Les technologies étant en constante évolution, les échanges d’informations sur le web sont de plus en plus présents. Cette nouvelle réalité a conduit le gouvernement du Québec à se pencher sur la protection des renseignements personnels détenus par les organisations québécoises. C’est là qu’entre en jeu la Loi 25.
Cette nouvelle loi touche toutes les organisations et génère un défi supplémentaire pour les PME québécoises. Si vous voulez tout savoir sur la Loi 25, continuez votre lecture. Vous apprendrez en quoi consiste la Loi exactement et pourquoi elle existe, les obligations qui en découlent, les conséquences de ne pas la suivre ainsi que les étapes pour vous assurer de vous confirmer à celle-ci.
Qu’est-ce que la Loi 25?
La Loi 25, ou la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a pour objectif ultime de protéger les informations personnelles des citoyens québécois. Pour ce faire, la loi 25 encadre les entreprises dans la gestion des données des utilisateurs au niveau de leur collection, utilisation et partage. Cette loi impose donc plusieurs obligations aux organisations québécoises, tant publiques que privées.
Rassurez-vous, la mise en application de cette nouvelle loi se fait de manière graduelle. Les obligations imposées sont étalées sur une période de trois ans. Certaines obligations sont déjà effectives depuis septembre 2022, d’autres prennent effet en 2023 et les dernières entreront en vigueur en septembre 2024. Nous verrons ces détails dans la prochaine section.
Quelles sont les obligations de la Loi 25 pour les entreprises?
Voici donc la majorité des obligations auxquelles vous devez vous conformer en tant qu’entreprise québécoise selon le plan d’établissement de la Loi 25.
Veuillez noter que nous ne sommes pas des spécialistes légaux. Pour l’intégralité des obligations de la Loi 25 ainsi que ses nuances, nous recommandons de vous référer aux pages officielles de la Loi ou de consulter un spécialiste légal.
Vos obligations depuis septembre 2022
1. Désigner un responsable de la protection des renseignements personnels
Chaque entreprise doit désigner un responsable de la protection des renseignements personnels. Ce rôle peut revenir à une personne d’autorité dans l’organisation, mais peut aussi être délégué. L’important est que le responsable et ses coordonnées soient accessibles, préférablement sur le site web de l’entreprise en question.
2. Tenir un registre des incidents de confidentialité et communiquer ces incidents
Chaque entreprise doit tenir un registre des incidents de confidentialité et prendre des mesures pour minimiser les risques et préjudices en cas de fuites de données. Ce registre doit également pouvoir être transmis à la Commission d’accès à l’information si c’est requis. Si un incident présente un risque important de préjudice, l’entreprise doit en informer la commission ainsi que les personnes concernées.
Vos obligations à partir du 22 septembre 2023
3. Établir et mettre en œuvre un cadre de gouvernance en matière de protection des renseignements personnels
Chaque entreprise doit établir une politique claire en matière de protection des renseignements personnels et la rendre accessible en ligne, préférablement sur son site web. La politique doit mettre en évidence des aspects bien précis :
- Les règles quant à la conservation et la destruction des données personnelles;
- Le type de renseignements personnels collectés sur le site web et leur utilité;
- Les rôles et responsabilités des membres du personnel tout au long de la durée de vie des renseignements personnels ainsi que les coordonnées d’une personne-ressource;
- Un processus de traitement des plaintes quant à la protection des renseignements personnels.
Il vous est possible d’utiliser un générateur de politique de confidentialité en ligne, mais il est toutefois recommandé de consulter un spécialiste légal.
4. Se conformer aux nouvelles obligations de transparence
Au moment de recueillir des renseignements personnels, chaque entreprise doit fournir certaines informations à l’utilisateur, comme l’utilité de la collecte de données, les moyens de la collecte et les droits d’accès à ces données. L’utilisateur doit aussi être en mesure de retirer son consentement à la collecte de ces données.
Tout utilisateur doit être informé lorsque ses données sont collectées et il doit être en mesure de retirer son consentement.
Cela inclut les technologies d’identification, de localisation et de profilage ainsi que les cookies. Donc, si vous utilisez Google Analytics ou même un Pixel Facebook, vous devez aviser les utilisateurs de votre site web et demander leur consentement libre et éclairé. Pour les mineurs de moins de 14 ans, le consentement doit être donné par l’autorité parentale ou le tuteur.
5. Anonymiser ou détruire les renseignements personnels lorsqu’ils ne sont plus utilisés
Chaque entreprise doit anonymiser ou détruire les renseignements personnels lorsque l’objectif de la collecte de données a été atteint.
6. Désindexer les renseignements personnels sur demande
Si un utilisateur en fait la demande, l’entreprise en question doit cesser de diffuser ses renseignements personnels.
7. Évaluer les risque quant à la communication des renseignements personnels hors Québec
Si une entreprise doit communiquer des renseignements personnels à l’extérieur du Québec, elle se doit de procéder à une évaluation des facteurs de risque relatifs à la vie privée de ses utilisateurs. L’évaluation doit démontrer que les renseignements seront adéquatement protégés. Nous verrons comment effectuer une évaluation des facteurs de risque relatifs à la vie privée un peu plus bas.
Vos obligations à partir de septembre 2024
À partir de septembre 2024, la Loi 25 ajoute l’aspect de la portabilité des données à ses obligations. Les citoyens devront être en mesure de demander la communication de leurs renseignements personnels collectés. Ils doivent aussi pouvoir effectuer des modifications à ces données.
