Carrière et Formation

Une nouvelle certification très utile en gestion de données personnelles

Main image

Sophie Ginoux

2022-03-23 13:15:00

D’ici l’automne 2022, toutes les entreprises devront appliquer les nouvelles dispositions en matière de protection des renseignements personnels. Comment les avocats peuvent-ils se protéger?

Mme Flore Tanguay-Hébert, M. Elie Elia, Me Erin Schachter et Me  Erwan Jonchère.
Mme Flore Tanguay-Hébert, M. Elie Elia, Me Erin Schachter et Me Erwan Jonchère.
Afin de remédier aux fuites de données personnelles et à leur utilisation hasardeuse par les entreprises, qui sont régulièrement la cible d’attaques cybercriminelles, le gouvernement provincial a récemment adopté le projet de loi 64 en promulguant la loi 25.

La loi 25 modernise les dispositions législatives en matière de protection des renseignements personnels, ce qui a un impact direct sur les entreprises du Québec, déjà assujetties aux autres lois connexes en vigueur aux niveaux fédéral et provincial. Effectivement, dès le mois de septembre 2022, plusieurs dispositions de la loi, comme l’obligation de signaler un incident de confidentialité et celle de nommer un responsable aux données personnelles dans chaque entreprise, s’appliqueront… Et gare aux contrevenants, qui pourraient s’exposer à des amendes de plusieurs millions de dollars !

Dans ce contexte, l’identification des données personnelles, bien plus nombreuses qu’on pourrait le croire, ainsi que des moyens pour assurer leur sécurité est devenue primordiale. Mais cette démarche est souvent difficile à mettre en œuvre lorsqu’on n’est pas un avocat spécialisé dans le droit des nouvelles technologies ou un expert en technologies d’affaires.

Voilà pourquoi l’ESG+, l’aile dédiée au milieu des affaires de l’École des sciences de la gestion de l’Université du Québec à Montréal, vient de lancer une nouvelle certification sur la gestion des données personnelles.

Une équipe de choc formée d’avocats et d’experts

« La plupart des entreprises, cabinets compris, connaissent les dangers de la cybercriminalité, mais ne savent pas par où commencer pour se protéger et n’ont pas de bonnes pratiques de gouvernance. Elles se contentent le plus souvent de réagir plutôt que de prévenir », indique Me Erin Schachter.

Me Schachter fait partie du Groupe Therrien Couture Jolicoeur et est spécialisée dans les domaines du droit de la propriété intellectuelle, du droit de la technologie, de la confidentialité des données et du droit international. Elle sera l’une des quatre experts en charge de la nouvelle certification sur la gestion des données personnelles de l’ESG+, en compagnie de M. Elie Elia, un enseignant en technologies d’affaires, de Mme Flore Tanguay-Hébert, spécialiste de la communication des risques et de crise, ainsi que de Me Erwan Jonchère, qui pratique en droit des nouvelles technologies, notamment celles en lien avec l’intelligence artificielle, les données personnelles et la blockchain.

Cette équipe de choc dispensera, du 5 au 26 avril, puis du 3 au 24 mai, une formation d’une durée de 21 heures sous la forme de six modules obligatoires et de deux optionnels suivis chacun d’un test de validation des connaissances. Identification des données personnelles, règles entourant leur collecte, leur utilisation et leur conservation, fonctions du responsable aux données personnelles, responsabilités en cas de crise ; voici le menu chargé qui attendra les participants à cette précieuse certification accréditée par le programme Scale AI, qui permet d’obtenir un rabais de 50% sur le tarif régulier de la formation.

Une formation concrète pour des besoins concrets

La certification sur la gestion des données personnelles, au même titre que la trentaine d’autres formations proposées à l’ESG+, est destinée aux professionnels. « Elles sont adaptées aux besoins en temps réel des entreprises, avec des enseignements de pointe et pratiques dispensés par des experts chevronnés », explique Mme Aude Clotteau, directrice de l’institution.

« Notre objectif est de bien faire comprendre, avec des cas de figure concrets, les fondements et les obligations de la loi 25. Nous voulons que les participants puissent mettre directement en pratique ce qu’ils auront appris lors de la formation », ajoute Me Erin Schachter.

L’avocate précise que la certification s’adresse aussi bien aux entrepreneurs, qu’à des membres de la direction. Cette formation touche également les grands cabinets qui gèrent beaucoup de données personnelles, ainsi que tous les avocats qui opèrent en droit des affaires ou conseillent des entreprises de toutes tailles.

« On évalue souvent très mal à quoi correspondent les données personnelles, dit Me Schachter. On croit par exemple qu’on n’en a pas à gérer parce que ses clients sont des sociétés. Il suffit pourtant de disposer de coordonnées des employés de ces clients corporatifs, ainsi que des coordonnées de ses propres employés, pour gérer des renseignements personnels. »

Cette méconnaissance se reflète aussi bien dans la collecte et la gestion des données personnelles, que dans leur conservation. Si elles sont notamment stockées sur un serveur utilisé par plusieurs personnes, ou bien si on y accès à distance, ce qui est de plus en plus le cas en télétravail, des problèmes de sécurité se posent.

« Nous utilisons donc des décisions de tribunaux québécois et canadiens pour étudier des cas pratiques. Les participants peuvent aussi présenter leur propre situation pour que nous en traitions. Et si leurs besoins dépassent nos compétences, nous pouvons les référer à des spécialistes de confiance », indique Me Schachter.

L’acquisition de bonnes pratiques

Au sortir de la certification sur la gestion des données personnelles de l’ESG+, les participants disposent donc de solutions concrètes et peuvent tout à fait être la personne responsable aux données personnelles de leur entreprise ou cabinet. « Elles sauront quelles bonnes pratiques elles pourront mettre en place ou déléguer. Et elles sauront aussi comment gérer une crise, si jamais il en survient une. »

Effectivement, même les plus grandes entreprises ne sont pas à l’abri de fuites de données, de rançongiciels et d’attaques cybercriminelles de toutes sortes. La société en pâtit alors financièrement, et son image de marque en prend un coup. On se souvient notamment de la situation délicate dans laquelle le Mouvement Desjardins s’est retrouvé suite au piratage de données dont il avait été victime, ainsi que de la maladresse avec laquelle il avait communiqué par la suite.

Un module de la certification est donc dédié à cette thématique, « pour que les participants puissent sortir du cours avec tous les outils nécessaires à l’établissement d’un plan concret en cas de crise. Parce que dans cette situation comme dans beaucoup d’autres relatives aux données personnelles, l’erreur ne provient pas seulement des outils technologiques que l’on utilise. Elle est avant tout humaine », conclut Me Schachter.

Les inscriptions pour la certification sur la gestion des données personnelles de l’ESG+ sont en cours, pour les intéressés !
10504

Publier un nouveau commentaire

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires