Contrôles ISO 27001 applicables en vertu de la Loi 25 du Québec

Bref, en nous basant sur la norme ISO 27001:2022 et en cherchant uniquement les exigences explicites ou très directes de la Loi 25 (principalement la Loi sur la protection des renseignements personnels dans le secteur privé, LQ c P-39.1, telle que modifiée), voici une analyse contrôle par contrôle.

Important :

• Cette analyse se concentre sur les exigences explicites. Beaucoup d’autres contrôles ISO sont des bonnes pratiques qui aident à respecter l’obligation générale de sécurité (Art. 10), mais ne sont pas explicitement demandés terme à terme par la Loi.
• L’Article 10 de la Loi sur la vie privé demande de prendre les mesures de sécurité propres à assurer la protection des renseignements personnels, en tenant compte notamment de leur sensibilité, de la finalité de leur utilisation, de leur quantité, de leur répartition et de leur support. Ceci est une obligation générale qui sous-tend la pertinence de nombreux contrôles, mais nous ne listerons “Oui” que si la Loi demande spécifiquement le type de mesure décrite par le contrôle ISO.
• Les articles cités réfèrent à la Loi sur la protection des renseignements personnels dans le secteur privé (LQ c P-39.1), sauf indication contraire.

A.5 Contrôles organisationnels

• A.5.1 Politiques pour la sécurité de l’information: Oui.
• Justification: L’Art. 3.3 exige que toute entreprise exploitant une entreprise au Québec établisse et mette en œuvre des politiques et des pratiques encadrant sa gouvernance à l’égard des renseignements personnels et visant à assurer leur protection. Ces politiques doivent notamment prévoir un cadre applicable à la conservation et à la destruction des renseignements, les rôles et responsabilités des membres du personnel, et un processus de traitement des plaintes. Une politique de sécurité est une composante essentielle de cet encadrement.
• A.5.2 Rôles et responsabilités en matière de sécurité de l’information: Oui.
• Justification: L’Art. 3.1 désigne d’office la personne ayant la plus haute autorité comme responsable de la protection des renseignements personnels (peut déléguer). L’Art. 3.3 demande que les politiques de gouvernance prévoient “les rôles et les responsabilités des membres de son personnel tout au long du cycle de vie de ces renseignements”.
• A.5.3 Séparation des tâches: Non. La Loi 25 n’exige pas explicitement ce contrôle interne spécifique.
• A.5.4 Responsabilités de la direction: Oui (implicitement).
• Justification: L’existence d’un responsable désigné (Art. 3.1) et l’obligation d’établir des politiques de gouvernance (Art. 3.3) impliquent une responsabilité de la direction dans la supervision et l’approbation de ces mesures.
• A.5.5 Contact avec les autorités: Oui.
• Justification: L’Art. 21.0.1 exige la notification rapide à la Commission d’accès à l’information (autorité de contrôle) de tout incident de confidentialité présentant un risque de préjudice sérieux.
• A.5.6 Contact avec des groupes d’intérêt spécifiques: Non. La Loi 25 n’exige pas explicitement ce type de contact.
• A.5.7 Renseignement sur les menaces: Non. Utile pour l’Art. 10, mais pas explicitement exigé.
• A.5.8 Sécurité de l’information dans la gestion de projet: Oui (via les EFVP).
• Justification: L’Art. 3.2 exige la réalisation d’une Évaluation des Facteurs relatifs à la Vie Privée (EFVP) pour “tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels”.1 Une EFVP doit considérer les mesures de sécurité.
• A.5.9 Inventaire des informations et autres actifs associés: Non. La Loi 25 se concentre sur les renseignements personnels. Savoir où ils se trouvent est nécessaire pour se conformer, mais un inventaire complet de tous les actifs au sens ISO n’est pas explicitement exigé.
• A.5.10 Utilisation acceptable des informations et autres actifs associés: Non. Implicite dans les politiques (Art. 3.3) et la sécurité (Art. 10), mais pas formulé comme une exigence explicite de ce type de politique.
• A.5.11 Restitution des actifs: Non. Procédure interne non spécifiée par la Loi.
• A.5.12 Classification de l’information: Non. La Loi parle de “sensibilité” (Art. 10) mais n’impose pas de système de classification formel.
• A.5.13 Étiquetage de l’information: Non.
• A.5.14 Transfert d’informations: Oui (pour les Renseignements Personnels).
• Justification: L’Art. 17 encadre spécifiquement la communication de renseignements personnels à l’extérieur du Québec (nécessite une EFVP et des garanties de protection adéquates). De plus, l’Art. 10 (sécurité) s’applique à tout transfert, et les politiques (Art. 3.3) doivent couvrir le cycle de vie, incluant les transferts/communications.
• A.5.15 Contrôle d’accès: Oui (implicitement fondamental).
