Les PME québécoises se croient bien plus armées qu’elles ne le sont en matière de protection des renseignements personnels. Pourtant, il existe des ressources, et même des subventions, qui leur sont destinées pour les accompagner vers la mise en conformité avec la loi 25.

Alors que de nouvelles exigences de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, communément appelée loi 25, viennent d’entrer en vigueur, les PME québécoises surestiment leur capacité à protéger les renseignements personnels, c’est-à-dire toute donnée qui permet d’identifier directement ou indirectement une personne.

Or, l’analyse des pratiques réelles de ces PME montre que seulement 3 % d’entre elles ont réellement implanté l’ensemble des pratiques nécessaires pour se conformer aux exigences de la phase 1 (voir capsule) de la loi 25, entrée en vigueur il y a un an, observe le GRIC. Quant à la phase 2, aucune PME de l’échantillon n’a mis en place l’ensemble des pratiques exigées, alors qu’il s’agit d’une obligation depuis le 22 septembre de cette année.

Les PME pas motivées

Les PME semblent donc bien peu préparées à respecter les exigences complètes de la loi 25, attendues pour le 22 septembre 2024. Et elles ne semblent pas motivées. Moins d’une PME québécoise sur deux (40 %) dit avoir une réelle intention de se conformer à la loi 25 dans les prochaines années.

« Le manque de main-d’œuvre généralisé pour réaliser les activités courantes de l’organisation, le manque de compétences en lien avec la loi 25 et un manque de temps pour se consacrer à ces activités sont invoqués comme des freins réels à l’implantation de la Loi », rapporte l’étude du GRIC.

« Les PME ne comprennent pas bien les enjeux », analyse Manon G. Guillemette, codirectrice de recherche du GRIC et directrice du département des systèmes d’information et méthodes quantitatives de gestion (SIMQG) de l’École de gestion de l’Université de Sherbrooke. « Pour les plus petites, ce n’est pas naturel d’implanter des pratiques rigoureuses de gestion des données personnelles. Et quand elles essaient de se faire accompagner, les experts arrivent parfois avec des procédures trop lourdes et trop complexes. »

Un soutien ignoré

C’est pour répondre à ce besoin qu’In-Sec-M, la grappe québécoise de la cybersécurité, a créé un programme de renforcement des capacités des PME pour les aider à se conformer à la loi 25.

Les PME doivent comprendre que la loi 25 est avant tout une mise en œuvre de bonnes pratiques en cybersécurité, afin de protéger les citoyens québécois.

Nicolas Duguay, codirecteur d’In-Sec-M

Après un questionnaire d’autodiagnostic, qui permet à la PME de savoir où elle se situe en matière de conformité, une séance de sensibilisation de 90 minutes lui présente la loi 25 et des concepts de cybersécurité. Une formation de trois heures explique les bonnes pratiques à mettre en œuvre pour protéger les renseignements personnels. Un expert en cybersécurité peut même venir lui donner un coup de pouce, durant dix heures. Une subvention du gouvernement du Québec vient même alléger le coût de la formation.

Mais In-Sec-M peine à attirer des PME, confie Nicolas Duguay. « Nous pourrions fournir notre programme à 25 fois plus de PME, sans connaître de problème de capacité. » Jusqu’à présent, seules 5000 PME ont pris le temps de s’assoir avec l’expert qu’In-Sec-M leur a présenté pour les aider dans leur mise en conformité. Le Québec compte 255 000 PME, selon les données de Statistique Canada.

Une occasion saisie

La jeune entreprise TechGuys, de Longueuil, a suivi le programme d’In-Sec-M. Cette PME fondée par trois amis au début de la pandémie connaît une forte croissance dans son activité de création d’applications mobiles et de sites web. Les trois entrepreneurs, Carl Lucier, Danyk Diotte et Philippe Pépin, ont vu dans cette formation une occasion de renforcer le service apporté par l’entreprise à ses clients.

PHOTO CHARLES WILLIAM PELLETIER, COLLABORATION SPÉCIALE

Philippe Pépin, Danyk Diotte et Carl Lucier, de l’entreprise TechGuys

« Pour être de bon conseil, on doit être capable d’informer nos clients quand quelque chose peut impacter leur projet », explique Carl Lucier. « On s’est dit qu’il fallait montrer l’exemple pour être en mesure de bien les conseiller. » Et c’est donc toute l’équipe de TechGuys qui a suivi la formation sur la loi 25.

Si l’entreprise longueuilloise propose cette sensibilisation, c’est aussi parce que les exigences de la loi ne sont pas claires, poursuit Carl Lucier. « Juste le fait d’apporter l’information, c’est un gros apport, tellement il est difficile de savoir quoi faire. »

Les trois phases de la loi 25

Depuis le 22 septembre 2022 (phase 1), la loi 25 exige des organisations qu’elles désignent une personne comme responsable de la protection des renseignements personnels, et qu’elles aient mis en place des dispositions en cas d’incident. Depuis le 22 septembre 2023 (phase 2), des processus robustes doivent encadrer la collecte et la gestion des renseignements personnels, avec des sanctions en cas de manquement à ces obligations. Le 22 septembre 2024 (phase 3), chaque organisation devra être capable de communiquer un renseignement personnel informatisé sur demande de la personne concernée.

En savoir plus
  • 40 %
    Proportion des PME qui affirment être prêtes ou tout à fait prêtes pour la phase 1 de la loi 25
    Source : sondage du Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l’Université de Sherbrooke