Octobre : Mois de la cybersécurité… et paradoxe québécois

Chaque mois d’octobre, le Québec emboîte le pas aux initiatives mondiales en soulignant le Mois de la cybersécurité. Campagnes gouvernementales, publications d’organismes publics, actions de sensibilisation dans les universités et entreprises : tout semble indiquer une prise de conscience collective. Pourtant, derrière ces efforts de façade se cache un paradoxe préoccupant — la très faible adoption de la Loi 25 par les entreprises québécoises.

Une prise de conscience en surface

Le Mois de la cybersécurité vise à sensibiliser le public aux risques numériques, promouvoir de bonnes pratiques et encourager la protection des données personnelles. Le gouvernement du Québec s’y associe activement, notamment à travers le ministère de la Cybersécurité et du Numérique. Plusieurs institutions publiques relaient le message : vigilance, résilience, formation.

Mais cette mobilisation soulève une question légitime : quelle est la portée réelle de cette sensibilisation, alors même qu’un cadre légal crucial comme la Loi 25 demeure largement ignoré dans la pratique ?

La Loi 25 : un cadre clair, une adoption timide

Entrée en vigueur progressivement depuis 2022, la Loi 25 impose de nouvelles obligations en matière de protection des renseignements personnels. Parmi elles : la désignation d’un responsable de la protection des données, la réalisation d’évaluations des facteurs relatifs à la vie privée, la transparence accrue des pratiques de collecte de données, et plus encore.

Pourtant, selon plusieurs sondages et observations terrain, la majorité des PME québécoises ne sont toujours pas en conformité. Beaucoup ignorent même les obligations qui leur incombent, ou reportent la démarche à plus tard, faute de temps, de ressources ou de compréhension.

Un paradoxe révélateur

D’un côté, on encourage les citoyens à adopter des comportements sécuritaires en ligne ; de l’autre, les entreprises qui gèrent leurs données — et donc leur sécurité numérique — tardent à mettre en place les protections exigées par la loi. Ce décalage est non seulement paradoxal, mais inquiétant : comment protéger les citoyens si les organisations qui collectent et stockent leurs données ne sont pas préparées ?

Pourquoi cette inertie ?

Plusieurs facteurs expliquent ce retard :

• Complexité perçue de la loi : le langage juridique et les exigences techniques freinent l’adoption.
• Coût et ressources : les PME, souvent à court de budget ou de personnel qualifié, ne priorisent pas la conformité.
• Absence de sanctions immédiates : sans conséquences claires à court terme, le sentiment d’urgence s’estompe.

Sensibiliser, c’est bien. Accompagner, c’est mieux.

Pour que la cybersécurité ne soit pas qu’un thème d’octobre, il faut un véritable engagement structurel. Cela passe par :

• Un accompagnement pratique pour les entreprises (guides simplifiés, formations, soutien financier).
• Une meilleure pédagogie de la Loi 25, pour en faire comprendre la valeur ajoutée.
• Une vision proactive : respecter la loi, c’est aussi bâtir la confiance avec ses clients, protéger sa réputation et prévenir les cyberincidents.

Conclusion

Le Mois de la cybersécurité est une occasion précieuse de sensibiliser la population aux risques numériques. Mais cette sensibilisation restera insuffisante tant que les entreprises québécoises, petites et grandes, n’intègrent pas la protection des données au cœur de leurs priorités.

La Loi 25 n’est pas un fardeau administratif, mais un levier de maturité numérique. Encore faut-il qu’elle soit réellement appliquée. À défaut, octobre ne sera qu’un rappel annuel… que l’essentiel reste à faire.