• Justification: Bien que l’Art. 10 soit général, limiter l’accès aux renseignements personnels aux seules personnes autorisées est une mesure de sécurité fondamentale et implicitement requise pour assurer la protection exigée. Les politiques (Art. 3.3) devraient l’adresser.
• A.5.16 Gestion des identités: Oui (implicitement nécessaire).
• Justification: Nécessaire pour mettre en œuvre le contrôle d’accès (A.5.15), donc implicitement requis par l’Art. 10 et les politiques (Art. 3.3).
• A.5.17 Informations d’authentification: Oui (implicitement nécessaire).
• Justification: Nécessaire pour la gestion des identités (A.5.16) et le contrôle d’accès (A.5.15), donc implicitement requis par l’Art. 10 et les politiques (Art. 3.3).
• A.5.18 Droits d’accès: Oui (implicitement nécessaire).
• Justification: Nécessaire pour mettre en œuvre le contrôle d’accès (A.5.15), donc implicitement requis par l’Art. 10 et les politiques (Art. 3.3).
• A.5.19 Sécurité de l’information dans les relations avec les fournisseurs: Oui.
• Justification: L’Art. 17 (communication hors Québec, souvent via fournisseurs) exige une EFVP et des garanties. L’Art. 10 exige une sécurité appropriée, ce qui implique une diligence raisonnable lorsque des fournisseurs traitent des renseignements personnels. L’Art. 3.2 (EFVP) peut aussi s’appliquer si un fournisseur est impliqué dans un projet visé.
• A.5.20 Traitement de la sécurité de l’information dans les accords avec les fournisseurs: Oui.
• Justification: Nécessaire pour formaliser les garanties requises par l’Art. 17 et assurer le respect de l’Art. 10 lorsque des fournisseurs sont impliqués.
• A.5.21 Gestion de la sécurité de l’information dans la chaîne d’approvisionnement des TIC: Oui.
• Justification: Variante de A.5.19/A.5.20, particulièrement pertinente pour les services infonuagiques ou autres maillons de la chaîne TIC traitant des renseignements personnels, en lien avec Art. 10, Art. 17, Art. 3.2.
• A.5.22 Surveillance, révision et gestion des changements des services fournisseurs: Oui.
• Justification: Suivi nécessaire pour s’assurer que les obligations contractuelles (A.5.20) et légales (Art. 10, Art. 17) sont respectées dans la durée.
• A.5.23 Sécurité de l’information pour l’utilisation des services Cloud: Oui.
• Justification: Cas spécifique de gestion des fournisseurs (A.5.19 à A.5.22) critique pour le respect de l’Art. 10, l’Art. 17 et potentiellement l’Art. 3.2 (EFVP).
• A.5.24 Planification et préparation de la gestion des incidents de sécurité de l’information: Oui.
• Justification: Soutient directement les exigences de gestion des “incidents de confidentialité” des Art. 21.0.1 (notification) et 21.0.2 (registre).
• A.5.25 Évaluation et décision concernant les événements de sécurité de l’information: Oui.
• Justification: Étape nécessaire pour déterminer s’il y a un “incident de confidentialité” et s’il présente un “risque de préjudice sérieux” (Art. 21.0.1).
• A.5.26 Réponse aux incidents de sécurité de l’information: Oui.
• Justification: L’action principale requise suite à un incident, incluant les mesures pour diminuer les risques (implicite dans Art. 21.0.1) et la tenue du registre (Art. 21.0.2).
• A.5.27 Tirer les leçons des incidents de sécurité de l’information: Non. Bonne pratique, mais pas une exigence explicite de la Loi 25.
• A.5.28 Collecte d’éléments de preuve: Non. Peut être nécessaire pour l’enquête (A.5.26), mais pas une exigence légale explicite en soi.
• A.5.29 Sécurité de l’information pendant les perturbations: Non. La continuité des activités n’est pas explicitement exigée par la Loi 25 (sauf si l’indisponibilité cause un préjudice relevant de l’Art. 10 ou d’un incident).
• A.5.30 Préparation des TIC pour la continuité d’activité: Non. Voir A.5.29.
• A.5.31 Exigences légales, statutaires, réglementaires et contractuelles: Oui.
• Justification: La Loi 25 est une exigence légale et réglementaire qui doit être identifiée et respectée. Les politiques (Art. 3.3) doivent refléter la conformité.
• A.5.32 Droits de propriété intellectuelle: Non. Non pertinent pour la protection des renseignements personnels.
• A.5.33 Protection des enregistrements: Oui.
• Justification: Les renseignements personnels constituent des enregistrements qui doivent être protégés (Art. 10) et gérés pour leur conservation et destruction (Art. 11, Art. 3.3).
• A.5.34 Confidentialité et protection des informations personnelles identifiables (PII): Oui.
• Justification: C’est l’objet même de la Loi 25. L’Art. 10 exige leur protection, l’Art. 3.3 exige des politiques de gouvernance, etc.
• A.5.35 Revue indépendante de la sécurité de l’information: Non. Non exigé explicitement par la Loi 25.
• A.5.36 Conformité aux politiques et normes: Oui (implicitement).
• Justification: L’obligation de mettre en œuvre des politiques (Art. 3.3) implique une vérification de la conformité à celles-ci.
• A.5.37 Procédures d’exploitation documentées: Non. Bonne pratique, mais pas explicitement exigé par la Loi 25.

