui est intacte et inchangée. À titre d’exemple, citons un rapport publié intégralement sans avoir été modifié, ou encore le fait d’avoir l’assurance que ce qui est publié en votre nom, sur les réseaux sociaux, n’a pas été publié par un tiers non autorisé.
La disponibilité est évidemment la qualité liée à la capacité d’accéder à une information, et ce, par le biais d’Internet dans le domaine numérique. Des attaques informatiques peuvent avoir précisément pour but de rendre vos documents ou systèmes non disponibles.
La confidentialité d’une information est liée au contrôle de son accès quant à diverses parties. Cette notion peut être appelée à évoluer avec le temps (exemple: un rapport peut être confidentiel entre les membres d’une équipe exécutive, puis devenir public quelques semaines plus tard).
Il arrive que ces trois éléments extrêmement importants soient en conflit les uns avec les autres. Par exemple, on peut perdre l’accès à son propre compte de média social (disponibilité) en ayant oublié son mot de passe récemment mis à jour (confidentialité).
Une bonne stratégie en cybersécurité abordera ces trois aspects en synergie pour établir un équilibre idéal en fonction des besoins et de votre réalité ou de celle de votre organisme.
Le point de départ en cybersécurité, c’est d’identifier les données sensibles au sein de votre organisme et de trouver des stratégies pour protéger leur intégrité, leur disponibilité et leur confidentialité. Pour déterminer la sensibilité d’une donnée, on peut se demander, par exemple, quel serait l’impact associé à sa perte, ou encore à la fuite de cette donnée.
Il existe trois types de données selon leur sensibilité, énoncées ci-après.
Les données publiques: elles sont rendues volontairement accessibles à tous (exemple: oeuvre d’art, film, pièce musicale, rapport officiel publié);
Les données confidentielles: contenu sous toute forme dont l’accès doit être limité à une audience spécifique (courriels, informations de contact, travaux en cours, film en montage, etc.);
Les données secrètes: dont l’accès doit être absolument restreint à certains individus seulement (exemple : numéros d’assurances sociales).
Voici trois étapes à suivre dans le cadre d’une démarche d’identification des données sensibles.
Pour évaluer efficacement le risque, en cybersécurité, on peut utiliser la matrice suivante: considérer l’impact d’un incident de sécurité et le multiplier par sa probabilité (ses chances de se produire). Plus le résultat est élevé, plus le risque est sérieux et demande des changements immédiats. La valeur attribuée à chacun des facteurs est évidemment subjective et variable en fonction des contextes, mais cette matrice est néanmoins utile afin d'identifier les priorités et de créer un plan conséquent.
Déclarer l’incident et identifier les données.
Communiquer avec les personnes touchées.
Réparer les failles et remplacer les données.
Données Québec offre un accompagnement gratuit sur la saine gestion des données (données sensibles, données à protéger).
À télécharger :
Diagnostic de cybersécurité
S’authentifier, c’est prouver à un système qu’on est la personne que l’on prétend être. L’authentification est donc une composante essentielle de ce que l’on appelle la gestion des accès.
Pour améliorer la sécurité quant à l’information et se protéger des attaques, on cherche à avoir une bonne hygiène de mots de passe. De plus, il est recommandé de privilégier l’utilisation de phrases de passe (voir la définition plus bas), qui comme les mots de passe, devraient varier d’un site à l’autre.
Comment s’assurer d’avoir un bon mot de passe? En voici les principales caractéristiques.
Long : Plus il compte de caractères, plus il est sécuritaire;
Complexe : Les séquences de caractères doivent être le plus aléatoires possible et ne pas comprendre d’informations personnelles (exemples: dates importantes, prénom des enfants, nom de votre animal de compagnie).
Unique : même si l’accès à un compte est compromis, les autres comptes demeurent sécurisés.
Facile à mémoriser: pour éviter de rester bloqué à l’extérieur de son propre compte.
