Description du projet

Développement d’un modèle d’audit pour prévenir les crises liées à la protection des données personnelles

Description du projet

Les deux dernières années ont été marquées par des crises, entourant la protection des données personnelles, qui ont frappé de plein fouet les compagnies canadiennes : en 2019, Desjardins a été victime d’une fuite de données touchant 4,2 millions clients. En Juin 2020, CPA Canada a subi une cyberattaque qui a permis à des tiers non autorisés d’accéder aux informations personnelles de plus de 329 000 membres et parties prenantes. En octobre 2020, les données personnelles de milliers de policiers et ex-policiers de la Sûreté du Québec ont été volées suite à une attaque cyber ciblant les serveurs d’un de ses fournisseurs. Cette situation a incité le législateur québécois à introduire le projet de loi 64 visant à moderniser la Loi sur la protection des renseignements personnels.

Notre projet de recherche vise à développer un modèle d’audit permettant d’évaluer le niveau de préparation des entreprises à faire face aux crises touchant la protection des données personnelles et leur capacité à se conformer aux dispositions du projet de loi 64. Pour ce faire, plusieurs étapes seront requises : (1) analyser la Loi sur la protection des renseignements personnels et le projet de loi 64; (2) effectuer une étude de marché; (3) faire des entrevues auprès d’experts dans le domaine; (4) développer un « readiness scoring model ».

Les résultats de cette étude permettront aux parties prenantes (dirigeants, auditeurs, régulateurs, etc.) qui utilisent le rapport d’audit de prendre des décisions éclairées, de mieux comprendre les crises et d’assurer une gestion adéquate des menaces et des risques.

Mots-clés : Audit, Contrôle interne, Cybersécurité et confidentialité des données, Données personnelles, Projet de loi 64, Risques, Technologies de l’information.

 

Objectifs

La recherche proposée vise (1) à développer un outil de mesure efficace, à savoir le « readiness scoring model », et (2) à aider le partenaire à adopter/se familiariser avec le nouveau modèle de préparation et de prévention des crises liées aux données personnelles.

 

Financement

  • Subvention Engagement partenarial (CRSH), 2021-2022
  • Richter Services-conseils