A.6 Contrôles relatifs aux personnes

• A.6.1 Vérification des antécédents: Non. Non exigé par la Loi 25.
• A.6.2 Termes et conditions d’emploi: Non. Ne relève pas de la Loi 25, bien que des clauses de confidentialité soient une bonne pratique (supporte Art. 10).
• A.6.3 Sensibilisation, éducation et formation à la sécurité de l’information: Oui.
• Justification: L’Art. 3.3 exige que les politiques de gouvernance prévoient “les mesures de formation et de sensibilisation que [l’entreprise] offre aux membres de son personnel” concernant la protection des renseignements personnels.
• A.6.4 Processus disciplinaire: Non. Relève des RH internes.
• A.6.5 Responsabilités après la fin ou la modification de l’emploi: Non. Procédure interne.
• A.6.6 Accords de confidentialité ou de non-divulgation: Non. Pas explicitement exigé, mais bonne pratique (supporte Art. 10).
• A.6.7 Travail à distance: Non. La Loi exige la sécurité indépendamment du lieu (Art. 10), mais ne prescrit pas de politique spécifique pour le télétravail (ceci devrait être couvert par les politiques générales sous Art. 3.3 si applicable).
• A.6.8 Signalement des événements de sécurité de l’information: Oui.
• Justification: Mécanisme nécessaire pour que le personnel puisse signaler les incidents, permettant ainsi à l’entreprise de respecter ses obligations sous Art. 21.0.1 et 21.0.2. Fait partie de la formation/sensibilisation (Art. 3.3).

