Un aperçu de l'avenir de la sécurité du cloud : des mesures avancées pour protéger les données dans le domaine numérique.

Tendances de risque en 2024 et par la suite : Confidentialité et gouvernance des données

Tendances de risque en 2024 et par la suite : Confidentialité et gouvernance des données

Résumé
4 minutes de lecture

La Loi 25 du gouvernement du Québec signale une nouvelle ère pour les règles de confidentialité au Canada, car ses dispositions sont bien plus sévères que celles de la loi fédérale correspondante.

Cela dit, les organisations basées au Québec ne sont pas les seules à devoir mieux expliquer comment et pourquoi elles recueillent des données, et avec qui elles les échangent. La Loi 25 s’applique à toute organisation qui brasse des affaires au Québec ou stocke des renseignements permettant d’identifier certains de ses résidents – et ce n’est là qu’une de ses dispositions en ce genre.

Les organisations qui sauront faire la preuve de leur capacité à protéger les données des utilisateurs et à s’en servir dans un souci éthique acquerront du crédit auprès des consommateurs soucieux de confidentialité, surtout si elles y parviennent avant que d’autres législatures n’emboîtent le pas.

En savoir plus
Adriana Gliga, CISSP, CIPM, PCIP
Points de vue
Confiance Livres blancs Gestion des risques d'entreprise Audits et contrôles internes Cybersécurité Risque lié à la technologie
Connaissez-vous les éléments les plus vulnérables de votre entreprise à surveiller dans l’année à venir? Notre rapport sur les tendances de risque en 2024 fait l’analyse de 15 d’entre eux sur lesquels porter votre attention. Découvrez tous les risques abordés dans le rapport de cette année. 

En septembre 2022, le Québec a adopté une série de règles contraignantes dont les effets seront palpables dans tout le Canada d’ici quelques années. La Loi 25 prévoit de nombreuses dispositions et sanctions qui vont bien au-delà des exigences de Loi sur la protection des renseignements personnels et les documents électroniques fédérale. Elle n’a d’égal que le Règlement général sur la protection des données de l’Union européenne, consensuellement tenu pour être le texte de référence en la matière.

Déjà, la Loi 25 fait sentir ses effets au-delà des frontières québécoises, car elle s’applique à toutes les organisations – canadiennes comme étrangères – faisant des affaires au Québec ou stockant, sur les résidents du Québec, des renseignements permettant de les identifier. Vu la tendance au resserrement des contrôles et à plus de transparence concernant les renseignements de cette nature, c’est une question de temps avant que les autres législatures canadiennes n’emboîtent le pas.

Pour les organisations qui misent sur les données pour formuler des avis critiques et déceler des occasions d’affaires, chaque resserrement réglementaire vient avec son lot de défis et de possibilités. Elles devront revoir dans le détail leurs politiques et procédures de collecte, d’utilisation et de partage de ces données. Elles devront aussi composer avec les réglementations nombreuses et parfois dissemblables en vigueur sur les territoires où elles brassent des affaires. Enfin, elles devront se montrer plus ouvertes quant aux manières et aux raisons de collecter des données et à l’identité des parties avec qui elles les échangent – de quoi susciter des discussions difficiles.

Bien des organisations déploreront la facture potentiellement salée de l’embauche de nouveaux directeurs de la confidentialité, de l’émondage de programmes d’analyse n’ayant qu’un lien distant avec les raisons pour lesquelles les données ont été collectées, de l’instauration de stratégies additionnelles garantes de conformité réglementaire, et enfin de toute amende qu’elles pourraient devoir acquitter.

Simultanément, on notera que les usagers sont bien plus conscients qu’autrefois de la valeur de leurs données pour les organisations et des risques associés à leur partage. L’avantage concurrentiel passe donc aux entités capables d’expliquer quand, comment et pourquoi elles utiliseront des renseignements permettant d’identifier des personnes, mais aussi par quels mécanismes elles protègeront ces informations.

Risques connexes

  • Failles de sécurité causées par une gouvernance lacunaire des questions touchant l’IA et les solutions venant de tiers
  • Non-conformité en raison des répercussions légales de l’utilisation d’ensembles de données d’un tiers
  • Effets des exigences de transparence sur la gestion intégrée des préférences et des expériences des utilisateurs
  • Hausse des risques internes en raison du télétravail et du roulement de personnel
  • Non-conformité réglementaire

""Questions importantes à vous poser

  • Avez-vous la certitude que les données privées et confidentielles sont stockées dans un lieu sécurisé et soumis à des contrôles d’accès suffisants?
  • Comprenez-vous quelles lois sur la confidentialité s’appliquent à votre organisation et ce que vous devez faire pour vous y conformer?
  • Votre organisation a-t-elle répertorié tous les lieux où elle stocke des données critiques et les modalités de circulation de celles-ci entre systèmes et entre territoires?
  • Savez-vous si vos données privées et confidentielles ont vu leur intégrité ou leur segmentation être atteintes lors de leur migration vers un nouveau système informatique (comme le nuage)?
  • Un tiers pourrait-il réussir à s’introduire dans vos données critiques?
  • Votre organisation a-t-elle adopté une politique d’utilisation d’outils d’IA comme ChatGPT et de gestion des renseignements confidentiels ou permettant d’identifier une personne?