La phrase de passe est à privilégier car elle augmente le niveau de sécurité par rapport au mot de passe. S’il y a attaque, elle sera plus difficile à compromettre qu’un mot de passe. Une phrase de passe contient environ 30 caractères et est composée de mots complètement aléatoires (exemple: «oiseau lampe histoire électricité»). Voici les caractéristiques d’une phrase de passe et quelques conseils à ce sujet.
Changez la phrase seulement si elle a été compromise.
Éviter d’utiliser des informations personnelles publiques (exemple: dates importantes, prénom des enfants, nom de votre animal de compagnie)
Combiner idéalement des majuscules, des chiffres et des caractères spéciaux.
Automatiser l’authentification.
Centraliser la gestion des authentification des employés (départ, oublis).
Augmenter le niveau de complexité et d’unicité.
Une seule authentification à retenir.
Frais relatifs au service.
Voici les questions qu’il est pertinent de se poser et les conseils qu’il est recommandé de suivre lors de connexion à l’extérieur de votre domicile, dans des lieux publics.
Le réseau utilisé est-il protégé par un mot de passe? Si oui, vos données sont moins exposées que s’il s’agit d’un réseau ouvert, sans mot de passe.
Changer les mots de passe par défaut par des phrases de passes.
Visiter des sites sécurisés.
Privilégier les sites où les URL commencent par https:// ou encore où un cadenas s’affiche à gauche de l’URL.
S’il est possible de se connecter sans mot de passe dans des lieux publics, il faut garder en tête que les données liées à vos activités de navigation sont davantage exposées. Il convient alors de réduire les risques d’attaques et de fuites de données sensibles, en évitant, par exemple, de faire des transactions bancaires sur ce type de réseau.
Risques d’interception de données sensibles transférées.
Risque de faux réseau WI-FI ouvert.
Vérifier qu’il s’agit d’un réseau légitime.
Éviter d’utiliser ce réseau pour accéder à des données confidentielles ou secrètes (NAS, compte de banque, courriels professionnels).
Utiliser un VPN (réseau privé virtuel).
Privilégier l’utilisation de votre réseau cellulaire sur le réseau ouvert.
L’hameçonnage et les scams dans les courriels. Une (fausse) personne cherche alors à vous amener à divulguer des informations personnelles.
Les courriels de Troie incitent à télécharger un programme malveillant caché dans des liens ou des pièces jointes.
Les pourriels sont des courriels non désirés, souvent de nature commerciale.
Ne jamais cliquer sur un lien ou ouvrir une pièce jointe inconnue sans en vérifier l’authenticité.
Il est généralement sécuritaire d’ouvrir un courriel, mais le fait de cliquer sur une pièce jointe dont on ne connaît pas l’origine ou la source est risqué.
Vérifier l’origine du message.
Connaissez-vous l’adresse de l’expéditeur? Son nom et son adresse courriel sont-ils orthographiés correctement? Un courriel qui prétend provenir d’une compagnie (exemple: Apple, Amazon) risque fortement d’être frauduleux.
Observer et analyser l’adresse courriel et faire des recherches sur l’URL fournie.
Si l’adresse d’expédition ne ressemble pas à celle de l’organisation que le courriel prétend représenter (exemple: [email protected] au lieu de [email protected]), il est fort probable qu’il s’agisse d’un courriel frauduleux. La prudence s’impose toutefois dans tous les cas, car certains courriels sont envoyés d’une vraie adresse piratée.
Faire des recherches sur l’URL fournie.
Les sites malveillants sont souvent documentés dans les moteurs de recherches par des experts.
Ne jamais ouvrir un fichier .EXE (pour exécuter), c’est presque toujours un logiciel malveillant qui s’installe automatiquement.
Garder toute information personnelle pour vous.
Se former ou former les membres de l’équipe par le jeu et le Fishing quiz!
Dans la configuration des appareils ou encore directement sur les plateformes en ligne, il est possible d’ajuster les paramètres de confidentialité.
Limiter la collecte de données sur l’activité d’un internaute.
Contrôler le partage de ces informations auprès d’autres parties.
Appliquer ces règles aux profils personnels autant qu’aux pages d’organismes et aux communautés.