A.7 Contrôles physiques

• A.7.1 Périmètres de sécurité physique: Oui (implicitement fondamental).
• Justification: L’Art. 10 exige des mesures appropriées. La protection physique des lieux où sont stockés/traités des renseignements personnels est implicitement requise.
• A.7.2 Contrôles d’accès physique: Oui (implicitement fondamental).
• Justification: Nécessaire pour A.7.1. Lié à l’Art. 10.
• A.7.3 Sécurisation des bureaux, salles et installations: Oui (implicitement fondamental).
• Justification: Nécessaire pour A.7.1/A.7.2. Lié à l’Art. 10.
• A.7.4 Surveillance de la sécurité physique: Non. Méthode spécifique non exigée par la Loi 25.
• A.7.5 Protection contre les menaces physiques et environnementales: Oui (implicitement).
• Justification: Assurer la disponibilité/intégrité des renseignements personnels relève des “mesures appropriées” de l’Art. 10.
• A.7.6 Travail dans des zones sécurisées: Oui (implicitement).
• Justification: Lié à A.7.1-A.7.3 et Art. 10.
• A.7.7 Bureau propre et écran propre: Non. Pratique spécifique non exigée.
• A.7.8 Emplacement et protection des équipements: Oui (implicitement).
• Justification: Mesure de protection physique nécessaire sous Art. 10.
• A.7.9 Sécurité des actifs hors des locaux: Oui (implicitement).
• Justification: L’Art. 10 s’applique peu importe le lieu. Pertinent pour le télétravail, appareils mobiles.
• A.7.10 Supports de stockage: Oui.
• Justification: L’Art. 10 exige un stockage sécurisé. L’Art. 11 exige la destruction/anonymisation sécurisée (pertinent pour l’élimination des supports).
• A.7.11 Utilités: Non. Non mentionné explicitement.
• A.7.12 Sécurité du câblage: Non. Détail technique non mentionné.
• A.7.13 Maintenance des équipements: Non. Procédure interne (mais une maintenance non sécurisée pourrait violer Art. 10).
• A.7.14 Mise au rebut ou réutilisation sécurisée des équipements: Oui.
• Justification: Directement lié à l’Art. 11 (destruction/anonymisation) lorsque l’équipement contient des renseignements personnels. Également Art. 10.

