Seulement 3% des PME québécoises respectent les exigences de la Loi sur la protection des renseignements personnels en vigueur depuis septembre 2022, selon une étude publiée mardi.
• À lire aussi: Des sites du gouvernement victimes d’une cyberattaque russe
• À lire aussi: «Pratique illégale»: des employés profitent des données personnelles de clients pour avoir un rendez-vous galant
Le Groupe de recherche interdisciplinaire en cybersécurité (GRIC) de l’Université de Sherbrooke a mené une étude auprès de 100 PME et OBNL du Québec en juin 2023.
«Près de 40% d’entre elles nous ont dit que tout allait bien. Mais quand on analyse en profondeur ce qu’ils ont réellement mis en place, on arrive à 3% qui répondent aux exigences en vigueur depuis septembre 2022 et 0 pour celles qui le seront dès vendredi», a indiqué Manon G. Guillemette, professeur à l’École de gestion de l’Université de Sherbrooke et membre du GRIC.
Environ 55% des répondants ont dit avoir désigné une personne responsable de la protection des renseignements personnels dans l’entreprise alors que 53% ont mis en place des politiques et procédures écrites. Pourtant, cela devrait être fait depuis septembre 2022.
«Il y a un manque de volonté à certains endroits, mais il y a aussi des difficultés réelles. La gestion des données et tout ce qui est informatique, c’est quelque chose qui va les dépasser un peu. Et avec la pénurie de personnel, la Loi 25 ce n’est pas une priorité pour elles.»
Pour la Fédération des chambres de commerce du Québec (FCCQ), les résultats de cette étude sont loin d’être surprenants.
«Les PME n’ont pas les moyens financiers, humains et technique pour s’y conformer et ça fait des années qu’on le dit, a mentionné le directeur Affaires publiques de la FCCQ, Mathieu Lavigne. Mais ce n’est pas par manque de volonté. Les entreprises sont de bonne foi. Pour qu’on y adhère, ça prend un programme d’aide financière pour que les PME qui ont peu de moyens, mais qui font face également à l’inflation, au coût de plein d’autres lois et règlements, puissent s’y conformer en embauchant des consultants externes ou de la main-d’œuvre spécialisée.»
Jean-François Veillette, vice-président ventes et marketing chez Necando Solutions, constate une méconnaissance de la Loi sur la protection des renseignements personnels.
«Souvent nos clients pensent que la Loi ne s’applique pas à eux ou qu’ils la respectent, mais dans les faits ce n’est pas le cas. Plusieurs peuvent voir ça comme un défi insurmontable parce que c’est vrai que les exigences sont grandes, mais nous on a travaillé avec différentes entreprises de toutes les tailles au cours des deux dernières années et je peux vous dire que c’est possible d’y arriver», a-t-il expliqué.
Les auteurs de l’étude menée par l’Université de Sherbrooke se questionnent également sur les efforts de sensibilisation du gouvernement du Québec pour conscientiser les organisations à l’existence et aux obligations de la Loi 25.
À partir du 22 septembre 2023, des sanctions pourront s’appliquer aux entreprises prises en défaut. L’amende peut aller jusqu’à 10 millions de dollars ou 2% du chiffre d’affaires.
Commentaires
