Sommaire
72% des Québécois sont préoccupés par la protection de leurs données personnelles, selon une étude de l’Office de la protection du consommateur.
Face à cette inquiétude grandissante, la loi 25 est intervenue comme la réponse du gouvernement du Québec à l’ère technologique.
Alors certes, on a peut-être pas de 25ème coupe Stanley.
Mais on a la loi 25. 🔥
Son objectif? Promouvoir la transparence, la confidentialité, et offrir aux individus un contrôle accru sur leurs informations.
Les experts de notre agence loi 25 vous montrent ici tout ce que vous devez savoir sur la loi 25 au Québec! Nous allons explorer cette loi essentielle, de sa création à ses implications pour les PME, tout en vous guidant vers une conformité sereine.
Prêt à naviguer dans les eaux (glaciales) de la protection des données au Québec avec nous?
Qu’est-ce que la Loi 25 et pourquoi a-t-elle été créée?
Comment définir simplement la Loi 25?
La Loi 25, c’est un peu comme le gardien vigilant de nos précieux secrets numériques. Elle est à nos données ce que le coffre-fort est à nos biens les plus précieux.
Cette loi québécoise, également connue sous le nom de loi sur la gouvernance des renseignements personnels, encadre méticuleusement comment les entreprises et les organismes publics collectent, utilisent et partagent nos informations personnelles.
En bref, cette loi est là pour s’assurer que nos données ne se retrouvent pas entre de mauvaises mains ou utilisées à mauvais escient, garantissant ainsi la confiance des Québécois dans la gestion de leurs informations.
Sacré boulot, n’est-ce pas?
La Commission d’accès à l’information du Québec est désignée comme l’autorité veillant à la mise en œuvre de cette loi, assurant ainsi que les entreprises respectent des normes élevées en matière de protection des données. Elle instaure un cadre juridique robuste, promouvant la transparence, la confidentialité et la sécurité des données personnelles.
Et pour ceux qui penseraient à jouer avec le feu, elle prévoit des sanctions et poursuites pénales en cas de non-respect. ⛔
Quel était le besoin urgent de cette nouvelle législation?
Avec notre monde devenant chaque jour un peu plus numérique, nos informations circulent à la vitesse de la lumière. Imaginez vos secrets personnels affichés sur un écran géant à Times Square! Pas très rassurant, n’est-ce pas?
C’est là que la Loi 25 intervient.
Elle a été conçue pour répondre à ces préoccupations grandissantes liées à la protection des renseignements personnels dans notre ère technologique.
Cette nouvelle loi impose aux organismes publics et aux entreprises privées de
- Mettre en place des politiques de confidentialité claires
- Mettre à jour leur inventaire des renseignements
Mais ce phénomène et ces besoins ne concernent pas que le Québec! Dans cette lignée, Google a aussi dû s’adapter à l’évolution globale des lois sur la protection des données dans le monde en annonçant la fin des cookies tiers.
Pourquoi les PME devraient-elles prêter attention à la Loi 25?
Quels sont les enjeux majeurs pour votre entreprise?
Les petites et moyennes entreprises (PME) devraient accorder une attention particulière à la Loi 25 sur la protection des renseignements personnels.
Avec l’avancée de l’Intelligence artificielle et la numérisation croissante des données, les incidents de confidentialité impliquant des renseignements personnels sont devenus de plus en plus courants. Les PME doivent donc mettre en place des mesures de protection adéquates pour éviter les incidents de confidentialité et se conformer aux exigences de la loi.
Les renseignements personnels peuvent être ceux de vos clients, mais aussi de vos fournisseurs, des visiteurs de votre site web, vos prospects, etc.
Alors que vous soyez travailleur autonome, entreprise, coopérative ou encore organisme à but non lucratif, si vous collectez ou utilisez des renseignements personnels via votre activité, vous devez vous conformer à la loi 25!
Qu’arrive-t-il si vous ignorez cette loi?
La non-conformité à la Loi 25 peut entraîner des conséquences légales et financières significatives pour les PME.
Les entreprises qui ne respectent pas cette loi peuvent être soumises à des amendes considérables, qui peuvent atteindre des millions de dollars. De plus, les incidents de confidentialité peuvent également entraîner la perte de la confiance des clients et causer des dommages importants à la réputation de l’entreprise.