Limiter, voire refuser, la collecte de données.
Bien choisir son gestionnaire de communauté. Plus il y a de personnes qui administrent ou contribuent à un compte, plus les risques de compromission sont élevés.
Faire une liste des réseaux, applications, appareils où cette gestion est applicable pour accélérer la prochaine révision.
Réviser régulièrement les paramètres, qui changent souvent.
Les services infonuagiques sont des serveurs distants sur lesquels vous pouvez héberger vos données et documents. Ces services (Google Drive, Dropbox, iCloud) assurent une plus grande disponibilité aux données à partir de multiples appareils. Ils sont aussi utiles au travail d’équipe, notamment à distance, et permettent une récupération plus facile en cas de bris ou de perte de matériel. Par ailleurs, l’utilisation du nuage comporte des inconvénients en matière de confidentialité.
Il importe donc d’être conscient des risques posés par l’utilisation des services nuagiques quant à la confidentialité. Malheureusement, toutes les compagnies n’ont pas les mêmes normes et pratiques pour sécuriser leurs serveurs. L’accès à votre service nuagique, avec un mot de passe, peut également représenter une porte d’entrée intéressante pour des adversaires.
Le fournisseur de services a-t-il été la cible de fuites de données?
Partage-t-il vos données à des fins commerciales?
Quel niveau de chiffrement offre-t-il?
Certains services qui offrent un bon niveau de chiffrement sont sécurisés et la compagnie qui héberge n’a pas accès à vos données. Les plus populaires, comme les suites Google ou Dropbox, offrent un niveau de sécurité satisfaisant, mais il n’est pas impossible d’y accéder pour un adversaire si, par exemple, les recommandations quant aux mots de passe ne sont pas bien appliquées.
Pour choisir la bonne solution, la question substantielle à se poser est donc la suivante: les données doivent-elles? être davantage «disponibles» ou «confidentielles»? Si le service nuagique est sécuritaire et si ceux qui l’utilisent dans l’équipe maîtrisent les pratiques de cybersécurité, vous pouvez vous en servir pour vos données sensibles. Sinon, il est préférable d’utiliser un disque dur.
Gestion des accès (privilégier des phrases de passe solides et limiter les accès aux personnes qui ont réellement besoin d’accéder aux données);
Inventaire des données sensibles à déposer
Protocole de paramètres d’accès
L’intelligence artificielle est une menace de taille car les contenus créés sont de plus en plus réels.
La diversification et la disponibilité des outils malveillants démocratisent le métier de cybercriminel. Tout un chacun, dans son sous-sol, peut devenir un pirate du Web.
La majorité des sinistres prennent plusieurs jours, voire des semaines à être identifiés. Le délai de la détection est crucial.
Tout organisme doit prévoir un plan général d’intervention. Cette action préventive, en amont d’un sinistre, est impérative.
Le plan d’actions, en cas de sinistre, comprend une liste de personnes avec lesquelles communiquer.
Pour accéder aux données, qui seraient inaccessibles en cas de sinistre, l’organisme doit se doter d’une archive sur disque froid. En plus de cette archive, un document papier du plan d’intervention peut être imprimé.
Selon le type de sinistre et son impact légal, il est recommandé de communiquer avec un spécialiste.
C’est un processus qui coûte cher, autant en argent qu’en réputation. Par exemple, la fuite de données à la Caisse populaire Desjardins prendra des décennies à quitter la mémoire collective.
Un rançongiciel nécessite une rançon, mais souvent une double rançon. La première est nécessaire pour accéder aux données et la seconde pour recevoir la clé d’encryption des données.
Les données peuvent être corrompues lorsque récupérées lors de la décompression des données. Il n’y a rien à faire dans ce cas. Le pirate ne fera rien.
Il n’y a aucune garantie de payer une rançon mais, étonnamment, le processus est généralement plutôt honnête selon les experts.
