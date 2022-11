Au Québec, une nouvelle loi entrée en vigueur le 22 septembre dernier – la loi 25 – oblige toute entreprise victime d’une fuite de données à en avertir la Commission d’accès à l’information du Québec.

Les entreprises visées doivent aussi avoir désigné une personne responsable de la protection des renseignements personnels et avoir publié son titre et ses coordonnées sur le site internet de l’entreprise.

Dans le cas d’une attaque de type rançongiciel, il n’est pas garanti qu’une fuite de données ait eu lieu.

« C’est fort possible, mais on ne peut pas être certain tant que l’entreprise ne l’a pas dit », explique Sylvain Lussier, d’EVA Technologies, qui est spécialisée en sécurité informatique.

Encore « immature »

La loi 25 est encore « immature », poursuit l’expert, c’est-à-dire qu’elle est nouvelle et qu’elle ne s’est toujours pas frottée aux juges en cour, qu’elle n’a pas été « interprétée ».

Si les Québécois sont maintenant mieux protégés grâce à cette loi, il reste que la majorité des entreprises ne sont pas encore à niveau.

« C’est tellement récent que les entreprises ne sont pas prêtes », explique le grand patron d’EVA Technologies, Éric Parent.

Certaines dispositions de la loi forcent les entreprises à agir dès maintenant, alors que d’autres seront en vigueur en septembre 2023.

Quoi qu’il en soit, la loi dans sa forme actuelle permet aux Québécois d’être avisés lors d’un « incident de confidentialité » qui concerne leurs renseignements personnels.

On saura au cours des prochains jours si Sobeys a été victime d’une fuite de données.

Hier, la Commission d’accès à l’information du Québec n’a pas répondu aux demandes du Journal à ce sujet.