Blogue bciti

La Loi 25 et les villes et municipalités : un défi de taille pour la protection des données citoyennes

20 février 2024

Auteurs: Vivianne Gravel, LL.M et Gabriel Montagne 

Au Québec, l'adoption de la Loi 25 en septembre 2021, visant à renforcer la protection des renseignements personnels, a marqué un tournant important pour les entreprises et les institutions publiques, y compris les villes et municipalités.  Malgré l'importance cruciale de cette loi, un constat alarmant se dessine : à peine 3% des petites et moyennes entreprises (PME) sont conformes aux exigences en septembre 2023, selon un sondage mené par le Groupe de Recherche Interdisciplinaire en Cybersécurité (GRIC) de l'Université de Sherbrooke. 

Les résultats de l'enquête GRIC montrent que seulement 3% des organisations québécoises se sont conformées aux exigences en septembre.

Cette situation préoccupante n'épargne pas les villes et municipalités québécoises.  Malgré les efforts de sensibilisation de L'Union des municipalités du Québec (UMQ), comme les webinaires et guides mis à la disposition, le chemin vers la conformité semble encore long et semé d'embûches.  Sur le terrain, les administrateurs des villes, n'ont pas les ressources pour la mise en place de cette Loi et la complexité des différentes clauses et règlements exigent une équipe multidisciplinaire pour y arriver.

Quels sont les risques pour les villes et municipalités de ne pas se conformer à la Loi 25?

Les villes qui ne se conforment pas peuvent être soumises à des amendes importantes allant jusqu’à 10,000,000$ pour les organisations ou de 2 % du chiffre d’affaires à l’échelle mondiale pour l’année précédente, le montant le plus élevé étant retenu. La Commission d’accès à l’information du Québec peut imposer des sanctions pour les raisons suivantes : 

  • Le non-respect de l’obligation de signaler une violation de données;
  • Le non-respect de la protection des renseignements personnels;
  • La collecte, l’utilisation ou la diffusion illicite de renseignements;
  • Le non-respect de l’obligation d’informer les personnes.

Le non-respect de la loi 25 peut entraîner des amendes.

De plus, selon la nature du délit, la Commission d’accès à l’information peut engager des poursuites pénales avec une amende maximale de 10 000 $ CA pour les personnes physiques et de 25 000 000 $ CA ou 4 % du chiffre d’affaires à l’échelle mondiale pour les sociétés. Et en cas de récidive, les sanctions seront doublées. 

Les cyberattaques peuvent nuire à la réputation de votre ville

Outre les sanctions financières et légales, la non-conformité peut nuire à la réputation de la Ville.  Les citoyens peuvent perdre confiance dans la capacité des villes et municipalités  à protéger leurs données personnelles ce qui va entraîner une réduction de l’efficacité des services et une augmentation des coûts.  Les risques liés à la sécurité des données est non négligeable car la non-conformité met à risque la Ville pour le vol de données et les cyberattaques.

Le coût du vol de données

Rappelons que le coût pour une entente à l’amiable pour le vol des données a été de 200,000,000 $ et ce, sans compter les coûts opérationnels liés à la gestion de la crise.  Selon une étude de IBM en aout 2022, le coût du vol de données est estimé à 4,35 millions de dollars en moyenne dans le monde en 2022 (en hausse de 2,6 % par rapport à 2021 et de 12,7 % par rapport à 2020).

Solution B-CITI pour le respect de la loi 25

Dans ce contexte, Solutions B-CITI Inc (Bciti), acteur majeur dans le domaine des solutions numériques pour les villes intelligentes, se positionne comme un partenaire clé pour accompagner les municipalités dans cette transition.  Grâce à son expertise en gestion éthique des données citoyennes et sa Plateforme Intelligente Services aux Citoyens bciti+ (PaaS) conçue dès le départ en respectant les principes du "Private Data by Design", Bciti offre des outils adaptés pour répondre aux exigences de la Loi 25.

L'innovation ne s'arrête par là : Bciti est également copropriétaire d'un brevet utilisant une variante de la blockchain pour automatiser la journalisation de l'utilisation des renseignements personnels.  Ce brevet, au cœur du Lab numériques lancé par Bciti, vise à industrialiser cette technologie pour en faire bénéficier les villes et municipalités.

Comment le laboratoire numérique de Bciti soutient les villes dans la conformité à la loi 25

Le Lab numérique : Automatisation de la Loi 25, initié le 7 février, est un projet ambitieux visant à accompagner cinq (5) villes et municipalités de différentes tailles dans le processus complexe de mise en conformité avec la Loi 25.  Ce laboratoire numérique s'attaque en février et mars à cartographier le parcours du citoyen dans ses interactions avec les municipalités, afin de mettre en lumière les points de contacts sensibles aux règlements de la Loi et d'automatiser les processus de communication avec les citoyens, de limiter l'accès aux données par les différents employés de la ville et mettre en place la journalisation qui va apporter la paix d'esprit aux décideurs des villes et municipalités.

Ce projet, qui s'étendra jusqu'à juin 2025, promet de révolutionner la manière dont les villes et municipalités gèrent et protègent les données personnelles de leurs citoyens et visiteurs.  En développant un véritable lien de confiance basé sur la transparence et la sécurité, Bciti et ses partenaires s'engagent à faire de la conformité de la Loi 25 non seulement une obligation légale, mais aussi une opportunité d'améliorer la relation entre les villes et leurs citoyens et visiteurs.  En construisant sur des bases solides de gestion éthique des données, cela permettra un usage des données anonymisées, automatisées, respectueuses des consentements des citoyens et d'utiliser l'intelligence artificielle comme l’IA génératif et l'analyse augmentée pour mieux anticiper les besoins des citoyens et prendre des décisions éclairées dans un contexte de gestion civique qui se complexifie.

Restez connectés pour suivre les avancées de ce Lab Numérique et découvrir comment Bciti et les villes du Québec relèvent ensemble le défi de la protection des données personnelles tout en simplifiant le quotidien des citoyens et des villes. 

Restez informé et abonnez-vous à notre newsletter

 

Vivianne Gravel
Article écrit par Vivianne Gravel
133 - CTA - Banner