En cas de fuite de données, les responsabilités légales de l’entreprise sont sujettes à amendes. Ces amendes peuvent s’élever jusqu’à 25 M$ ou 4% du chiffre d’affaires
L’individu en charge est imputable. Il peut être accusé et condamné à verser une amende.
Les administrateurs de l'organisme sont imputables. Ils peuvent être également accusés et condamnés à verser une amende. L’organisme doit se doter d’une bonne assurance responsabilité.
Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP) prévoit des règles quant à la collecte, l’utilisation, la communication et la conservation des renseignements personnels. Ces règles viennent préciser celles prévues au Code civil (art. 3, 35 à 40).
La LPRPSP est modifiée par la Loi 25 dont les dispositions dont l’entrée en vigueur est prévue en trois phases, soit les 22 septembre 2022, 2023 et 2024.
Les organismes à but non lucratif (OBNL), en fonction de leurs missions et statuts, peuvent être assujettis à la LPRPSP.
La loi ne fait pas de distinction en fonction de la taille et du secteur d'activités d'une entreprise ou d’un OBNL. Les mesures de sécurité doivent être raisonnables compte tenu de la sensibilité des données, de leur finalité, de leur quantité ou encore de leur support.
Lorsque l’on recueille un renseignement personnel, il est impératif que ce soit nécessaire, même si la personne concernée a donné son consentement. En d’autres mots, ce n’est pas parce qu’il est utile de collecter un renseignement personnel que c’est pour autant nécessaire, puis s’en tenir au nécessaire s’impose.
Loi sur la protection des renseignements personnels
Loi provinciale pour le secteur privé.
Loi sur la protection des renseignements personnels
et les documents électroniques
Loi fédérale canadienne encadrant le traitement des renseignements personnels obtenus au Canada.
Règlement général sur la protection des données (RGPD)
Droits des citoyens de l’UE concernant leurs données personnelles.
PL64 devient Loi 25
2020: présentation initiale.
2021: adoption du projet de loi 64.
2022: le projet de loi devient la Loi 25.
Un organisme qui recueille, utilise, communique à des tiers, conserve ou détruit des renseignements personnels, a dès maintenant plusieurs nouvelles obligations à respecter.
Moment où le renseignement est recueilli, créé ou inféré.
Période où le renseignement personnel est utilisé par les personnes autorisées au sein de l’entreprise.
Période durant laquelle le renseignement personnel est communiqué.
Période de stockage, sous quelque forme que ce soit, et ce, peu importe que les renseignements soient activement utilisés ou non.
Le cycle de vie du renseignement personnel se termine lors de sa destruction. Ou son anonymisation.
Pour tous les détails quant aux différentes mesures à prendre à chaque étape du cycle de vie d’un renseignement personnel, consultez la page à cet effet sur le site Web de la Commission d’accès à l’information du Québec.
Un renseignement personnel porte sur une personne physique et permet de l’identifier. Il est confidentiel. Sauf exception, il ne peut être communiqué sans le consentement de la personne concernée.
Selon la Loi fédérale sur la protection des renseignements personnels et les documents électronique (LPRPDE), les renseignements personnels comprennent :
le nom, la race, l’origine ethnique, la religion, l’état matrimonial et le niveau d’instruction;
l’adresse électronique, les messages de courriel et l’adresse IP (protocole Internet);
l’âge, la taille, le poids, les dossiers médicaux, le groupe sanguin, l’ADN, les empreintes digitales et la signature vocale;
les revenus, les achats, les habitudes de consommation, les renseignements bancaires, les données sur les cartes de crédit ou de débit, les rapports de prêt ou de solvabilité et les déclarations de revenus;
le numéro d’assurance sociale (NAS) ou d’autres numéros d’identification.
L’évaluation des facteurs relatifs à la vie privée est la démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter davantage la vie privée des personnes physiques.
Un incident de sécurité est un accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection.
La catégorisation est le processus permettant d’évaluer le degré de sensibilité de son information, dans le but d’en déterminer le niveau de protection en matière de disponibilité, d’intégrité et de confidentialité.