Voici les sanctions financières auxquelles vous vous exposez en cas de non-conformité:
| Type de Manquement | Personne physique | Entreprises et organismes publics |
| Mineur/Administratif | $500 – $50,000 | $1,000 – $10M ou 2% du CA mondial* |
| Modéré | $1,500 – $50,000 | $4,000 – $10M ou 2% du CA mondial* |
| Grave | $3,000 – $50,000 | $8,000 – $10M ou 2% du CA mondial* |
| Très Grave | $5,000 – $50,000 | $15,000 – $10M ou 2% du CA mondial* |
* Le montant est basé sur le chiffre d’affaires mondial de l’exercice financier précédent si ce montant est plus élevé.
La Commission d’accès à l’information du Québec est chargée d’évaluer les facteurs liés à la protection des renseignements personnels, de traiter les plaintes et d’assurer le respect des droits d’accès des individus. Elle évalue entre autres les types de manquements selon plusieurs critères parmi lesquels:
- Le caractère répétitif et la durée du manquement
- La sensibilité des renseignements concernés par le manquement
- Le nombre de personnes concernées par le manquement
- Le risque de préjudice sérieux auquel ces personnes sont exposées
- Les mesures prises par la personne ou l’entreprise en défaut pour remédier au manquement ou en atténuer les conséquences
Comment décrypter les obligations de la Loi 25?
Pour comprendre les obligations qui découlent de la loi 25, il est essentiel de se familiariser avec les dispositions législatives et les exigences fixées par cette loi. 💡
Quand devez-vous commencer à vous conformer?
L’entrée en vigueur de la Loi 25 est échelonnée sur plusieurs années. Certains articles sont déjà en vigueur depuis septembre 2022, tandis que d’autres dispositions seront applicables à partir de septembre 2024.
Cette approche progressive permet aux organisations de se conformer progressivement à ces nouvelles exigences.
Voici un aperçu simplifié des principales étapes et obligations pour les entreprises:
Depuis le 22 septembre 2022:
- Désignation d’un responsable: chaque entreprise doit désigner une personne chargée de la protection des renseignements personnels. Ses coordonnées doivent être accessibles, idéalement sur le site web de l’entreprise
- Gestion des incidents: en cas de fuite de données, l’entreprise doit prendre des mesures raisonnables pour minimiser les risques et informer la Commission ainsi que les personnes concernées. Un registre des incidents doit également être tenu
En réalité, même si les entreprises et les organisations affichent une volonté de respecter la nouvelle législation, nombreuses rencontrent des retards dans son application à cause de sa complexité.
À partir du 22 septembre 2023 (et c’est là qu’il faut être attentif!):
Politique de gouvernance: Les entreprises doivent établir une politique claire sur la gestion des renseignements personnels et la rendre accessibles sur leur site internet. Ce document doit être rédigé en termes simples et comprendre:
- Les coordonnées pour joindre une personne-ressource à l’interne
- Le type de renseignements collectés sur le site et à quelles fins ils le sont
- La durée de conservation de ces données et comment leur sécurité est assurée
Vous pouvez vous aider d’un outil comme ce générateur de politique de confidentialité, même si cela ne remplace pas l’autorité et la fiabilité d’un juriste ou spécialiste légal!
Évaluation des risques: avant de communiquer des renseignements personnels hors Québec, une évaluation des facteurs relatifs à la vie privée est nécessaire.
Consentement et transparence: de nouvelles règles sur le consentement à la collecte de données sont mises en place.
- Si vous utilisez Google Analytics ou un pixel Facebook, il vous faut à tout prix aviser les utilisateurs de votre site web qu’ils consentent à donner leurs informations. Tant qu’ils n’ont pas fait leurs choix concernant ce consentement, vous ne devriez donc pas collecter ces données
- Si un utilisateur fait une demande pour retirer son consentement, vous devez supprimer ses informations personnelles dans un délai de 30 jours
Destruction des renseignements: une fois la finalité de la collecte de données atteinte, les entreprises doivent détruire ou anonymiser ces données.
À partir du 22 septembre 2024:
- Portabilité des données: les citoyens peuvent demander la communication de leurs renseignements personnels, ainsi que la possibilité d’effectuer des corrections sur ces données.
Quels sont les changements clés à connaître?
Pour récapituler, la loi 25 introduit plusieurs changements clés qui auront un impact considérable sur les entreprises de toutes tailles:
- Loi 25 élargit le champ d’application de la protection des renseignements personnels en incluant les organismes publics et les entreprises privées. Cela signifie que toutes les organisations devront respecter les dispositions législatives concernant la collecte, l’utilisation, la communication et la destruction de renseignements personnels
- La loi exige des entreprises qu’elles tiennent un inventaire des renseignements personnels qu’elles détiennent en évaluant les facteurs relatifs à la confidentialité
- Les organisations doivent également mettre à jour leur politique de confidentialité et s’assurer que leur gouvernance des renseignements est solide
- En cas d’incident de confidentialité impliquant une perte, un accès non autorisé ou une divulgation des renseignements personnels, les entreprises devront rapidement signaler cet incident à la Commission d’accès à l’information du Québec. Elles devront également mettre en place des mesures pour prévenir de tels incidents à l’avenir
Comment rendre votre entreprise conforme à la Loi 25?