""Signaux d’alerte

  • Incapacité d’isoler les renseignements permettant d’identifier une personne ni les données confidentielles
  • Aucune formation ni politique liée à la gouvernance et à la protection des données
  • Politique d’utilisation des outils d’IA comme ChatGPT inexistante
  • Décisions ou évaluation des risques peu orientées par l’analyse des données, car ces données sont privées et confidentielles
  • Historique de failles de sécurité

Audits internes à considérer

Audit de conformité aux règles de confidentialité des données 
Il assure la conformité de l’organisation aux lois et règlements sur la confidentialité applicables, dont le Règlement général sur la protection des données en Europe, la Loi 25 au Québec et/ou, aux États-Unis, la loi californienne sur la confidentialité des données des consommateurs.
Audit des autorisations et des accès aux données 
Il examine les mesures de contrôle des accès et les mécanismes d’autorisation en place pour garantir que l’accès aux données est réservé aux seules personnes autorisées et que les droits d’accès sont correctement administrés.
Audit de qualité des données 
Il évalue la qualité et l’exactitude des données conservées par l’organisation sous plusieurs angles, dont la validation des données, les processus de nettoyage et les pratiques de fourniture de données.
Audit de conservation et de suppression des données 
Il évalue si l’organisation conserve des données le temps qu’il faut, sans plus, et si elle suit les bonnes procédures pour les détruire quand elle n’en a plus besoin.
Audit de sécurité des données 
Il analyse les mesures de sécurité en place pour protéger les données sensibles contre tout accès non autorisé, toute fuite ou toute cyberattaque.
Audit des politiques et procédures de gouvernance des données 
Il vérifie que l’organisation a mis en place des politiques et procédures de gouvernance des données bien définies et que celles-ci sont appliquées et respectées.
Audit de classification et de manipulation des données
Il examine de quelle façon les données sont classifiées compte tenu de leur nature sensible et critique, en plus de voir si des règles de manipulation appropriées sont en place pour chaque niveau dans l’échelle de classification.
Audit de gestion du cycle de vie des données 
Il examine de quelle façon les données sont recueillies, stockées, utilisées, puis archivées ou supprimées au cours de leur cycle de vie.
Audit des formations en gouvernance des données 
Il évalue la qualité et les retombées des formations dispensées au personnel sur les politiques de gouvernance des données et les meilleures pratiques en la matière.
Audit des indicateurs de gouvernance et de leurs mécanismes de surveillance 
Il passe en revue les indicateurs de gouvernance et les mécanismes de surveillance de ces derniers pour garantir qu’ils mesurent correctement le succès et les résultats des initiatives de gouvernance de données.
Audit de l’efficacité du comité de gouvernance des données 
Il évalue l’efficacité et l’efficience du comité de gouvernance des données ou d’une entité analogue chargé de superviser la gestion des données.
Audit des communications sur la gouvernance des données et de participation des parties prenantes 
Il évalue jusqu’à quel point l’organisation sait communiquer ses initiatives de gouvernance des données aux parties prenantes et faire participer celles-ci à sa gestion des données.

Les risques : tendances pour 2024 et par la suite

Découvrez tous les risques abordés dans le rapport de cette année. 
Tendances de risque en 2024 et par la suite

Points de vue

  • Confiance

    18 avril 2024

    Loi 25 au Québec : Votre entreprise est-elle conforme?

    Découvrez comment votre organisation doit se conformer à la Loi 25 qui renforce et encadre la façon dont sont gérés les renseignements personnels au Québec.

    En savoir plus

  • Performance

    16 avril 2024

    Faits saillants du budget fédéral de 2024

    Consultez l’analyse fiscale du budget fédéral de 2024 que vous a préparée MNP.

    En savoir plus

  • Performance

    10 avril 2024

    À quoi devraient s’attendre les importateurs à la suite de la mise en œuvre de la version 2 du portail client de la GCRA et de la période d’interruption annoncée dans l’avis de douanes 24-14?

    Quels seront les effets des changements mis en place par l’Agence des services frontaliers du Canada (ASFC) sur les entreprises qui importent des marchandises au Canada?

    En savoir plus