Se dit d’un renseignement personnel lorsqu’il ne permet plus d’identifier directement la personne concernée.
Se dit d’un renseignement personnel qui, de façon irréversible, ne permet plus d’identifier directement ou indirectement la personne concernée.
Analyse mathématique des caractéristiques uniques d'une personne, afin de déterminer ou de prouver son identité.
Loi québécoise régissant l'ensemble des professions auxquelles le législateur a accordé le droit de s'autoréglementer.
À certaines conditions, la Loi sur le privé autorise l’entreprise à communiquer un renseignement personnel, sans le consentement de la personne concernée.
Permet d’acquérir, de stocker, de traiter et de diffuser les éléments d’information pertinents pour le fonctionnement d’une entreprise ou d’une organisation.
Liste de données sensibles où une personne physique peut recevoir communication d’un document ou d’un renseignement technologique.
Communiquer au requérant, dans un format technologique structuré et couramment utilisé, un renseignement personnel informatisé recueilli auprès de lui.
Adoptée en septembre 2021, la Loi 25 modernise certaines dispositions législatives en matière de protection des renseignements personnels. Elle apporte des modifications importantes à la Loi qui prévalait auparavant dans le secteur privé. De plus, elle est non seulement applicable aux entreprises, mais aussi à la plupart des organismes publics, qui y sont assujettis depuis septembre 2022.
En fait, il est prévu que les modifications apportées entrent progressivement en vigueur sur une période de trois ans, jusqu’en 2024. La prochaine date à retenir est donc le 22 septembre 2023. Le non-respect de cette loi pouvant avoir des impacts importants sur vous ou votre organisme, n’hésitez pas à consulter un juriste spécialisé en protection de la vie privée et un spécialiste en sécurité de l’information pour vous accompagner!
Pour consulter la version intégrale du texte de loi:
https://www.legisquebec.gouv.qc.ca/fr/document/lc/A-2.1
Le présent contenu Web brosse un portrait global de la situation et ne présente pas toutes les modifications légales qu’apportent la Loi 25. Ainsi, Culture Laurentides tient à préciser que ce contenu ne constitue pas une recommandation légale, mais bien une source de littératie numérique pour amorcer une réflexion propre à chaque organisme. Cette information n’engage donc pas la Commission d’accès à l’information ni ses employés.
En plus de respecter les obligations actuelles en matière de protection des renseignements personnels, la plupart des OBNL devront assumer de nouvelles obligations et responsabilités avec l’entrée en vigueur de la Loi 25. Voici une énumération sommaire de ces principales obligations et responsabilités.
Les organismes à but non lucratif (OBNL), en fonction de leurs missions et statuts, peuvent être assujettis à la LPRPSP.
La loi ne fait pas de distinction en fonction de la taille et du secteur d'activités d'une entreprise ou d’un OBNL. Les mesures de sécurité doivent être raisonnables compte tenu de la sensibilité des données, de leur finalité, de leur quantité ou encore de leur support.
Responsabilité de la protection* des renseignements personnels détenus.
Gouvernance encadrée (pratiques et redditions de compte).
Évaluation des facteurs relatifs à la vie privée (EFVP):
Pour tout nouveau projet de gestion de données, d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services;
Lors de tout incident lié à la confidentialité;
Pour toute communication à l’extérieur du Québec.
Déclaration des incidents de confidentialité et registre interne.
Politique de confidentialité.
Le consentement est nécessaire pour toute opération de renseignement personnel.
Le consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques, puis il ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.
Lors de demande d’information de la part d’un tiers, le consentement du citoyen est requis, sauf exceptions.
La protection des renseignements personnels signifie plus que la sécurité des données; elle implique un souci de gouvernance des données personnelles et de formation à la gouvernance.
Responsabilité des renseignements personnels
•••
Protection, gouvernance et reddition de comptes
Désigner une personne responsable* de la protection des renseignements personnels, publier son titre et ses coordonnées sur le site Web de l'organisme.