A.8 Contrôles technologiques

• A.8.1 Terminaux utilisateurs: Oui (implicitement).
• Justification: Doivent être sécurisés conformément à l’Art. 10 s’ils traitent/stockent des renseignements personnels. Les politiques (Art. 3.3) devraient couvrir cela.
• A.8.2 Droits d’accès privilégiés: Oui (implicitement essentiel).
• Justification: Aspect essentiel du contrôle d’accès (A.5.15, A.5.18) nécessaire pour se conformer à l’Art. 10.
• A.8.3 Restriction de l’accès à l’information: Oui (implicitement essentiel).
• Justification: Cœur du contrôle d’accès (A.5.15, A.5.18) requis par l’Art. 10.
• A.8.4 Accès au code source: Non. Contrôle technique spécifique non exigé.
• A.8.5 Authentification sécurisée: Oui (implicitement essentiel).
• Justification: Partie essentielle de la gestion des identités/accès (A.5.16, A.5.17) requise par l’Art. 10.
• A.8.6 Gestion de la capacité: Non. Non exigé explicitement.
• A.8.7 Protection contre les logiciels malveillants: Oui (implicitement fondamental).
• Justification: Mesure de sécurité de base requise sous l’Art. 10.
• A.8.8 Gestion des vulnérabilités techniques: Oui (implicitement).
• Justification: Partie nécessaire du maintien de la sécurité requis par l’Art. 10.
• A.8.9 Gestion de la configuration: Oui (partiellement/implicitement).
• Justification: Configurations nécessaires pour appliquer la sécurité (Art. 10), particulièrement pertinent pour l’Art. 3.4 (Confidentialité par défaut).
• A.8.10 Suppression d’informations: Oui.
• Justification: Directement requis par l’Art. 11 (destruction lorsque la finalité est accomplie).
• A.8.11 Masquage des données: Oui (comme méthode d’anonymisation/sécurité).
• Justification: L’anonymisation est une option à la destruction sous Art. 11. Le masquage/pseudonymisation peut être une mesure de sécurité sous Art. 10 ou une mesure de mitigation dans une EFVP (Art. 3.2).
• A.8.12 Prévention des fuites de données: Oui (implicitement).
• Justification: Des mesures pour prévenir la communication ou l’accès non autorisé sont requises sous Art. 10.
• A.8.13 Sauvegarde des informations: Oui (implicitement).
• Justification: Nécessaire pour assurer l’intégrité et la disponibilité, considérées comme faisant partie des “mesures appropriées” sous Art. 10.
• A.8.14 Redondance des installations de traitement de l’information: Non. Mesure spécifique de continuité non exigée.
• A.8.15 Journalisation: Oui (implicitement).
• Justification: Nécessaire pour la surveillance, la détection/investigation des incidents (A.5.24-A.5.26, Art. 21.0.1/21.0.2), et potentiellement pour démontrer la conformité (Art. 10).
• A.8.16 Surveillance des activités: Oui (implicitement).
• Justification: Nécessaire pour détecter les incidents (Art. 21.0.1/21.0.2) et s’assurer de l’efficacité des contrôles (Art. 10).
• A.8.17 Synchronisation des horloges: Non. Détail technique supportant la journalisation, mais non exigé explicitement.
• A.8.18 Utilisation de programmes utilitaires privilégiés: Non. Contrôle technique spécifique lié à A.8.2.
• A.8.19 Installation de logiciels sur les systèmes opérationnels: Non. Pratique de gestion des changements non exigée explicitement.
• A.8.20 Sécurité des réseaux: Oui (implicitement fondamental).
• Justification: Mesure de sécurité de base requise sous l’Art. 10.
• A.8.21 Sécurité des services réseau: Oui (implicitement).
• Justification: Requis pour A.8.20. Lié à l’Art. 10.
• A.8.22 Ségrégation des réseaux: Non. Choix d’architecture spécifique non exigé.
• A.8.23 Filtrage Web: Non. Outil spécifique non exigé.
• A.8.24 Utilisation de la cryptographie: Oui (contextuellement/implicitement).
• Justification: L’Art. 10 exige des mesures appropriées tenant compte de la sensibilité. Le chiffrement est souvent une mesure clé jugée appropriée pour les renseignements personnels sensibles (stockage/transit). Une EFVP (Art. 3.2) pourrait aussi l’identifier comme nécessaire.
• A.8.25 Cycle de vie du développement sécurisé: Oui (partiellement/via EFVP & PbD).
• Justification: L’Art. 3.2 (EFVP) exige l’évaluation des impacts sur la vie privée des systèmes. L’Art. 3.4 (Confidentialité par conception/défaut) implique que les pratiques de développement sécurisé intègrent la confidentialité dès le départ.
• A.8.26 Exigences de sécurité des applications: Oui.
• Justification: Lié à A.8.25, Art. 3.2, Art. 3.4, et Art. 10. La sécurité doit être intégrée aux applications traitant des renseignements personnels.
• A.8.27 Architecture et ingénierie des systèmes sécurisés: Oui.
• Justification: Lié à A.8.25, A.8.26, Art. 3.2, Art. 3.4, Art. 10.
• A.8.28 Codage sécurisé: Oui.
• Justification: Lié à A.8.25-A.8.27. Essentiel pour la sécurité applicative (Art. 10) et la Confidentialité par Conception (Art. 3.4).
• A.8.29 Tests de sécurité dans le développement et l’acceptation: Oui.
• Justification: Lié à A.8.25-A.8.28. Nécessaire pour vérifier l’efficacité des mesures (Art. 10, Art. 3.4).
• A.8.30 Développement externalisé: Oui.
• Justification: Le développement par des fournisseurs nécessite une supervision similaire à A.5.19-A.5.22, assurant la conformité avec Art. 10, Art. 3.4, potentiellement Art. 17 et Art. 3.2.
• A.8.31 Séparation des environnements de développement, de test et de production: Non. Bonne pratique, non exigée explicitement.
• A.8.32 Gestion des changements: Non. Contrôle de processus non exigé explicitement (mais des changements non contrôlés pourraient violer Art. 10).
• A.8.33 Informations de test: Non. L’utilisation de renseignements personnels en test serait soumise à l’Art. 10 et aux règles de consentement, mais le contrôle sur les données de test n’est pas spécifiquement exigé.
• A.8.34 Protection des systèmes d’information lors des tests d’audit: Non.

Comme prévu, la liste des “Oui” basés sur des exigences explicites est limitée, mais elle touche des domaines important: gouvernance (politiques, rôles), gestion des incidents, gestion des fournisseurs/transferts, formation, destruction/anonymisation, EFVP et confidentialité par conception. De nombreux autres contrôles, notamment techniques et physiques, sont fortement impliqués par l’obligation générale de sécurité de l’Article 10, mais ne sont pas explicitement nommés dans la loi.