Loi québécoise 25

Contacter un expert

Retour à tous les cas d'utilisation

Confidentialité des données et gestion des risques liés aux tiers

Le projet de loi 64du Québec est une loi adoptée en 2021 visant à moderniser la Loi sur le secteur privé de la province canadienne et à améliorer les normes de protection des données personnelles. L'une des dispositions clés du projet de loi est la loi 25, qui comprend des exigences régissant la collecte, l'utilisation et la communication des informations personnelles et habilite l'autorité québécoise chargée de la protection des données, la Commission d'accès à l'information du Québec, à faire respecter certaines exigences, telles que la réalisation d'évaluations d'impact sur la vie privée avant de transférer des données personnelles hors de la province.

Les autorités canadiennes ont mis en œuvre les exigences en matière de protection des données de la loi 25 par étapes en septembre 2022 et 2023, et des mesures d'application supplémentaires devraient entrer en vigueur en septembre 2024.

Applicable à toute entité établie au Québec et/ou exerçant des activités au Québec qui collecte, utilise ou divulgue des renseignements personnels de personnes situées dans la province, la loi prévoit des sanctions allant de 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial à 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial en cas d'infraction.

Les organisations exerçant leurs activités au Québec devraient évaluer leurs pratiques actuelles en matière de protection des données de tiers afin de déterminer si leurs processus sont conformes à la loi.

Exigences pertinentes

  • Régir la collecte, l'utilisation et la divulgation des renseignements personnels des personnes situées au Québec.

  • Réaliser des évaluations obligatoires des facteurs relatifs à la vie privée (EFVP) pour le transfert de renseignements personnels à l'extérieur du Québec.

  • Inclure des dispositions obligatoires dans tous les contrats d'externalisation (par exemple, tiers)

Loi 25 du Québec Exigences en matière de TPRM

Le tableau ci-dessous résume certaines dispositions de la loi 25 relatives à la protection des données de tiers et explique comment laplateforme Prevalent Third-Party Risk Management (TPRM)peut aider à répondre à ces exigences.

Remarque : les informations présentées dans ce tableau constituent un résumé des exigences de la loi 25 et ne doivent donc pas être considérées comme des conseils juridiques exhaustifs. Veuillez consulter le texte intégral de la loi et le conseiller juridique de votre organisation afin de déterminer la meilleure ligne de conduite pour votre entreprise.

Sélectionnez les exigences de la loi 25 du Québec Meilleures pratiques en matière de gestion des risques liés aux tiers
À compter du 22 septembre 2022

En cas d'incident lié à la confidentialité des informations personnelles :

a. Prendre des mesures raisonnables pour réduire les risques de préjudice pour les personnes concernées et empêcher que des incidents similaires ne se reproduisent.

b. Informer la Commission et la personne concernée si l'incident présente un risque de préjudice grave.

c. Tenir un registre des incidents, dont une copie doit être fournie à la Commission sur demande.

Réagissez, signalez et atténuez l'impact desincidents liés à la protection des données des fournisseurs tiersen gérant de manière centralisée les fournisseurs, en évaluant les événements, en notant les risques identifiés, en établissant des corrélations avec la surveillance cybernétique continue et en accédant à des conseils de remédiation. Les principales fonctionnalités de votre programme de réponse aux incidents tiers doivent inclure :

  • Questionnaires de gestion des événements et des incidents mis à jour en permanence et personnalisables
  • Suivi en temps réel de l'état d'avancement du questionnaire
  • Des propriétaires de risques définis avec des rappels automatisés pour maintenir les enquêtes dans les délais.
  • Rapports proactifs sur les fournisseurs
  • Vues consolidées des évaluations des risques, des décomptes, des scores et des réponses signalées pour chaque fournisseur
  • Règles de flux de travail pour déclencher des plans d'action automatisés afin d'agir sur les risques en fonction de leur impact potentiel sur l'entreprise.
  • Recommandations de remédiation intégrées pour réduire les risques
  • Modèles de rapports intégrés pour les parties prenantes internes et externes
Mettez en place des pratiques qui vous permettront de réagir de manière appropriée et rapide en cas d'incident lié à la confidentialité des informations personnelles (par exemple, plan d'intervention en cas d'incident et directive à l'intention du personnel). Envisagez de structurer les pratiques de réponse aux incidents autour d'un cadre commun de bonnes pratiques industrielles pour la gestion des incidents, tel que le guideSP 800-61 du National Institute of Standards and Technology (NIST) sur la gestion des incidents de sécurité informatique.
Faites l'inventaire des informations personnelles détenues par votre entreprise (ou par un tiers agissant en son nom) et évaluez leur sensibilité. Commencez par créer une carte afin d'identifier les relations entre votre organisation et les tiers,quatrièmes parties ou Nèmes parties, afin de visualiser les chemins d'information et de déterminer les données à risque.
À compter du 22 septembre 2023
Effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) lorsque la loi l'exige, par exemple avant de divulguer des renseignements personnels à l'extérieur du Québec.

