72% des Québécois sont préoccupés par la protection de leurs données personnelles, selon une étude de l’Office de la protection du consommateur.

Statistique sur  la préoccupation de la protection des données personnelles au Québec

Face à cette inquiétude grandissante, la loi 25 est intervenue comme la réponse du gouvernement du Québec à l’ère technologique.

Alors certes, on a peut-être pas de 25ème coupe Stanley. 

Mais on a la loi 25. 🔥

Son objectif? Promouvoir la transparence, la confidentialité, et offrir aux individus un contrôle accru sur leurs informations.

Les experts de notre agence loi 25 vous montrent ici tout ce que vous devez savoir sur la loi 25 au Québec! Nous allons explorer cette loi essentielle, de sa création à ses implications pour les PME, tout en vous guidant vers une conformité sereine. 

Prêt à naviguer dans les eaux (glaciales) de la protection des données au Québec avec nous?

Qu’est-ce que la Loi 25 et pourquoi a-t-elle été créée?

Comment définir simplement la Loi 25?

La Loi 25, c’est un peu comme le gardien vigilant de nos précieux secrets numériques. Elle est à nos données ce que le coffre-fort est à nos biens les plus précieux. 

Cette loi québécoise, également connue sous le nom de loi sur la gouvernance des renseignements personnels, encadre méticuleusement comment les entreprises et les organismes publics collectent, utilisent et partagent nos informations personnelles

En bref, cette loi est là pour s’assurer que nos données ne se retrouvent pas entre de mauvaises mains ou utilisées à mauvais escient, garantissant ainsi la confiance des Québécois dans la gestion de leurs informations. 

Sacré boulot, n’est-ce pas? 

La Commission d’accès à l’information du Québec est désignée comme l’autorité veillant à la mise en œuvre de cette loi, assurant ainsi que les entreprises respectent des normes élevées en matière de protection des données. Elle instaure un cadre juridique robuste, promouvant la transparence, la confidentialité et la sécurité des données personnelles. 

Et pour ceux qui penseraient à jouer avec le feu, elle prévoit des sanctions et poursuites pénales en cas de non-respect. ⛔

Quel était le besoin urgent de cette nouvelle législation?

Avec notre monde devenant chaque jour un peu plus numérique, nos informations circulent à la vitesse de la lumière. Imaginez vos secrets personnels affichés sur un écran géant à Times Square! Pas très rassurant, n’est-ce pas? 

C’est là que la Loi 25 intervient. 

Elle a été conçue pour répondre à ces préoccupations grandissantes liées à la protection des renseignements personnels dans notre ère technologique. 

Cette nouvelle loi impose aux organismes publics et aux entreprises privées de

  1. Mettre en place des politiques de confidentialité claires 
  2. Mettre à jour leur inventaire des renseignements

Mais ce phénomène et ces besoins ne concernent pas que le Québec! Dans cette lignée, Google a aussi dû s’adapter à l’évolution globale des lois sur la protection des données dans le monde en annonçant la fin des cookies tiers.

Pourquoi les PME devraient-elles prêter attention à la Loi 25?

Quels sont les enjeux majeurs pour votre entreprise?

Les petites et moyennes entreprises (PME) devraient accorder une attention particulière à la Loi 25 sur la protection des renseignements personnels. 

Avec l’avancée de l’Intelligence artificielle et la numérisation croissante des données, les incidents de confidentialité impliquant des renseignements personnels sont devenus de plus en plus courants. Les PME doivent donc mettre en place des mesures de protection adéquates pour éviter les incidents de confidentialité et se conformer aux exigences de la loi.

Les renseignements personnels peuvent être ceux de vos clients, mais aussi de vos fournisseurs, des visiteurs de votre site web, vos prospects, etc.

Définition de ce que sont les renseignements personnels

Alors que vous soyez travailleur autonome, entreprise, coopérative ou encore organisme à but non lucratif, si vous collectez ou utilisez des renseignements personnels via votre activité, vous devez vous conformer à la loi 25!

Qu’arrive-t-il si vous ignorez cette loi?

La non-conformité à la Loi 25 peut entraîner des conséquences légales et financières significatives pour les PME. 