Les étapes à suivre pour rendre votre entreprise conforme à la Loi 25
Il peut être facile de se perdre dans toutes les nouvelles obligations engendrées par la mise en œuvre de la Loi 25! Voici donc ce que vous pouvez faire pour vous conformer à la loi étape par étape.
Étape 1: Nommer un responsable des renseignements personnels
La Loi 25 oblige: vous devez nommer un responsable des renseignements personnels. Ce dernier devra assurer la protection des renseignements personnels et veiller à la conformité à la Loi 25.
De plus, les coordonnées de la personne responsable doivent être affichées sur le site web de l’entreprise.
Étape 2: Vous assurer d’obtenir le consentement éclairé de vos utilisateurs
Selon la Loi 25, vous devez obtenir un consentement libre et éclairé pour collecter des données personnelles. Vous devez divulguer aux utilisateurs les objectifs précis de la collecte, de l’utilisation et de la communication de leurs données personnelles.
Pour ce faire vous devez d’abord fournir un accès facile à une politique de confidentialité qui mentionne:
- L’ensemble des données collectées;
- Les objectifs de la collecte de données;
- Comment seront utilisées ces informations;
- Les mesures de sécurité mises en place pour garantir la protection de ces données.
La Loi 25 et les cookies
Évidement, les obligations de demande de consentement de la Loi 25 concernent également les cookies et les outils de traçage. Il est recommandé de faire l’inventaire de tous les cookies que vous collectez sur votre site web. Vous devrez informer, à l’aide d’une bannière ou d’un pop-up par exemple, les utilisateurs que des cookies sont collectés. Aucun cookie ne doit être collecté avant qu’un consentement ne soit donné. Une simple bannière d’information n’est pas suffisante.
La plupart des entreprises optent pour une plateforme de gestion du consentement pour faciliter le processus.
Étape 3: Effectuer une évaluation des facteurs relatifs à la vie privée
Dans le cadre de la Loi 25, effectuer une évaluation des risques liés à la vie privée est particulièrement important. Cette évaluation sert à renforcer la protection des données personnelles et améliorer le respect de la vie privée des individus, mais aussi à vous aider à vous conformer à la Loi 25. Elle implique une évaluation complète de tous les éléments susceptibles d’influencer positivement ou négativement le respect de la vie privée des personnes concernées.
L’évaluation est exigée dans certains cas, comme lorsque vous communiquez des renseignements personnels à l’extérieur du Québec.
Comment effectuer une évaluation des facteurs relatifs à la vie privée selon la Loi 25?
Réaliser ce type d’évaluation implique trois étapes: La préparation, l’analyse et la rédaction du rapport.
Lors de la préparation, vous devez définir votre entreprise et ses activités, clarifier les rôles et responsabilités, connaître vos obligations en termes de protection des données personnelles, identifier les données personnelles impliquées dans vos activités et repérer les points clés où ces données entrent en jeu.
Ensuite, lors de l’analyse, vous devez évaluer si vous respectez les obligations de la Loi 25, identifier et analyser les risques pour la vie privée engendrés par vos activités et évaluer l’impact réel de ces risques.
Finalement, vous devez rédiger un rapport d’évaluation. Ce dernier doit détailler votre processus d’évaluation, les risques que vous avez identifiés, les mesures prises pour diminuer ces derniers ainsi que des recommandations.
Évidemment, ce n’est qu’un résumé. Pour réaliser l’évaluation, nous recommandons de suivre le guide d’accompagnement du Gouvernement du Québec.
Étape 4: Permettre la suppression des données personnelles
Pensez à des manières de permettre aux utilisateurs de demander la suppression de leurs données personnelles et mentionnez-le sur votre site web. Ceci peut être avec l’implémentation d’un formulaire de contact adapté.
Étape 5: Préparez-vous aux obligations quant à la portabilité des renseignements personnels
En prévision du 22 septembre 2024, assurez-vous que vos systèmes permettent de communiquer et de modifier les renseignements personnels de vos utilisateurs sur demande.
Qu’est-ce qui arrive si on ne conforme pas à la Loi 25?
Si vous ne vous conformez pas à la Loi 25, vous pourriez subir des conséquences légales et financières.
En effet, des amendes sont prévues pour les non-conformistes et ces dernières peuvent atteindre des millions de dollars.
La Commission d’accès à l’information du Québec est responsable de procéder à l’évaluation des infractions de la Loi 25 en se basant sur divers critères, dont :
- La fréquence et la période de l’infraction;
- La confidentialité des données affectées par l’infraction;
- Le nombre d’individus touchés par l’infraction;
- Le degré de menace sérieuse auquel les personnes touchées sont exposées;
- Les actions entreprises par l’organisation pour corriger la violation ou en minimiser les conséquences.
En conclusion
Nous espérons que ce guide saura vous éclairer quant à la Loi 25. Vous conformer à cette dernière demande une grande implication ainsi que des technologies adaptées. Sachez qu’il existe diverses ressources en ligne pour vous aider à bien comprendre les aspects légaux. Si vous voulez vous assurer que votre site web soit conforme à la Loi 25, contactez-nous, il nous fera un plaisir de vous aider!
Ressources sur la Loi 25:
Résumé des modifications législatives
Guide d’accompagnement pour réaliser une Évaluation des facteurs relatifs à la vie privée