Normalement, le plus haut dirigeant au sein de l’organisme. Sinon cette personne doit avoir les compétences requises et un pouvoir décisionnel important. Elle doit aussi être soutenue pour assurer la conformité à la loi en disposant des ressources humaines, techniques et financières nécessaires.
Mettre en place les mesures et les processus nécessaires pour assurer l’autonomie des personnes responsables de la protection des renseignements personnels (politique de gouvernance).
Évaluer et déclarer les incidents de confidentialité qui impliquent des renseignements personnels.
Besoin de soutien? Remplir ce formulaire pour communiquer avec le Secrétariat à la réforme des institutions démocratiques, à l’accès à l’information et à la laïcité.
Service conseil
Par défaut, la personne responsable est désignée par la loi comme celle ayant la plus haute autorité au sein de l’organisation. Cette personne peut néanmoins désigner comme responsable un membre de l’organisme public ou de son conseil d’administration, selon le cas, ou un membre de son personnel de direction et lui déléguer tout ou partie de ses fonctions; cette délégation doit être faite par écrit.
Le titre et les coordonnées de cette personne doivent être publiés sur le site Web de l’entreprise ou de l’organisme. En l’absence de site Web, ces coordonnées doivent être rendues accessibles par tout autre moyen approprié.
En cas d’incident de confidentialité impliquant un renseignement personnel, c’est cette personne responsable qui doit, notamment:
Tenir un registre de tous les incidents et de prendre rapidement des mesures afin de diminuer le risque qu'un préjudice soit causé aux personnes concernées.
Aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice;
Enregistrer les communications effectuées à toute personne ou tout organisme susceptible de diminuer le risque pour la personne concernée suivant l’incident;
Prendre part à l’évaluation du préjudice causé par l’incident.
À noter : D’autres responsabilités s’ajouteront pour cette personne à compter du 22 septembre 2023.
Pour bien mener la réflexion liée aux enjeux de confidentialité, il est recommandé de:
Réfléchir à une Politique de gouvernance de vos données.
Cycle de vie des renseignements personnels.
Traitement d’une demande d’accès.
Gestion des incidents de confidentialité.
Formation et sensibilisation.
Mesures de protection dans le cadre d’un sondage.
Réfléchir à un Protocole de cybersécurité, selon vos moyens et vos enjeux.
Degré de sensibilité des données et inventaire qui évalue le risque associé à chaque type de données.
Plan d’actions pour mieux protéger la confidentialité et la disponibilité des données à risque.
Actions et cas d’usage suite à un incident.
La loi exige de PUBLIER sur votre site, en septembre 2023, une Politique de confidentialité, en phase avec la mission, qui explique simplement:
quels renseignements personnels sont collectés et par quels témoins;
les fins de collecte;
les communications de ces données;
les mesures de protection en place.
À télécharger :
Canevas de Politique de confidentialité
La CAI veille à la promotion et au respect des droits des citoyens en ce qui concerne l’accès aux documents des organismes et la protection de leurs renseignements personnels. Plus généralement, elle veille au respect de la Loi 25.
À ce titre, la CAI a la responsabilité et le pouvoir de:
Réaliser ou faire réaliser des recherches, des inventaires, des études ou des analyses;
Émettre des avis sur des projets de législation ou de développement de systèmes d’information;
Élaborer des lignes directrices ayant pour objectif de faciliter l’application de la Loi, notamment en matière de consentement.
La CAI peut exiger d’un particulier, d’une entreprise ou d’un OBNL la production de tout renseignement ou document permettant de vérifier l’application de cette loi ou de ses règlements.
Lors d’incidents de confidentialité, la CAI peut ordonner à toute personne l’application de mesures visant à protéger les droits des personnes concernées. En plus d’imposer la systématisation des déclarations d’incidents et l’investigation des incidents par l’organisme en cause, le cas échéant, elle peut notamment ordonner :
À un organisme public, qui a fait l’objet d’un incident duquel résulte un risque de préjudice sérieux et qui a fait défaut d’aviser les personnes dont un renseignement personnel est concerné par cet incident, d’aviser ces personnes;
À toute personne d’appliquer les mesures jugées pertinentes afin de protéger les droits des personnes concernées;
La remise des renseignements personnels impliqués dans l’incident de confidentialité à l’organisme public qui les détenait, de même que leur destruction.
