Réussissez la mise en œuvre de la loi 25 grâce à la gestion en mode projet

Loi 25 représente un défi de taille pour bon nombre d’organisations, d’autant plus que des exigences supplémentaires seront ajoutées en septembre 2023 et 2024. Adsum Conseil vous présente les facteurs clés pour réussir votre projet de conformité, lesquels passent par l’application des meilleures pratiques en gestion de projet.

3/12/2023

Un casse-tête pour plusieurs gestionnaires

Qui n’a pas entendu parler du projet de loi 64, devenu la loi 25 et définitivement un casse-tête pour plusieurs gestionnaires?

Rappelons que les modifications apportées par cette loi entrent progressivement en vigueur sur une période de trois ans, jusqu'en 2024. La prochaine échéance est le 22 septembre 2023. Votre organisation sera-t-elle prête?

Cet article vous vous mettra au fait du contexte dans lequel la Loi 25 s’inscrit, des sanctions applicables et des pistes de solution pour réussir ce défi de taille.

 

Pourquoi protéger vos renseignements personnels? 

À l’échelle mondiale, les entreprises privées ainsi que les organismes gouvernementaux sont de plus en plus la cible de cyber attaques et de cyber extorsions. De ce fait, vos renseignements personnels circulent probablement sur le dark web, que vous le sachiez ou non.

Une récente étude1 révèle que plus de 720 000 données et pièces d’information ont été vendus illégalement sur Internet pour un montant totalisant 17,3 M$ US et ce, sur un site seulement. Selon la nature des renseignements personnels, leur valeur peut varier entre 99 cents et 300 $ US. 

Quel est le coût d’une fuite de données? 

Selon le rapport de IBM2, on estime qu’une fuite de données coûte en moyenne 4,5 M$ US aux organisations qui en sont victimes. Le rapport mentionne également que les brèches de sécurité dans un contexte de télétravail augmentent le coût de recouvrement d’environ 1M$ US. C’est dans le milieu de la santé que ce coût est le plus élevé.

 

Ce n’est pas tout… gare aux sanctions! 

En plus des coûts que votre organisation devrait défrayer pour se remettre d’un tel incident de sécurité, la Loi 25 vient instaurer trois types de sanctions pourles entreprises, ce qui en fait l’une des lois les plus sévères au pays selon les experts. 

 

ATTENTION!

Les organisations qui ne se conformeront pas aux obligations prévues par la loi pourront se voir imposer les sanctions suivantes : 

·       Des sanctions administratives pécuniaires imposées par la Commission d’accès à l’information allant jusqu’à 10 M$ ou 2% du chiffre d’affaires mondial; 

·       Des sanctions pénales allant jusqu’à 25 M$ ou 4% du chiffre d’affaires mondial; 

·       Des dommages-intérêts punitifs d’au moins 1 000 $ aux individus qui poursuivent une organisation en vertu de leur droit privé d’action. 

Qu’est-ce qu’un renseignement personnel?

Selon la Commission d’accès à l’information, des renseignements personnels « sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exceptions, ils ne peuvent être communiqués sans le consentement de la personne concernée. »

Le nom, l'âge, le NAS, les numéros de comptes, le dossier de crédit, les antécédents criminels, le revenue, l'adresse, les images de vidéo surveillance, l'adresse de protocole internet, l'état de santé: tous sont des exemples de renseignement personnel.

Une modernisation attendue 

Au Québec, la fuite de données chez Desjardins, en 2019, a provoqué une vaste réflexion sur la modernisation des lois en vigueur, lesquelles dataient de 1982 (40 ans) pour le secteur public et de 1994 (28 ans) pour le secteur privé.

Sanctionné en septembre 2021, le projet de loi n° 64, inspiré du Règlement général sur la protection des données de l’Union européenne de 2018, devient ainsi la Loi 25. Son entrée en vigueur a commencé graduellement depuis septembre 2022. 

Cette importante réforme, qui touche autant le secteur public que le secteur privé, a de quoi donner des maux de têtes à la haute direction. En effet, la Loi 25 représente un défi de taille pour bon nombre d’organisations, d’autant plus que des exigences supplémentaires seront ajoutées en septembre 2023 et 2024.

 

Défi no 1 – Assurer une compréhension commune des changements législatifs 

Le premier défi rencontré est que le promoteur du projet prenne conscience de l’ampleur et de la complexité des changements qui sont occasionnés par la Loi 25. Le facteur clé à considérer ici est la sensibilité des données. Selon votre domaine d’affaires, cela pourrait même justifier qu’un programme de conformité soit mis sur pied.

À cet égard, le rôle de l’analyste d’affaires, comme membre de l’équipe projet, est vital pour bien identifier les ramifications et les impacts de la Loi sur les processus d’affaires. Pour certaines organisations, la nature des changements entraînera un véritable virage culturel quant à la collecte, l’utilisation, la conservation et l’accès aux renseignements personnels. L’analyste d’affaires pourrait appuyer avantageusement le gestionnaire du projet au quotidien.

Une stratégie structurée de gestion du changement
est clé pour la mise en œuvre de la loi 25.