Les entreprises qui ne respectent pas cette loi peuvent être soumises à des amendes considérables, qui peuvent atteindre des millions de dollars. De plus, les incidents de confidentialité peuvent également entraîner la perte de la confiance des clients et causer des dommages importants à la réputation de l’entreprise. 

Voici les sanctions financières auxquelles vous vous exposez en cas de non-conformité:

Type de ManquementPersonne physiqueEntreprises et organismes publics
Mineur/Administratif$500 – $50,000$1,000 – $10M ou 2% du CA mondial*
Modéré$1,500 – $50,000$4,000 – $10M ou 2% du CA mondial*
Grave$3,000 – $50,000$8,000 – $10M ou 2% du CA mondial*
Très Grave$5,000 – $50,000$15,000 – $10M ou 2% du CA mondial*

* Le montant est basé sur le chiffre d’affaires mondial de l’exercice financier précédent si ce montant est plus élevé.

Memes sur les sommes encourues en cas de non respect de la loi 25

La Commission d’accès à l’information du Québec est chargée d’évaluer les facteurs liés à la protection des renseignements personnels, de traiter les plaintes et d’assurer le respect des droits d’accès des individus. Elle évalue entre autres les types de manquements selon plusieurs critères parmi lesquels: 

  • Le caractère répétitif et la durée du manquement
  • La sensibilité des renseignements concernés par le manquement
  • Le nombre de personnes concernées par le manquement
  • Le risque de préjudice sérieux auquel ces personnes sont exposées
  • Les mesures prises par la personne ou l’entreprise en défaut pour remédier au manquement ou en atténuer les conséquences

Comment décrypter les obligations de la Loi 25?

Pour comprendre les obligations qui découlent de la loi 25, il est essentiel de se familiariser avec les dispositions législatives et les exigences fixées par cette loi. 💡

Quand devez-vous commencer à vous conformer?

L’entrée en vigueur de la Loi 25 est échelonnée sur plusieurs années. Certains articles sont déjà en vigueur depuis septembre 2022, tandis que d’autres dispositions seront applicables à partir de septembre 2024. 

Cette approche progressive permet aux organisations de se conformer progressivement à ces nouvelles exigences. 

Voici un aperçu simplifié des principales étapes et obligations pour les entreprises:

Les dates clés de l'implémentation de la loi 25 au Québec

Depuis le 22 septembre 2022:

  • Désignation d’un responsable: chaque entreprise doit désigner une personne chargée de la protection des renseignements personnels. Ses coordonnées doivent être accessibles, idéalement sur le site web de l’entreprise
  • Gestion des incidents: en cas de fuite de données, l’entreprise doit prendre des mesures raisonnables pour minimiser les risques et informer la Commission ainsi que les personnes concernées. Un registre des incidents doit également être tenu

En réalité, même si les entreprises et les organisations affichent une volonté de respecter la nouvelle législation, nombreuses rencontrent des retards dans son application à cause de sa complexité.

À partir du 22 septembre 2023 (et c’est là qu’il faut être attentif!):

Politique de gouvernance: Les entreprises doivent établir une politique claire sur la gestion des renseignements personnels et la rendre accessibles sur leur site internet. Ce document doit être rédigé en termes simples et comprendre:

  • Les coordonnées pour joindre une personne-ressource à l’interne
  • Le type de renseignements collectés sur le site et à quelles fins ils le sont
  • La durée de conservation de ces données et comment leur sécurité est assurée

Vous pouvez vous aider d’un outil comme ce générateur de politique de confidentialité, même si cela ne remplace pas l’autorité et la fiabilité d’un juriste ou spécialiste légal!

Évaluation des risques: avant de communiquer des renseignements personnels hors Québec, une évaluation des facteurs relatifs à la vie privée est nécessaire.

Consentement et transparence: de nouvelles règles sur le consentement à la collecte de données sont mises en place. 

  • Si vous utilisez Google Analytics ou un pixel Facebook, il vous faut à tout prix aviser les utilisateurs de votre site web qu’ils consentent à donner leurs informations. Tant qu’ils n’ont pas fait leurs choix concernant ce consentement, vous ne devriez donc pas collecter ces données
  • Si un utilisateur fait une demande pour retirer son consentement, vous devez supprimer ses informations personnelles dans un délai de 30 jours

Destruction des renseignements: une fois la finalité de la collecte de données atteinte, les entreprises doivent détruire ou anonymiser ces données.

