Sommaire
- Qu’est-ce que la Loi 25?
- Pourquoi votre entreprise devraient-elle prêter attention à la Loi 25?
- Comment décrypter les obligations de la Loi 25?
- Quelle est la différence en la loi 25 et le RGPD?
- Comment rendre votre entreprise conforme à la Loi 25?
- Comment vous conformer à la loi 25 de façon optimale? 🚀
- Résumé de tout ce que vous devez savoir sur la loi 25
La loi 25 est intervenue comme la réponse du gouvernement du Québec à l’ère technologique.
72% des Québécois sont préoccupés par la protection de leurs données personnelles, selon une étude de l’Office de la protection du consommateur.
Alors certes, on a peut-être pas de 25ème coupe Stanley.
Mais on a la loi 25. 🔥
Son objectif? Promouvoir la transparence, la confidentialité, et offrir aux individus un contrôle accru sur leurs données personnelles.
Les experts de notre agence loi 25 vous montrent ici tout ce que vous devez savoir sur la loi 25 au Québec!
Nous allons explorer cette loi essentielle, de sa création à ses dernières nouveautés en 2024, tout en vous guidant vers une conformité sereine.
Prêt à naviguer dans les eaux (glaciales) de la protection des données au Québec avec nous?
Qu’est-ce que la Loi 25?
La loi 25 est une législation adoptée au Québec en 2021 pour renforcer la protection des informations personnelles des utilisateurs.
Elle oblige les entreprises à être transparentes sur la manière dont elles collectent, utilisent et protègent ces données. La loi 25 au Québec exige un consentement clair de l’utilisateur avant toute utilisation de ses informations et impose aux entreprises de notifier rapidement les utilisateurs en cas de fuite de données.
Définition en termes simples de la Loi 25
La Loi 25, c’est un peu comme le gardien vigilant de nos précieux secrets numériques. Elle est à nos données ce que le coffre-fort est à nos biens les plus précieux.
Cette loi québécoise, également connue sous le nom de loi sur la gouvernance des renseignements personnels, encadre méticuleusement comment les entreprises collectent, utilisent et partagent nos renseignements personnels.
Cette loi est là pour s’assurer que nos données ne se retrouvent pas entre de mauvaises mains ou utilisées à mauvais escient, garantissant ainsi la confiance des Québécois dans la gestion de leurs informations.
Sacré boulot, n’est-ce pas?
La Commission d’Accès à l’Information du Québec est désignée comme l’autorité veillant à la mise en œuvre de cette loi, assurant ainsi que les entreprises respectent des normes élevées en matière de protection des données.
Elle instaure un cadre juridique robuste, promouvant la transparence, la confidentialité et la sécurité des renseignements personnels.
Et pour ceux qui penseraient à jouer avec le feu, elle prévoit des sanctions et poursuites pénales en cas de non-respect de votre entreprise. ⛔
Quel était le besoin urgent de cette nouvelle législation?
La loi 25 a pour objectif de positionner le Québec à l’avant-garde de la protection des renseignements personnels, en réponse aux défis croissants posés par les nouvelles technologies en matière de sécurité des données personnelles.
Nos informations circulent aujourd’hui à la vitesse de la lumière.
Imaginez vos renseignements personnels (votre adresse postale, votre courriel, votre numéro d’assurance maladie…) affichés sur un écran géant à Times Square! Pas très rassurant, n’est-ce pas?
C’est là que la Loi 25 intervient.
Elle a été conçue pour répondre à ces préoccupations grandissantes liées à la protection des renseignements personnels dans notre ère technologique.
Cette nouvelle loi impose aux organismes publics et aux entreprises privées de
- Mettre en place des politiques de confidentialité claires
- Mettre à jour leur inventaire des renseignements
Pourquoi votre entreprise devraient-elle prêter attention à la Loi 25?
Quels sont les enjeux majeurs de la Loi 25 pour votre entreprise?
Les entreprises devraient accorder une attention particulière à la Loi 25 sur la protection des renseignements personnels.
Avec l’avancée de l’Intelligence artificielle et la numérisation croissante des données, les incidents de confidentialité impliquant des renseignements personnels sont devenus de plus en plus courants. Les PME doivent donc mettre en place des mesures de protection adéquates pour éviter les incidents de confidentialité et se conformer aux exigences de la loi.