Qui devrait être en charge de la conformité au sein de votre entreprise?
Selon la Loi 25 sur la protection des renseignements personnels, chaque entreprise est tenue de désigner une personne responsable de la protection des renseignements personnels.
Cette personne devrait être en charge de veiller à la conformité de l’entreprise avec les dispositions législatives et réglementaires en matière de protection des renseignements personnels.
Il est important que cette personne ait une connaissance approfondie de la loi et des pratiques recommandées en matière de protection des renseignements personnels. Elle devrait être en mesure d’élaborer et de mettre en œuvre des politiques et des procédures appropriées pour garantir la confidentialité des renseignements personnels collectés et traités par l’entreprise.
De plus, la Loi 25 prévoit que le titre et les coordonnées de la personne responsable de la protection des renseignements personnels doivent être publiés sur le site web de l’entreprise.
Cela permet aux individus de communiquer directement avec la personne responsable en cas de questions ou de préoccupations concernant leurs renseignements personnels.
S’assurer que le consentement est correctement obtenu
Selon la loi 25, le consentement valide de la collecte de renseignement personnel doit être obtenu de manière claire, libre, éclairée et spécifique.
Les organisations sont tenues d’informer les individus des fins précises pour lesquelles leurs renseignements personnels sont collectés, utilisés ou communiqués.
Comment faire? À travers une politique de confidentialité clairement accessible, qui explique:
- Les fins de la collecte de données
- L’utilisation prévue des renseignements
- Les mesures de sécurité mises en place pour protéger ces renseignements.
Pour cela la première étape est tout simplement de..lister tous les renseignements personnels que vous pouvez collecter!
⚠️ Attention, il y a certaines exceptions où le consentement explicite n’est pas nécessaire:
- Lorsque les renseignements personnels sont nécessaires à l’exécution d’un contrat (livraison d’un produit ou d’une prestation par exemple)
- Lorsque les renseignements personnels sont utilisés à des fins de recherche, d’étude ou de statistique et qu’ils sont rendus anonymes.
- Lorsque les renseignements personnels sont communiqués à un avocat ou à son équipe pour assurer la défense des droits d’une personne.
Qu’est-ce qu’une évaluation des facteurs relatifs à la vie privée et pourquoi est-elle cruciale?
Une évaluation des facteurs relatifs à la vie privée (EFVP) est cruciale dans le cadre de la Loi 25 au Québec, en particulier pour les petites et moyennes entreprises (PME).
Cette évaluation consiste à identifier, évaluer et gérer les risques potentiels pour la vie privée associés à un projet ou à une initiative. Elle vise à s’assurer que les renseignements personnels sont protégés conformément aux lois et réglementations en vigueur.
L’EFVP est cruciale car elle permet:
- De démontrer que votre organisation se préoccupe des enjeux de la vie privée
- D’assurer la mise en œuvre des stratégies et des moyens pour protéger les renseignements personnels
- D’informer les hautes autorités de votre organisation des résultats de l’EFVP, afin qu’elles puissent accepter les conclusions de votre analyse et cautionner les risques qui subsistent, malgré les moyens déployés pour les atténuer
Réaliser une EFVP comprend trois étapes majeures, que vous pouvez retrouvez en détail dans le guide d’accompagnement de la Commission d’accès à l’information du Québec.
Voici les lignes directrices:
1ère étape, la préparation: posez-vous les bonnes questions avant de commencer, définissez votre entreprise et son projet, établissez le partage des rôles et des responsabilités, connaissez vos obligations en matière de protection des renseignements personnels, repérez les renseignements personnels impliqués dans votre projet et identifiez les points d’interaction avec ces renseignements
2nde étape, l’analyse: évaluez si vous respectez les obligations de protection des renseignements personnels, repérez et décrivez les risques pour la vie privée engendrés par votre projet, évaluez l’impact de ces risques
Enfin, 3ème étape, la rédaction du rapport d’évaluation: ce rapport doit détailler le processus d’EFVP, les risques identifiés, les mesures prises pour les atténuer et les recommandations pour la suite
Dans certains cas, cette évaluation est obligatoire pour les organismes publics et les entreprises privées qui effectuent des traitements automatisés de renseignements personnels.