À partir du 22 septembre 2024:

  • Portabilité des données: les citoyens peuvent demander la communication de leurs renseignements personnels, ainsi que la possibilité d’effectuer des corrections sur ces données.

Quels sont les changements clés à connaître?

Pour récapituler, la loi 25 introduit plusieurs changements clés qui auront un impact considérable sur les entreprises de toutes tailles:

  • Loi 25 élargit le champ d’application de la protection des renseignements personnels en incluant les organismes publics et les entreprises privées. Cela signifie que toutes les organisations devront respecter les dispositions législatives concernant la collecte, l’utilisation, la communication et la destruction de renseignements personnels
  • La loi exige des entreprises qu’elles tiennent un inventaire des renseignements personnels qu’elles détiennent en évaluant les facteurs relatifs à la confidentialité
  • Les organisations doivent également mettre à jour leur politique de confidentialité et s’assurer que leur gouvernance des renseignements est solide
  • En cas d’incident de confidentialité impliquant une perte, un accès non autorisé ou une divulgation des renseignements personnels, les entreprises devront rapidement signaler cet incident à la Commission d’accès à l’information du Québec. Elles devront également mettre en place des mesures pour prévenir de tels incidents à l’avenir
Les changement clés à connaître concernant la loi 25

Comment rendre votre entreprise conforme à la Loi 25?

Qui devrait être en charge de la conformité au sein de votre entreprise?

Selon la Loi 25 sur la protection des renseignements personnels, chaque entreprise est tenue de désigner une personne responsable de la protection des renseignements personnels. 

Cette personne devrait être en charge de veiller à la conformité de l’entreprise avec les dispositions législatives et réglementaires en matière de protection des renseignements personnels.

Memes sur la nomination d'une personne responsable de la protection des renseignements personnels en entreprise pour être conforme à la loi 25

Il est important que cette personne ait une connaissance approfondie de la loi et des pratiques recommandées en matière de protection des renseignements personnels. Elle devrait être en mesure d’élaborer et de mettre en œuvre des politiques et des procédures appropriées pour garantir la confidentialité des renseignements personnels collectés et traités par l’entreprise.

De plus, la Loi 25 prévoit que le titre et les coordonnées de la personne responsable de la protection des renseignements personnels doivent être publiés sur le site web de l’entreprise

Cela permet aux individus de communiquer directement avec la personne responsable en cas de questions ou de préoccupations concernant leurs renseignements personnels.

S’assurer que le consentement est correctement obtenu

Selon la loi 25, le consentement valide de la collecte de renseignement personnel doit être obtenu de manière claire, libre, éclairée et spécifique

Les organisations sont tenues d’informer les individus des fins précises pour lesquelles leurs renseignements personnels sont collectés, utilisés ou communiqués. 

Comment faire? À travers une politique de confidentialité clairement accessible, qui explique:

  • Les fins de la collecte de données
  • L’utilisation prévue des renseignements 
  • Les mesures de sécurité mises en place pour protéger ces renseignements. 

Pour cela la première étape est tout simplement de..lister tous les renseignements personnels que vous pouvez collecter!

⚠️ Attention, il y a certaines exceptions où le consentement explicite n’est pas nécessaire:

  1. Lorsque les renseignements personnels sont nécessaires à l’exécution d’un contrat (livraison d’un produit ou d’une prestation par exemple)
  2. Lorsque les renseignements personnels sont utilisés à des fins de recherche, d’étude ou de statistique et qu’ils sont rendus anonymes.
  3. Lorsque les renseignements personnels sont communiqués à un avocat ou à son équipe pour assurer la défense des droits d’une personne.

Qu’est-ce qu’une évaluation des facteurs relatifs à la vie privée et pourquoi est-elle cruciale?

Une évaluation des facteurs relatifs à la vie privée (EFVP) est cruciale dans le cadre de la Loi 25 au Québec, en particulier pour les petites et moyennes entreprises (PME). 

Cette évaluation consiste à identifier, évaluer et gérer les risques potentiels pour la vie privée associés à un projet ou à une initiative. Elle vise à s’assurer que les renseignements personnels sont protégés conformément aux lois et réglementations en vigueur.

