Cette version finale, qui est le fruit des modifications apportées au projet initial après les commentaires recueillis entre le 23 janvier et le 31 mars 2023, devrait aider les personnes et secteurs réglementés par l’ARSF à mieux gérer les menaces liées aux TI pour leurs systèmes, leur infrastructure et leurs données informatiques.

Dans celle-ci on retrouve notamment sept pratiques pour une gestion efficace des risques liés aux TI; un processus pour avertir l’ARSF en cas d’incident ainsi que des exigences sectorielles visant les caisses, les compagnies d’assurances constituées en Ontario et les assureurs réciproques ainsi que les administrateurs de régimes de retraite.

Parmi les changements apportés par rapport à la ligne directrice initiale, on notera :

• une modification de la date d’entrée en vigueur : celle-ci a été repoussée à avril 2024 (au lieu de juin 2023);
• une mise à jour dur délai de signalement d’un incident : il est maintenant demandé de rapporter l’incident « dès que possible, généralement dans un délai de 48 à 72 heures »;
• et davantage de souplesse dans la façon d’informer l’ARSF d’un incident important, notamment au moyen d’un portail sécurisé.

À noter que malgré ces lignes directrices, les entités réglementées sont tenues de respecter les exigences existantes concernant les risques liés aux TI et la protection des renseignements personnels, notamment les exigences de la Loi sur la protection des renseignements personnels et les documents électroniques.

L’article Mieux protéger les consommateurs contre les risques liés aux TI est apparu en premier sur Finance et Investissement.

La ministre de la Justice, Sonia LeBel, a déposé vendredi un projet de loi qui permettra d’imposer des amendes pouvant aller jusqu’à 25 millions de dollars (M$) ou jusqu’à 4 % du chiffre d’affaires mondial de l’entreprise si le montant est plus élevé.

« Nos lois actuelles manquent de mordant », a tranché la ministre en présentant la pièce législative qui vise à imposer des « sanctions dissuasives » pour les contrevenants.

À l’heure actuelle, les amendes vont de 1000 $ à 10 000 $, alors que Québec vise à fixer désormais l’amende minimale à 15 000 $.

« Ceux qui ont vécu un vol d’identité le savent: les conséquences peuvent être très lourdes et vous suivre pendant de nombreuses années », a noté la ministre LeBel en conférence de presse.

Le projet de loi 64, que la ministre a qualifié d’« extrêmement costaud », vise à redonner aux citoyens le plein contrôle de leurs renseignements personnels et responsabiliser les organisations qui utilisent ces renseignements, a-t-elle expliqué.

Sonia LeBel a donné un exemple que tous les internautes ont vécu pour illustrer un des moyens de défense prévus.

« Vous êtes allés magasiner un barbecue. Tout d’un coup sur votre Facebook et sur votre Instagram on vous offre des barbecues à répétition. Avec le projet de loi, je vais pouvoir désactiver cette fonction-là et de dire moi je veux magasiner un barbecue sans après ça me faire bombarder. »

Le citoyen devra donner un consentement « éclairé » et « distinct » à l’utilisation de ses renseignements personnels. Autrement dit, l’entreprise devra lui expliquer clairement ce à quoi son client s’apprête à consentir et le faire à chaque étape.

Les entreprises auront aussi l’obligation de détruire ou anonymiser les renseignements personnels quand l’utilisation prévue sera terminée. Quoi qu’il en soit, un citoyen pourra exiger à tout moment que ses renseignements soient détruits.

Toutes les entreprises faisant des affaires au Québec devront également informer la Commission d’accès à l’information et les citoyens d’une fuite de données, de même que tenir un registre de toutes les brèches de confidentialité.

Le projet de loi, qui est inspiré d’une législation européenne, s’applique aux renseignements personnels des clients québécois de toutes les entreprises qui font des affaires dans la province, y compris les entreprises à charte fédérale. Les partis politiques seront également soumis à certaines dispositions.

Un juge déterminera le montant de l’amende en fonction de la gravité de l’incident, notamment le nombre de personnes touchées, s’il s’agit d’une première condamnation, si l’entreprise a reçu des avertissements, si elle a respecté les balises, etc.

Les renseignements de millions de Québécois ont été compromis lors de plusieurs fuites de données au cours des dernières années, dont un vol qui a touché 4,4 millions de membres du Mouvement Desjardins.

