Parce que… c’est l’épisode 0x334!

Shameless plug

• 10 au 13 août 2023 - DEFCON
• 25 au 27 août 2023 - Blue Team Con
• 29 au 31 août 2023 - Google Next ‘23
• 21 au 23 novembre 2023 - European Cyber Week
• février 2024 - SéQCure
• Formation Crise et résilience
  • Ateliers et conférences (Auto évaluation)
  • Formation PCA 2022
  • 4 Guides pour survivre à une CyberCrise
  • Formation PCA en ligne

Description

Dans ce podcast, les intervenants discutent d’un sujet critique de l’heure : la gestion des tiers et la protection des renseignements personnels dans le contexte québécois régi par la Loi 25 et autres réglementations similaires comme le RGPD en Union Européenne.

Pour commencer, ils mettent en avant l’importance cruciale de la gestion des tiers dans les organisations. Cette gestion est caractérisée par une complexité accrue en raison du manque de contrôle direct sur les tiers et les multiples ramifications qui en découlent en termes de relations contractuelles et de gestion des données personnelles.

Les intervenants soulignent la nécessité d’un processus rigoureux avant même l’établissement d’un contrat avec un tiers. Ce processus devrait inclure une analyse approfondie des politiques de confidentialité du fournisseur potentiel, une évaluation de sa sensibilité à la gestion des renseignements personnels, et une vérification des mesures de sécurité qu’il a en place. Cette évaluation devrait également prendre en compte la formation et les certifications éventuelles des employés du fournisseur.

Ils insistent ensuite sur la nécessité d’une diligence raisonnable pour évaluer les risques potentiels, y compris la compréhension de la chaîne de responsabilité qui s’étend aux fournisseurs du fournisseur initial. Cela inclut une évaluation des risques liés aux transferts de données hors du Québec, qui peut être affectée par des différences significatives dans les réglementations de protection des données entre les juridictions.

La discussion évolue ensuite vers les exigences contractuelles et légales, soulignant l’importance d’inclure des clauses spécifiques dans les contrats pour gérer divers risques et responsabilités. Les intervenants mentionnent la possibilité d’avoir des niveaux d’exigence différents selon la nature du service fourni par le fournisseur.

Par la suite, l’accent est mis sur l’importance de la gestion continue de la relation avec les fournisseurs, soulignant que la signature du contrat n’est que le début. Ils recommandent un suivi régulier et une mise en place de mesures permettant des vérifications régulières afin de s’assurer que les normes sont respectées tout au long de la durée de la relation. Cette section souligne aussi l’importance de clauses comme celle d’audit qui permettent une surveillance continue et adaptative des pratiques du fournisseur.

En fin de compte, la conversation se penche sur les défis pratiques de la mise en œuvre de ces mesures, en particulier pour les petites et moyennes entreprises (PME) et les organisations du secteur public qui peuvent ne pas avoir l’expérience ou les ressources pour gérer efficacement ces processus complexes. Ils mentionnent le rôle crucial de l’incorporation de la vérification des fournisseurs dans la culture organisationnelle, tout en reconnaissant la charge supplémentaire que cela peut représenter pour les entreprises.

En résumé, le texte explore en profondeur les divers aspects de la gestion des tiers dans le contexte québécois, mettant en lumière les enjeux critiques et les meilleures pratiques pour naviguer dans le paysage complexe et en évolution rapide de la protection des renseignements personnels. La discussion éclaire sur l’importance de l’analyse des risques, de l’évaluation continue et de la mise en œuvre stratégique de mesures contractuelles et organisationnelles pour sécuriser les données dans un écosystème interconnecté.

Notes

• À venir

Collaborateurs

• Nicolas-Loïc Fortin
• Mathilde Canque

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: audit, contrat, efvp