Les applications infonuagiques et les renseignements personnels

Le projet de loi 64 impose de nouvelles exigences visant la protection des renseignements personnels (« RP ») pour toutes les organisations et entreprises québécoises qui recueillent ou stockent des renseignements personnels sur leurs clients, membres, ou employés.

Pour en savoir plus, consultez notre guide:

 "En quoi consistent les renseignements personnels"

 

Les applications infonuagiques

Plusieurs entreprises québécoises utilisent des solutions infonuagiques intégrées pour gérer leurs activités. Si vous utilisez des solutions intégrées (point-de-vente, ventes et marketing, RH, gestion de la paie et des avantages sociaux, ou autres), ou si vous stockez simplement des fichiers contenant des RP sur une plate-forme infonuagique (Microsoft 365, Amazon, iCloud, Dropbox, etc.), vous devez porter une attention particulière aux nouvelles exigences gouvernementales visant la protection de ces données.

La loi stipule que même si vous utilisez les services d’un fournisseur infonuagique, votre entreprise ou organisation demeure la première responsable de la protection de ces données. Qu’est-ce que cela signifie concrètement pour votre organisation? Utilisons un exemple concret :

Vous êtes propriétaire d’une boutique de vêtements et vous utilisez une solution infonuagique de point-de-vente pour gérer l’inventaire et les ventes en ligne et en magasin. Le fournisseur de l’application utilise une grande plate-forme infonuagique, comme par exemple Amazon Web Services ou Microsoft Azure, pour rendre l’application disponible aux commerçants qui l’utilisent. Cette plate-forme infonuagique est victime d’une cyber-attaque résultant en un vol de données massif incluant entre autres les données de votre application de point-de-vente.

Dans un tel scénario, le fournisseur de la plate-forme a l’obligation d’aviser ses clients, dont fait partie le fournisseur de l’application de point-de-vente. Celui-ci a aussi l’obligation d’aviser tous les commerçants qui utilisent son application. Si vous faites partie de ces commerçants, vos obligations sont les suivantes:

1. Déclarer immédiatement l’incident aux autorités gouvernementales provinciales
2. Consigner aussi l’incident dans un registre interne que vous devez tenir à cette fin
3. Aviser immédiatement tous vos clients ne les données ont été compromises
4. Conjointement avec le fournisseur de l’application, identifier les mesures à envisager pour pallier à ce genre d’incident ou pour en minimiser l’impact dans le futur

Notez que ces obligations s’appliquent aussi au fournisseur de l’application si celui-ci est une entreprise québécoise. Le fournisseur pourrait aussi être assujetti à une loi similaire s’il est établi ailleurs au Canada (la Loi sur la protection des renseignements personnels et les documents électroniques), ou dans un autre pays.

Il peut parfois s’écouler plusieurs semaines avant qu’une cyber-attaque ne soit détectée par votre fournisseur. Il est donc essentiel d’agir rapidement.

Responsabilité et protection des renseignements personnels

Les lois québécoises stipulent que l’organisation qui recueille les RP est responsable de leur protection. Ces lois stipulent aussi que, sauf en de rares exceptions, vous devez obtenir le consentement de vos clients pour chaque usage que vous faites des renseignements personnels qu’ils vous fournissent.

Si vous utilisez une solution infonuagique (comptabilité, PdV, RH, etc.) intégrée, et que le fournisseur de la solution ou de l’application partage/peut partager les informations que vous stockez dans son système, vous retrouverez généralement des avertissements à cet effet dans la politique d’utilisation que vous devez accepter. Vous devez alors à votre tour aviser vos clients, membres ou employés du partage possible de leurs données, et obtenir leur consentement.

Quelles données sont recueillies et partagées par l’application?

Voici quelques questions qui vous aideront à évaluer le risque que votre site web ou votre application infonuagique présente(nt) pour les renseignements personnels que vous y stockez :

• Recueillez-vous intentionnellement certains renseignements personnels?
  • Si oui, comment ces informations sont-elles stockées : sur votre site internet? Sur un site distinct? Localement, sur un serveur ou un ordinateur?
  • Comment ces renseignements personnels sont-ils protégés?
• La solution ou l’application infonuagique peut-elle, dans certains cas, partager les RP de vos membres ou de vos clients avec d’autres fournisseurs de services informatiques?
• Si vous avez confié la création de votre site internet à un professionnel, celui-ci a-t-il intégré des fonctions de partage de données avec des tiers?
• Si vous utilisez un service de conception ou d’hébergement pour votre présence web, savez-vous exactement quels renseignements personnels sont recueillis à propos de vos visiteurs, et comment ces données seront utilisées ou partagées?
• Si vous utilisez un service en ligne de comptabilité ou de gestion des ressources humaines, comment les renseignements personnels de vos employés sont-ils protégés?

Comment protéger les renseignements personnels?

• Utilisez un antivirus et un logiciel de protection sur tous les postes de travail et/ou serveurs qui sont utilisés pour recueillir ou stocker les renseignements personnels de vos clients, membres ou employés;
• Installez toujours les dernières mises à jour des logiciels et systèmes d’exploitation utilisés sur tous vos équipements, y compris les appareils mobiles;
• Utilisez un VPN sur vos équipements afin d’assurer que vos communications soient cryptées;
• Vérifiez auprès de vos fournisseurs que les données stockées dans leurs systèmes soient aussi cryptées;
• Prenez régulièrement des copies de sauvegarde de vos données, même vos données infonuagiques, et conservez-les en lieu sûr;
• Contrôlez les privilèges et les droits d’accès de votre personnel;
• Formez votre personnel afin de les sensibiliser à la sécurité informatique;
• Posez des questions à vos fournisseurs pour bien comprendre comment les renseignements personnels de vos clients, membres ou employés sont recueillis et/ou exposés à des tiers.

Contactez Nexop dès maintenant. Nous procéderons à une analyse de vos systèmes et de vos données, et nous dresserons une liste complète des démarches nécessaires pour assurer votre conformité aux nouvelles exigences en matière de protection des renseignements personnels

CLIQUEZ LE BOUTON CI-DESSOUS POUR OBTENIR UNE CONSULTATION GRATUITE AVEC NOS EXPERTS:

Nexop peut de temps à autre fournir des informations et des ressources aux utilisateurs, y compris, mais sans s'y limiter, des références à des ressources juridiques ou légales. La fourniture de ces informations ou références ne doit en aucun cas être interprétée comme la fourniture d'un avis ou d'une orientation juridique. Nexop encourage les utilisateurs à consulter un avocat pour obtenir des conseils juridiques en rapport avec le contenu offert par Nexop.