 

Défi no 2 – Gérer les changements engendrés par ces nouvelles exigences 

Bien que l’entrée en vigueur de la loi 25 soit progressive, les changements requis représentent une charge de travail importante. À terme, ce sont 19 nouvelles exigences qui entreront en vigueur et auxquels les organisations devront se conformer progressivement en septembre 2022, 2023 et 2024.

La réussite des projets qui en découlent réside dans leur positionnement dans le portefeuille de projets de votre organisation. En effet, un positionnement plus stratégique va permettre de justifier la mise en place du changement culturel, l’utilisation des ressources de l’organisation et l’allocation de budgets  pour couvrir notamment les frais associés aux avis juridiques et aux conseils légaux.

Attention! Il faut bien prévoir les frais d’accompagnement juridique qui sont associés à cette initiative.

Les délais sont aussi un facteur important à considérer. Vu l’entrée en vigueur progressive de la loi, des efforts organisationnels devront être déployés sur 3 ans. Ainsi, il faut prévoir libérer suffisamment de capacité pour les membres de l’équipe jusqu’en septembre 2024.

Il est essentiel de libérer de la capacité
afin de se donner les moyens de réussir son projet de conformité.

 

Défi no 3 – Planifier une conformité réussie 

En gestion de projet, la planification est un élément incontournable qui permet de réduire le nombre d’erreurs d’exécution et d’augmenter le taux de réussite. Le choix d’outils de planification adaptés au contexte de l’entreprise soutient la réalisation efficace et efficiente de votre projet. Par exemple, la mise en place d’une structure de découpage de projet (WBS en anglais) permet d’analyser les différents lots et les activités qui en découlent afin d’identifier les dépendances.

Les trois plus grandes causes d’échec d’un projet sont
le manque de planification,
le manque de planification
et le manque de planification.

 

Défi no 4 – Susciter et préserver l’intérêt des parties

L’engagement des parties prenantes est un facteur de succès essentiel pour tout changement majeur, notamment lorsqu’il est question de changement culturel. L’ajout d’une expertise en gestion du changement, au sein de l'équipe de projet, est sans doute un élément facilitateur et rassembleur. Ce qu’il faut à tout prix éviter dans un tel projet qui se déroule sur plusieurs années, c’est l’effet tunnel. Deux moyens pour remédier à ce défi est la formation et la communication.

D’une part, lorsqu’un chantier est démarré, il est primordial que les collaborateurs soient bien informés des raisons qui motivent le travail et des changements demandés. C’est pourquoi, une rencontre de lancement, où les tenants et aboutissants de la loi 25 sont expliqués, est une excellente pratique pour favoriser l’implication des parties prenantes.

D’autre part, il faut que les collaborateurs entendent parler du projet régulièrement. Un autre exemple de bonne pratique est l’envoi d’une infolettre à chaque mois aux vice-présidents del ’organisation et à tous collaborateurs du projet. 

En gestion de projet, leadership et saine gestion des parties prenantes se côtoient
pour mener à bon port l’équipe.

Défi no 5 : Ne pas perdre le fil des exigences

La gestion de la conformité à la loi 25 en mode projet passe obligatoirement par la mise en place d’outils de suivi. Les tâches, les étapes, les phases, les livrables : tout peut être transposé en plan de projet comme par exemple, sur MsProject. Un suivi systématique peut être mise en place et supporté par des tableaux de bord périodiques présentant l’état d’avancement. Combiné à une gestion efficace des communications des parties prenantes, on assure un bon niveau de confiance envers la progression vers la conformité.

La feuille de route est un outil de communication précieux
et
permet d’assurer une visibilité sur l’état d’avancement du projet.

En conclusion, la mise en œuvre de la Loi 25 est un enjeu pour plusieurs organisations. Une gestion en mode programme ou projet de cette colossale transformation peut permettre de relever plusieurs défis.

Vous désirez en savoir davantage sur la Loi 25 ou être accompagné dans sa mise en oeuvre? 

Planifiez une rencontre avec l’un de nos experts en gestion de projet réglementaire, contactez-nous. 

Article rédigé par Cindy Gagnon, Gestionnaire de projet et Lucille Bélanger, Directrice exécutive.

Référence:

https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf  [L2] 

 

À propos d'Adsum Groupe Conseil 

Cabinet-conseil en management, Adsum Groupe Conseil vous accompagne pour répondre à une problématique bien précise: trop souvent, les plans stratégiques ne restent qu’à l’état d’idées couchées sur papier. Notre postulat de base est que la gestion de projet constitue un véhicule idéal pour concrétiser votre vision. C'est ainsi que nous accompagnon snos clients issus des secteurs publics, privés et des fonds d'investissement, en faisant le pont entre le design de votre stratégie d'affaires et son exécution. 

Basée à Montréal depuis 2014, notre firme offre des services-conseils en planification globale, en gestion de projets et programmes ainsi qu’en gestion de la transformation. Nous sommes une réelle communauté de consultants d'expérience, spécialisés dans les domaines des finances, de l'énergie, du transport et de la santé et unis par une mission commune : implanter la vision d'entreprises innovantes.