L’EFVP est cruciale car elle permet:

  • De démontrer que votre organisation se préoccupe des enjeux de la vie privée
  • D’assurer la mise en œuvre des stratégies et des moyens pour protéger les renseignements personnels
  • D’informer les hautes autorités de votre organisation des résultats de l’EFVP, afin qu’elles puissent accepter les conclusions de votre analyse et cautionner les risques qui subsistent, malgré les moyens déployés pour les atténuer

Réaliser une EFVP comprend trois étapes majeures, que vous pouvez retrouvez en détail dans le guide d’accompagnement de la Commission d’accès à l’information du Québec. 

Voici les lignes directrices:

1ère étape, la préparation: posez-vous les bonnes questions avant de commencer, définissez votre entreprise et son projet, établissez le partage des rôles et des responsabilités, connaissez vos obligations en matière de protection des renseignements personnels, repérez les renseignements personnels impliqués dans votre projet et identifiez les points d’interaction avec ces renseignements

2nde étape, l’analyse: évaluez si vous respectez les obligations de protection des renseignements personnels, repérez et décrivez les risques pour la vie privée engendrés par votre projet, évaluez l’impact de ces risques

Enfin, 3ème étape, la rédaction du rapport d’évaluation: ce rapport doit détailler le processus d’EFVP, les risques identifiés, les mesures prises pour les atténuer et les recommandations pour la suite

Les 3 étapes pour réaliser une évaluation des facteurs relatifs à la vie privée, pour se conformer à la loi 25

Dans certains cas, cette évaluation est obligatoire pour les organismes publics et les entreprises privées qui effectuent des traitements automatisés de renseignements personnels. 

Cependant, même lorsque l’évaluation n’est pas obligatoire, il est fortement recommandé pour toutes les entreprises de réaliser cette évaluation afin de garantir la protection adéquate des données personnelles.

Comment vous conformer à la loi 25 de façon optimale? 🚀

Comment former votre équipe pour une meilleure conformité?

Pour assurer la conformité à la Loi 25 et aux nouvelles obligations légales concernant la protection des renseignements personnels, il est essentiel de former adéquatement votre équipe.

Voici les étapes à suivre pour former vos équipes efficacement:

  • Élaborez une présentation détaillée mais simple qui met en évidence les changements liés à la protection des renseignements personnels dans votre entreprise 
  • Identifiez les rôles et les responsabilités de chaque membre du personnel tout au long du cycle de vie des données
  • Sensibilisez votre équipe à l’importance de ces changements, aux principes clés de la Loi 25 et aux conséquences d’un non-respect
  • Détaillez à l’équipe les politiques et pratiques de l’entreprise en matière de protection des renseignements personnels et assurez-vous qu’elles soient comprises, appliquées et suivies
  • Identifiez les éventuelles lacunes dans les comportements des employés et ajustez votre communication interne en conséquence
  • Tenez l’équipe informée des évolutions. Gardez votre équipe au courant des changements de la loi et des meilleures pratiques

En investissant dans une formation approfondie et continue, vous établirez une culture solide de protection des renseignements personnels au sein de votre organisation. 

Si vous avez besoin d’aide pour mettre en place cette formation et pour vous conformer aux exigences légales, contactez-nous pour vous accompagner dans cette démarche!

Les astuces et outils technologiques qui peuvent vous aider

Les entreprises peuvent utiliser plusieurs outils technologiques pour se conformer aux exigences de la Loi 25 et assurer la protection des renseignements personnels. 

En voici quelques exemples:

  1. Le Système de Gestion des Renseignements Personnels (SGRP). Opter pour un SGRP vous permet d’assurer une gestion efficace des renseignements personnels de leur création à leur suppression. Voici quelques références:
  • OneTrust: Une plateforme de gestion de la confidentialité qui offre des solutions pour la cartographie des données, le chiffrement, le contrôle d’accès et la journalisation
  • TrustArc: Une autre plateforme populaire qui aide les entreprises à gérer, partager et protéger les données personnelles

2. Un Système de gestion des consentements pour recueillir, gérer et documenter les consentements des individus quant à l’utilisation de leurs renseignements personnels. Ce type d’outil facilite également la révocation du consentement et assure une transparence accrue dans la gestion des données. 

3. Des portails sécurisés où les individus peuvent accéder à leurs données, demander des corrections ou exercer leur droit à l’oubli (par exemple avec Salesforce Customer 360).