Cependant, même lorsque l’évaluation n’est pas obligatoire, il est fortement recommandé pour toutes les entreprises de réaliser cette évaluation afin de garantir la protection adéquate des données personnelles.
Comment vous conformer à la loi 25 de façon optimale? 🚀
Comment former votre équipe pour une meilleure conformité?
Pour assurer la conformité à la Loi 25 et aux nouvelles obligations légales concernant la protection des renseignements personnels, il est essentiel de former adéquatement votre équipe.
Voici les étapes à suivre pour former vos équipes efficacement:
- Élaborez une présentation détaillée mais simple qui met en évidence les changements liés à la protection des renseignements personnels dans votre entreprise
- Identifiez les rôles et les responsabilités de chaque membre du personnel tout au long du cycle de vie des données
- Sensibilisez votre équipe à l’importance de ces changements, aux principes clés de la Loi 25 et aux conséquences d’un non-respect
- Détaillez à l’équipe les politiques et pratiques de l’entreprise en matière de protection des renseignements personnels et assurez-vous qu’elles soient comprises, appliquées et suivies
- Identifiez les éventuelles lacunes dans les comportements des employés et ajustez votre communication interne en conséquence
- Tenez l’équipe informée des évolutions. Gardez votre équipe au courant des changements de la loi et des meilleures pratiques
En investissant dans une formation approfondie et continue, vous établirez une culture solide de protection des renseignements personnels au sein de votre organisation.
Si vous avez besoin d’aide pour mettre en place cette formation et pour vous conformer aux exigences légales, contactez-nous pour vous accompagner dans cette démarche!
Les astuces et outils technologiques qui peuvent vous aider
Les entreprises peuvent utiliser plusieurs outils technologiques pour se conformer aux exigences de la Loi 25 et assurer la protection des renseignements personnels.
En voici quelques exemples:
- Le Système de Gestion des Renseignements Personnels (SGRP). Opter pour un SGRP vous permet d’assurer une gestion efficace des renseignements personnels de leur création à leur suppression. Voici quelques références:
- OneTrust: Une plateforme de gestion de la confidentialité qui offre des solutions pour la cartographie des données, le chiffrement, le contrôle d’accès et la journalisation
- TrustArc: Une autre plateforme populaire qui aide les entreprises à gérer, partager et protéger les données personnelles
2. Un Système de gestion des consentements pour recueillir, gérer et documenter les consentements des individus quant à l’utilisation de leurs renseignements personnels. Ce type d’outil facilite également la révocation du consentement et assure une transparence accrue dans la gestion des données.
- Consent Manager est une solution en ce sens.
3. Des portails sécurisés où les individus peuvent accéder à leurs données, demander des corrections ou exercer leur droit à l’oubli (par exemple avec Salesforce Customer 360).
⚠️ Si vous souhaitez en savoir plus sur les outils de la loi 25, nous avons un article dédié! ⚠️
Nous vous suggérons de:
- Évaluer tous les cookies que vous collectez et les catégoriser (essentiels, performance, personnalisation, publicitaire)
- Installer une bannière de cookies permettant d’aviser un utilisateur que des cookies sont collectés. Il/Elle pourra ainsi accepter les cookies de la catégorie souhaitée, et aucune donnée ne devra être collectée avant cela.
- Consigner le consentement des utilisateurs dans un registre numérique, et établissez une durée de conservation maximale de tout renseignement personnel
En d’autres termes, réfléchissez à votre politique de droit à l’oubli. Vous devez mettre à disposition des moyens pour que les utilisateurs puisse demander la suppression de leurs informations personnelles, par exemple en mettant en place un formulaire sur votre site web.
Un dernier conseil pour la route?
Gardez un œil attentif sur qui détient quelles informations, en interne comme à l’externe! Pour cela, révisez de façon régulière les accès octroyés à chacun et assurez-vous qu’ils soient bien légitimes. Veillez à retirer tout accès aux anciens employés ou prestataires. Utiliser un gestionnaire de mot de passe comme LastPass peut vous aider en ce sens!
En résumé
La conformité à la Loi 25 nécessite une approche globale, combinant à la fois des outils technologiques adaptés, des formations continues et une vigilance constante. Adopter une telle démarche permet non seulement de respecter la réglementation, mais aussi de renforcer la confiance de vos clients et partenaires.
Si vous vous sentez encore perdus dans tout cela, notre agence spécialisée en loi 25 vous accompagne avec plaisir!