La ministre a été incapable de dire à ce stade-ci si son projet de loi aurait permis d’éviter la fuite de données chez Desjardins. Elle estime cependant que son projet de loi s’ajoute à la Politique gouvernementale de cybersécurité et au projet de loi sur les agences de crédit pour former un « trio » qui contribuera à « minimiser le risque ».

L’étude du projet de loi commencera à l’automne.

L’article Données personnelles: amendes jusqu’à 25 M $ selon le projet de loi est apparu en premier sur Finance et Investissement.

Dans ce document, le Commissariat allait à l’encontre de sa position actuelle. Alors qu’avant le Commissariat considérait la communication de renseignements personnels aux fins de traitement comme une « utilisation » et non comme une « communication » de renseignements personnels à l’agence de traitement, il voulait commencer à considérer cet échange comme une véritable communication changeant ainsi les règles s’appliquant à ces transferts.

Si cette loi était passée, il aurait désormais été nécessaire d’obtenir le consentement de la personne sur laquelle portent les renseignements avant de pouvoir les donner à l’agence de traitement.

Dans sa plus récente lettre, Ian Russel, président et chef de la direction de l’ACCVM, relevait trois problèmes pour l’industrie et les courtiers si une telle loi avait été acceptée :

• Il est compliqué de revenir sur une pratique qui est bien entérinée et justement, avoir recours à des tiers pour traiter des données à l’extérieur du Canada est une pratique bien établie.
• Ce revirement aurait imposé un très lourd fardeau financier aux sociétés de courtage et autres institutions financières qui font régulièrement affaire avec des fournisseurs de services au Canada et à l’étranger. Elles auraient dû revoir en profondeur leurs pratiques.
• Les exigences qui étaient proposées en matière de consentement étaient particulièrement poussées, même par rapport aux règles sur la protection de la vie privée en vigueur en Union européenne, qui sont reconnues pour être parmi les plus sévères du monde.

Face aux réactions de l’industrie, le Commissariat a fini par se rétracter, mais pour moins longtemps qu’on le pense, affirme Ian Russel.

Le gouvernement fédéral s’implique

Le gouvernement fédéral se penche également sur la question. Il a déjà lancé un appel à commentaires sur les changements à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qu’il propose. Parmi ces changements, on retrouve, entre autres, des règlements sur la circulation transfrontalière des données.

Les changements visent à améliorer le contrôle sur les renseignements personnels, à harmoniser davantage les lois sur la protection de la vie privée dans le pays et avec l’Union européenne, mais pourraient avoir un gros impact pour les acteurs du secteur financier.

Parmi les changements les plus importants apportés à LPRPDE, il y a notamment :

• Exiger des organisations qu’elles fournissent aux individus des informations précises dans un langage clair de l’utilisation qu’elle prévoit faire de leurs renseignements personnels;
• Interdire le regroupement du consentement dans le cadre d’un contrat;
• Que les clients soient informés de l’utilisation de processus décisionnels automatisés, des facteurs ayant une incidence sur la décision et de la logique sur laquelle la décision est fondée;
• Que les pratiques soient plus transparentes et que les organisations démontrent qu’elles agissent de manière responsable notamment dans le contexte de la circulation transfrontalière des données;
• Accorder explicitement aux individus le droit de demander que leurs renseignements soient transmis d’une organisation à une autre dans un format numérique normalisé, si un tel format existe;
• Accorder davantage de pouvoir au Commissariat pour la mise en application de la LPRPDE;
• Que les individus puissent demander de supprimer leurs renseignements personnels, sous certaines réserves;
• Exiger des organisations qu’elles informent les autres organisations auxquelles les renseignements ont été communiqués de la modification ou la suppression de ceux-ci.

« Tout cela augmentera beaucoup le coût du capital et les frais d’exploitation des sociétés de courtage tout en engageant davantage leurs responsabilités », note Ian Russel dans sa lettre.

Selon lui, le secteur des valeurs mobilières devra intervenir rapidement dans les prochains mois pour faire en sorte que les règles proposées soient « pratiques, absolument nécessaires, basées sur le bon sens et qu’il n’y ait pas de chevauchement avec la réglementation sur les valeurs mobilières ».

Il propose que le Commissariat collabore avec les régulateurs financiers et les institutions assujetties à la loi pour coordonner la mise en application de la réglementation. Mais il estime que les règles proposées par le gouvernement devront être instaurées progressivement sur une longue période afin d’en réaliser les objectifs.

L’article La loi sur la protection de la vie privée devrait se durcir est apparu en premier sur Finance et Investissement.