⚠️ Si vous souhaitez en savoir plus sur les outils de la loi 25,  nous avons un article dédié! ⚠️

Que se passe-t-il concernant la gestion des cookies sur votre site web? 

Nous vous suggérons de:

  1. Évaluer tous les cookies que vous collectez et les catégoriser (essentiels, performance, personnalisation, publicitaire)
  2. Installer une bannière de cookies permettant d’aviser un utilisateur que des cookies sont collectés. Il/Elle pourra ainsi accepter les cookies de la catégorie souhaitée, et aucune donnée ne devra être collectée avant cela.
  3. Consigner le consentement des utilisateurs dans un registre numérique, et établissez une durée de conservation maximale de tout renseignement personnel

En d’autres termes, réfléchissez à votre politique de droit à l’oubli. Vous devez mettre à disposition des moyens pour que les utilisateurs puisse demander la suppression de leurs informations personnelles, par exemple en mettant en place un formulaire sur votre site web. 

Un dernier conseil pour la route? 

Gardez un œil attentif sur qui détient quelles informations, en interne comme à l’externe! Pour cela, révisez de façon régulière les accès octroyés à chacun et assurez-vous qu’ils soient bien légitimes. Veillez à retirer tout accès aux anciens employés ou prestataires. Utiliser un gestionnaire de mot de passe comme LastPass peut vous aider en ce sens!

En résumé

La conformité à la Loi 25 nécessite une approche globale, combinant à la fois des outils technologiques adaptés, des formations continues et une vigilance constante. Adopter une telle démarche permet non seulement de respecter la réglementation, mais aussi de renforcer la confiance de vos clients et partenaires. 

Si vous vous sentez encore perdus dans tout cela, notre agence spécialisée en loi 25 vous accompagne avec plaisir!

FAQ

La Loi 25, également connue sous le nom de Loi sur la gouvernance des renseignements personnels, vise à protéger les données personnelles des individus au Québec. Elle établit un cadre juridique pour la collecte, l’utilisation et la communication de ces renseignements par les entreprises et les organismes publics. La loi a été créée en réponse aux préoccupations croissantes liées à la protection des données personnelles dans l’ère technologique.

La non-conformité à la Loi 25 peut entraîner des amendes significatives pour les PME, pouvant atteindre des millions de dollars. Les sanctions varient en fonction de la gravité de l’infraction. Les entreprises risquent également de perdre la confiance de leurs clients et de subir des dommages à leur réputation.

La Loi 25 est entrée en vigueur progressivement depuis septembre 2022. Certains articles sont déjà en application, d’autres le seront à partir de septembre 2024. Les entreprises doivent se conformer aux étapes et obligations prévues dans cette loi en fonction de ces échéances.

La Loi 25 élargit le champ d’application de la protection des renseignements personnels pour inclure les entreprises privées et les organismes publics. Elle exige la tenue d’un inventaire des données personnelles, une gouvernance renforcée, la notification rapide d’incidents de confidentialité et la mise en place de nouvelles règles de consentement et de portabilité des données.

Une évaluation des facteurs relatifs à la vie privée (EFVP) est cruciale pour évaluer et gérer les risques pour la vie privée associés à un projet ou à une initiative. Elle permet de démontrer l’engagement envers la protection des renseignements personnels, d’assurer la mise en œuvre de mesures de protection et d’informer les parties prenantes.

La Loi 25 impacte la collecte de données sur les sites web en exigeant que les entreprises obtiennent un consentement explicite et éclairé des utilisateurs. Les entreprises doivent informer clairement les utilisateurs des types de données collectées, des finalités de la collecte et des mesures de sécurité mises en place.

Ce contenu vous a plu?
[Total: 19 Moyenne: 4.5]
Envie de propulser vos affaires sur le web?

This field is for validation purposes and should be left unchanged.
Alexandre est co-fondateur du collectif Intégral, qui regroupe 4 agences spécialisées en marketing numérique à Montréal et Paris. Ex consultant en stratégie, il fait un virage à 180 degrés en 2017 pour devenir expert numérique 360. Il se spécialise désormais en stratégie web, marketing de contenu et jokes de papa.

Discutons dès aujourd’hui!

Nous nous ferons un plaisir de vous répondre!

This field is for validation purposes and should be left unchanged.