Oct 17, 2023
Loi 25: à la recherche d’une solution simple pour petites entreprises (et gratuite)
Chez Néo Carbone, la loi 25 était au menu dans plusieurs discussions avec plusieurs clients TPE & PME, qui ont des enjeux très différents des moyennes et grandes entreprises. Force est de constater qu’elles ont largement été laissées au dépourvu dans le récent élan médiatique vers la conformité. Cela nous a mené à réfléchir au problème et aux solutions potentielles.
L’objectif: décoder la question de conformité pour en arriver à une solution technologique simple et gratuite, offrant une expérience centrée sur les enjeux des très petites et petites entreprises.
Mission acceptée 💪
Contexte
La semaine dernière, les dispositions de la Loi 25 sont entrées en vigueur au Québec dans un souci de protection de la vie privée et des renseignements personnels. Pour s’y conformer, les entreprises du Québec, peu importe leur taille et leur forme juridique (même les travailleurs autonomes n’y échappent pas), doivent ajouter des processus de gestion entiers à leurs activités. Gestion des renseignements personnels, mais aussi des consentements associés, des systèmes de stockage, des incidents, des politiques… et plus.
Le problème pour les petites et très petites entreprises commence avec des dispositions légales qui arrivent abruptement, et à un bien mauvais moment. Celui où les entrepreneurs naviguent dans un climat d’incertitude économique, de hausse des taux d’intérêt et de l’éternelle pénurie de main-d’œuvre. Dans un contexte où 60% des faillites du pays se produisent au Québec, comment s’attaquer au défi de conformité sans jouer ses finances et sans écraser son équipe de processus administratifs?
Le problème se poursuit quand on regarde les trousses de départ et feuilles de route offertes pour aider à diriger le changement: politiques et procédures de 50 pages, instructions de travail dignes du gouvernement, jargon technique inaccessible pour la plupart et recommandations qui ne les concernent pas. Pas surprenant que rien ne bouge, rien de tout cela ne correspond à la réalité des petites entreprises.
Les gestes à poser maintenant pour toute les petites entreprises
Les dirigeants de petites entreprises ont raison d’être inquiets, mais devraient se concentrer à faire la lumière sur deux points pour progresser:
- Qu’est-ce que la Loi 25 signifie pour mon entreprise et pour mes activités? Quels sont les gestes à poser?
- Une fois ces gestes identifiés, quels outils technologiques simples, utiles et efficaces puis-je utiliser pour assurer notre conformité, en continu, sans décourager et surcharger les équipes?
À ce point-ci, des solutions technologiques simples existent (on y arrive bientôt, c’est promis!). Mais se mettre la tête dans le sable n’en est pas une. Je m’explique.
Nous voyons déjà des petites entreprises s’arracher les cheveux au cours des prochaines années, avec tous ces registres manuscrits, éparpillés dans des fichiers Excel pas tous à jour (et pas très sécuritaires). Bye à la productivité et bye à la vie privée, même si toutes les bonnes intentions étaient au rendez-vous au départ.
Mais nous voyons aussi d’autres petites entreprises naviguer leur conformité calmement, parce qu’elles auront intégré dès le départ la gestion de leurs renseignements personnels à un outil central, automatisé et intégré à leurs systèmes.
Pour toutes les TPE et PME qui essaient déjà de faire plus avec moins, la stratégie choisie aujourd’hui pourrait bien faire la différence dans quelques années. Avec les amandes et la lourdeur administrative qu’une telle gestion peut avoir lorsqu’elle est mal approchée d’un point de vue technologique, prendre le temps aujourd’hui est sans doute un choix judicieux.
Une solution technologique pour répondre aux exigences de la loi
Ayant comme mission première d’offrir l’expérience de développement et d’architecture technologique la mieux adaptée à la réalité des petites entreprises au Québec, nous avons assemblé un outil informatique pour que nos clients (et nous-mêmes) puissions s'attaquer de front la question de conformité.
Objectifs à remplir
- Ajouter automatiquement les renseignements personnels et consentements aux registres, à mesure que votre organisation en récolte;
- Automatiquement mettre à jour le statut des consentements/renseignements personnels, en fonction des événements qui se passent en temps réel;
- Permettre une entrée de données simple;
- Guider l’utilisateur dans sa conformité en proposant des actions, que ce soit dans le traitement des incidents (tâches, actions selon sévérité, etc.) ou dans la mise en place de politiques;
- Donner une vue d’ensemble sur l’état des renseignements personnels et de leur suivi.
Principales composantes
Des registres pour les informations dont vous devez faire le suivi:
- Registre des renseignements personnels, qui documentent chaque renseignement personnel conservé;
- Registre des consentements, qui documentent le consentement de chaque renseignement personnel conservé;
- Registre des systèmes, qui documentent les systèmes dans lesquels sont conservés les renseignements personnels;
- Registre des incidents, qui documente les incidents impliquant des renseignements personnels (données perdues, volées, consultées sans permission, etc.);
- Registre des politiques, qui documente les politiques d’entreprise concernant le traitement des renseignements personnels;
- Tâches, pour faire le suivi des tâches.
Automatisations (quelques exemples seulement):
- Avant l’expiration du renseignement personnel, créer les tâches nécessaires pour renouveler le consentement, au besoin;
- À l’expiration du renseignement personnel, créer les tâches nécessaires pour détruire le renseignement personnel et mettre à jour le consentement, qui est maintenant “expiré”;
- À la soumission d’un formulaire (commande, accès à du contenu gratuit, demande de rappel, etc.), créer automatiquement les entrées nécessaires dans tous les registres;
Interfaces (quelques exemples seulement):
- Tableau de bord: pour consulter l’état général de la gestion de votre conformité.
- Formulaire de création d’incidents: pour faciliter la création de nouvelles entrées dans le Registre des incidents.
- Consulter et gérer les incidents: pour faciliter la consultation de tous les incidents, et leur gestion (incluant un tableau de tâches Kanban)
Tirer profit d'une solution technologique intégrée, gratuitement
Un tel outil ne pourrait à lui seul garantir la conformité, mais il vous donnera sans doute un gros coup de main, et vous permettra de faire un départ canon. Néo Carbone veut vous donner une tape sur l'épaule, un petit coup de main. On veut vous éviter le coup de pied dans le derrière que certains proposent avec cette nouvelle loi.
Néo Carbone a l’expérience et l'expertise technique pour concevoir et maintenir de tels systèmes, en plus de l’expertise sur le plan de la conformité légale en sécurité de l’information. Si vous souhaitez un accompagnement personnalisé et une intégration avancée à votre environnement technologique actuel, Néo Carbone fera en sorte que votre entreprise soit conforme dans un délai qui saura certainement vous surprendre!
Pour découvrir et vous procurer l’outil gratuit, visitez loi25conformite.ca.