Réalisez uneévaluationinternede l'impact sur la vie privée (PIA)ciblant les données les plus sensibles liées à la vie privée et les processus opérationnels présentant le risque le plus élevé. Utilisez la PIA pour évaluer l'origine, la nature et la gravité du risque potentiel et formuler des recommandations visant à atténuer les risques identifiés et à garantir le respect des réglementations en matière de protection de la vie privée.

Ensuite, évaluez les contrôles de confidentialité des données des fournisseurs à l'aide d'une enquête spécifique à la loi 25. L'enquête doit être conçue de manière à identifier les risques et à les mettre en correspondance avec les contrôles afin d'obtenir une vision claire des points sensibles potentiels.
Détruisez les informations personnelles lorsque leur objectif de collecte est atteint ou anonymisez-les pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et de la période de conservation prévues par la loi.

Automatisezles procédures de départafin de réduire les risques liés à l'exposition post-contractuelle de votre organisation. Recherchez des solutions qui vous permettent :

  • Planifier des tâches pour examiner les contrats afin de s'assurer que toutes les obligations ont été respectées
    Émettre des évaluations de contrats personnalisables pour évaluer le statut
  • Personnalisez les enquêtes et les flux de travail pour générer des rapports sur l'accès au système, la destruction des données, la gestion des accès, la conformité à toutes les lois applicables, les paiements finaux, etc.
  • Stockez et gérez de manière centralisée les documents et certifications, tels que les accords de confidentialité, les accords de niveau de service, les cahiers des charges et les contrats.
    Tirez parti de l'analyse automatisée intégrée des documents.
  • Prenez des mesures concrètes pour réduire les risques liés aux fournisseurs grâce à des recommandations et des conseils de remédiation.
  • Visualisez et répondez aux exigences de conformité en mettant en correspondance les résultats d'évaluation avec d'autres réglementations et cadres réglementaires.
Étant donné que l'inventaire des renseignements personnels évolue, il est important de le tenir à jour afin de tenir compte des changements qui ont pu survenir au sein de votre entreprise (p. ex. nouvelle collecte de renseignements personnels pour un projet) et de vous assurer que vous planifiez vos actions de manière adéquate et que vous vous conformez à toutes vos obligations. Surveillez en permanence les violations de données par des tiers. Identifiez les types et les quantités de données volées, les problèmes de conformité et de réglementation, et les notifications en temps réel des violations de données par les fournisseurs.
Évaluer la conformité du projet avec les lois sur la protection de la vie privée. Respectezles réglementations en matière de confidentialité des adressesen cartographiant les risques et les réponses aux contrôles, en obtenant des notes de conformité en pourcentage et en générant des rapports spécifiques aux parties prenantes.
Mettre en œuvre des stratégies et des mesures pour éviter ces risques ou les réduire efficacement.

Automatisez l'identification des risques en fonction de seuils établis et renforcez les pratiques grâce à des workflows qui transmettent les risques identifiés aux parties prenantes concernées pour examen et traitement immédiats.

Recommander des mesures correctives spécifiques ou être prêt à accepter des contrôles compensatoires lorsque des lacunes sont identifiées dans les pratiques de confidentialité des données.

Ressources complémentaires

Blog

La LPDP et la gestion du risque pour les tiers

Blog

Liste de contrôle de la conformité au GDPR pour la gestion des risques liés aux tiers

Blog

Liste de contrôle de la conformité à la CCPA et à l'ACPR pour la gestion des risques liés aux tiers

Guide

Alignez votre programme de gestion des risques technologiques sur la CCPA, le GDPR, l'HIPAA, etc.

Voir plus de ressources

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.