À noter : à compter du 22 septembre 2023, la CAI aura les pouvoirs lui permettant d’infliger des amendes, non seulement aux organismes, mais aussi aux individus en cas de faute professionnelle.
L’évaluation des facteurs relatifs à la vie privée (EFVP) est une démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter davantage la vie privée des personnes physiques. Effectuer cette démarche est la responsabilité de l’organisme.
L'EFPV doit être systématiquement mise en oeuvre lors de:
La mise en oeuvre de tout programme ou projet qui implique de la gestion de données;
L’acquisition, le développement ou la refonte d’un système informatique;
La communication des renseignements personnels sans le consentement des personnes autorisées, à l’interne ou à l’extérieur du Québec.
Elle consiste à considérer tous les facteurs qui auraient des conséquences positives et négatives sur le respect de la vie privée:
la conformité du projet à la législation de la protection des renseignements personnels;
la détermination et l’évaluation des risques d’atteinte à la vie privée;
la mise en place de stratégies pour éviter ou réduire ces risques.
Cette processus d’évaluation recommande notamment de:
faire preuve de bonne volonté dans le «comment» on évalue les risques.
procéder dès le début du projet et de mettre à jour au fur et à mesure de son avancement.
d’être élaboré et détaillé en tenant compte en de la sensibilité des renseignements concernés, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support.
À télécharger :
Guide de l’évaluation des facteurs à la vie privé
Un incident de confidentialité désigne tout accès, utilisation ou communication non autorisés par la loi d’un renseignement personnel, de même qu’à la perte d’un renseignement personnel ou à toute autre atteinte à sa protection.
Par exemple, un incident de confidentialité peut se produire lorsque :
un membre du personnel consulte un renseignement personnel sans autorisation;
un membre du personnel communique des renseignements personnels au mauvais destinataire;
l’organisation est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.
Procédure type en cas d’incident
Si un organisme a des motifs de croire qu’un incident de confidentialité impliquant un renseignement personnel qu’il détient s’est produit, il doit prendre les mesures pour diminuer les risques qu’un préjudice soit causé et éviter que de nouveaux incidents de même nature ne se produisent.
*Certaines pistes et certains questionnements peuvent nous aider à déterminer si le préjudice causé est sérieux :
La sensibilité du
renseignement.
La conséquences appréhendées de son utilisation.
La probabilité d’être utilisé à des fins préjudiciables.
Exemples de questions à se poser:
est-ce que les renseignements personnels étaient cryptés, chiffrés ou clairs?
Quels types d’utilisations malveillantes sont possibles avec les données volées?
Quelles sont les conséquences négatives possibles: dommage économique, dommage social, fraude identité, perte d’affaire, perte d'occasion d’emploi, répercussion sur la santé physique?
Consulter le responsable des renseignements personnels.
À ne pas oublier: tout organisme public doit tenir un registre de l’ensemble des incidents de confidentialité dont il a fait l’objet, même de ceux qui ne présentent pas un risque de préjudice sérieux pour les personnes.
Aide-mémoire des actions générales de la Loi, tous secteurs confondus.
À télécharger :
Schéma sur le traitement d’un incident de confidentialité impliquant un renseignement personnel
Actions accomplies: progression triennale
Responsable de la protection des renseignements personnels.
En cas d’incident:
diminuer les risques
aviser la Commission et la personne concernée (si préjudice sérieux)
tenir un registre des incidents
Communication sans consentement lorsque nécessaire aux fins de la conclusion d’une transaction commerciale et encadrement.
Communication sans consentement à des fins d’étude, de recherche ou de production de statistiques, à l’aide d’une EFVP et d’un contrat à la CAI.
Biométrie déclarée à la CAI.
Règles encadrant la gouvernance.
Évaluation des facteurs relatifs à la vie privée (EFVP).
