Nouvelles et communiqués

La nouvelle loi 25 du Québec sur la protection des renseignements personnels franchira une nouvelle étape dans son implantation à partir du 22 septembre 2023.

En rappel sommaire, cette loi exige que toute organisation et entreprise prennent des mesures pour protéger les informations personnelles des Québécois et signalent, s’il y a lieu, tout incident de vol d’information personnelle à la Commission d’Accès à l’Information.

À titre de clients, nous vous proposons quelques questions clés pour vous représenter le projet de travail potentiel à mettre en place et les ajustements technologiques qui peuvent en découler.

D’abord l’information sensible, quelle est-elle ?
Toute information personnelle d’un employé, d’un client, d’un fournisseur ou d’un partenaire avec qui vous échangez de l’information.

On entend plus spécifiquement par information personnelle, toute information qui permet d’identifier un individu spécifiquement sans ambiguïté.

Si vous conservez et gérez ce type d’information sur vos serveurs internes ou hébergés, vous devez vous assurer que ces données sont adéquatement protégées contre le vol via une intrusion de cybersécurité ou par diffusion non autorisée.

Quelles sont les étapes à suivre si je souhaite structurer mon projet d’intervention interne ?
D’une façon sommaire, voici les étapes à couvrir par votre projet :

1. Dressez un inventaire de toutes les données stockées par votre entreprise. Il est important de comprendre quelles sont les données sensibles et lesquelles sont moins critiques.
2. Identifiez les points de vulnérabilité de votre entreprise. Les points de vulnérabilité incluent les points d’accès non sécurisés, les ports ouverts sur les pare-feux, les points d’entrée pour les attaques d’hameçonnage (« phishing »), etc.
3. Établissez des politiques internes de sécurité claires et précises. Ces politiques devraient inclure des directives sur l’utilisation des mots de passe forts, des restrictions d’accès aux données sensibles, des règles pour la suppression automatique d’anciennes données sensibles, etc.
4. Mettez en place des mesures de sécurité appropriées. Les mesures de sécurité peuvent inclure des pare-feux, des systèmes de détection d’intrusion, des logiciels antivirus, des systèmes de cryptage et des protocoles de sauvegarde réguliers, etc.
5. Formez vos employés aux bonnes pratiques en matière de sécurité. Les employés doivent comprendre l’importance de la sécurité des données et savoir comment agir en cas d’incident de sécurité.
6. Mettez en place un plan de réponse aux incidents de sécurité pour gérer les situations de sécurité, notamment les intrusions malveillantes, les pertes de données et les violations de la sécurité.

Pourquoi Progident est un partenaire stratégique pour vous ?
En faisant partie du Groupe CTRL Progident profite de tous les avancées et leviers disponibles mis au service de la grande famille CTRL.

D’abord sur le plan logiciel, la plateforme applicative de la Solution de gestion de dentaire Progident prévoit déjà des fonctionnalités poussées de sécurité fonctionnelle et informationnelle qui vous permettent de contrôler l’accès et le partage de toute information sensible.

Cette même plateforme offre également un journal de traçabilité (« audit trail ») qui permet, en cas de besoin, d’identifier rapidement la source (qui, quand, quoi) de tout partage d’information non autorisé pour en évaluer le niveau de sévérité et prendre les actions appropriées vis-à-vis la commission d’accès à l’information. Aucun compétiteur n’offre le même degré de sécurisation de l’information.

Deuxièmement sur le plan équipements, notre division TI Technologies vous offre tous les services techniques requis pour un accompagnement complet dans votre démarche de révision et de bonification de votre infrastructure informatique de manière à rencontrer les exigences de la loi 25. Mentionnons, entre autres, les services suivants :

• Identifier et lister vos points de vulnérabilité d’accès actuels.
• Vous présentez ses recommandations d’ajustements technologiques ainsi qu’un plan de match sous la forme d’une proposition d’affaires claire et précise.
• Vous appuyer et vous conseiller dans le cadre de l’élaboration de vos politiques et des bonnes pratiques internes concernant la gestion de vos données sensibles.
• Agir à titre de formateur pour vos groupes d’employés concernant l’application des politiques et des bonnes pratiques que vous aurez établies.
• Vous appuyer et vous conseiller dans le cadre de l’élaboration de votre plan d’action en cas d’incident de cybersécurité.

Soyez prêt à aborder cette deuxième étape charnière de la loi 25. N’hésitez pas à communiquer avec nous pour tout besoin d’information complémentaire.