Politique de confidentialité.
Consentement explicite à chaque demande.
Paramètre de confidentialité au plus haut niveau par défaut.
Déclaration d’activation d’une fonction automatique qui identifie, localise ou effectue un profilage (IA).
Cessation de diffusion et désindexation à la demande.
Destruction et anonymisation.
Sanctions administratives pécuniaires, amendes, dommages et intérêts.
Droit à la portabilité.
IMAA, « Guide sur la cybersécurité ».
https://www.imaa.ca/cybersecurite/
IMAA, « Glossaire de la cybersécurité ».
https://dev2.kngfu.com/aami/cybersecurite/glossary/
IMAA, « Les cyberprotocoles ».
https://dev2.kngfu.com/aami/cybersecurite/policies
Données Québec, « Gestion des données sensibles ».
https://www.donneesquebec.ca/
DataDetox, « Make your password stronger ».
https://datadetoxkit.org/en/security/passwords/
Desjardins, « Prévenir les tentatives de hameçonnage ».
https://blogues.desjardins.com/conseils/2020/05/3
Google, « Quiz Phishing » (seulement en anglais).
https://phishingquiz.withgoogle.com/
Brigade numérique, « Collaboration nuagique ».
https://www.brigade-numerique.ca/collaboration-nuagique
Freedom of the press foundation, « Bien choisir son réseau privé virtuel ».
https://freedom.press/training/choosing-a-vpn/
Les numériques, « Comparatif de gestionnaire de mots de passe ».
https://www.lesnumeriques.com/gestionnaire-mot-de-passe/quel-gestionnaire-de-mots-de-passe-choisir-a151781.html
EFF, « Mettre en place https: partout. ».
https://www.eff.org/https-everywhere/set-https-default-your-browser
Gouvernement du Québec, « Protection des renseignements personnels ».
https://www.quebec.ca/gouvernement/protection-des-renseignements-personnels
Ministère du travail, de l’emploi et de la solidarité sociale, P-39.1 Loi 25 ».
https://www.legisquebec.gouv.qc.ca/fr/document/lc/P-39.1?langCont=fr#ga:l_i-
Commission d’accès à l’information du Québec, « Protection des renseignements personnels ».
https://www.cai.gouv.qc.ca/entreprises/protection-des-renseignements-personnels-1/
Commissariat à la protection de la vie privée au Canada, « Qu’est-ce qu’un renseignement personnel? »
https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/
Commission d’accès à l’information du Québec, « Communiquez des renseignements personnels dans le consentement de la personne concernée ».
https://www.cai.gouv.qc.ca/entreprises/communiquer-renseignements-personnels-sans-consentement-
Gouvernement du Québec, « Service conseil ».
https://www.quebec.ca/gouvernement/formulaire-service-conseil-sairid
Commission d’accès à l’information du Québec, « Entreprises privées ».
https://www.quebec.ca/gouvernement//evaluation-facteurs-relatifs-vie-privee
Commission d’accès à l’information du Québec, « Guide d’accompagnement pour une EFVP ».
https://www.cai.gouv.qc.ca/documents/CAI_Guide_EFVP_FR.pdf
Gouvernement du Québec, « Shéma sur le traitement d’un incident de confidentialité ».
https://cdn-contenu.quebec.ca/schema-incident-confidentialite-renseignement-personnel.pdf?1642792255
Commission d’accès à l’information du Québec, « Incident de confidentialité ».
https://www.cai.gouv.qc.ca/incident-de-confidentialite-impliquant-des-renseignements-personnels/
Gouvernement du Québec, « Ligne du temps ».
https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/conseil-executif/publications-adm/sairid/LigneTemps_PL64.pdf?1632344059
Commission d’accès à l’information du Québec, « Guide des nouvelles obligations ».
https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf
Licence CC0
Cette initiative a été permise grâce au soutien du Conseil des arts du Canada.
Culture Laurentides est subventionné au fonctionnement par le ministère de la Culture et des Communications du Québec.
Abonnez-vous à notre infolettre