Les renseignements personnels peuvent être ceux de vos clients, mais aussi de vos fournisseurs, des visiteurs de votre site web, vos prospects.
Alors que vous soyez travailleur autonome, entreprise, coopérative ou encore organisme à but non lucratif, si vous collectez ou utilisez des renseignements personnels via votre activité, vous devez vous conformer à la loi 25!
Qu’arrive-t-il si vous ignorez cette loi?
La non-conformité à la Loi 25 peut entraîner des conséquences légales et financières significatives pour les entreprises.
Les entreprises qui ne respectent pas cette loi peuvent être soumises à des amendes considérables, qui peuvent atteindre des millions de dollars.
De plus, un incident de confidentialité peut entraîner la perte de la confiance des clients et causer des dommages importants à la réputation de l’entreprise.
Voici les sanctions financières auxquelles vous vous exposez en cas de non-conformité:
Type de Manquement | Personne physique | Entreprises et organismes publics |
Mineur/Administratif | $500 – $50,000 | $1,000 – $10M ou 2% du CA mondial* |
Modéré | $1,500 – $50,000 | $4,000 – $10M ou 2% du CA mondial* |
Grave | $3,000 – $50,000 | $8,000 – $10M ou 2% du CA mondial* |
Très Grave | $5,000 – $50,000 | $15,000 – $10M ou 2% du CA mondial* |
* Le montant est basé sur le chiffre d’affaires mondial de l’exercice financier précédent si ce montant est plus élevé.
La Commission d’Accès à l’Information du Québec (CAI) est chargée d’évaluer les facteurs liés à la protection des renseignements personnels, de traiter les plaintes et d’assurer le respect des droits d’accès des individus.
Elle évalue entre autres les types de manquements selon plusieurs critères parmi lesquels:
- Le caractère répétitif et la durée du manquement
- La sensibilité des renseignements concernés par le manquement
- Le nombre de personnes concernées par le manquement
- Le risque de préjudice sérieux auquel ces personnes sont exposées
- Les mesures prises par la personne ou l’entreprise en défaut pour remédier au manquement ou en atténuer les conséquences
💡 La CAI a plusieurs fois réitéré qu’elle entendait adopter une attitude éducative pour commencer.
Si une entreprise est proactive dans sa mise en conformité de la Loi 25, les sanctions devraient être plus légères.
Comment décrypter les obligations de la Loi 25?
Pour comprendre les obligations qui découlent de la loi 25, il est essentiel de se familiariser avec les dispositions législatives et les exigences fixées par cette loi. 💡
Quand votre entreprise doit-elle commencer à se conformer?
L’entrée en vigueur de la Loi 25 est échelonnée sur plusieurs années. Certains articles sont déjà en vigueur depuis septembre 2022, tandis que d’autres dispositions seront applicables à partir de septembre 2024.
Cette approche progressive permet aux organisations de se conformer progressivement à ces nouvelles exigences.
Voici un aperçu simplifié des principales obligations relatives à la loi 25 pour les entreprises:
Depuis le 22 septembre 2022:
- Désignation d’un responsable: chaque entreprise doit désigner une personne chargée de la protection des renseignements personnels. Ses coordonnées doivent être accessibles, idéalement sur le site web de l’entreprise
- Gestion des incidents: en cas de fuite de données, l’entreprise doit prendre des mesures raisonnables pour minimiser les risques et informer la Commission ainsi que les personnes concernées. Un registre des incidents doit également être tenu
N’hésitez pas à télécharger notre exemple de registre des incidents de confidentialité des renseignements personnels si vous souhaitez vous en inspirer 😉.
En réalité, même si les entreprises et les organisations affichent une volonté de respecter la nouvelle législation, nombreuses rencontrent des retards dans son application à cause de sa complexité.
À partir du 22 septembre 2023:
Politique de gouvernance: Les entreprises doivent établir une politique claire sur la collecte des renseignements personnels et la rendre accessible sur leur site internet. Ce document doit être rédigé en termes simples et comprendre:
- Les coordonnées pour joindre une personne-ressource à l’interne
- Le type de renseignements collectés sur le site et à quelles fins ils le sont
- La durée de conservation de ces données et comment leur sécurité est assurée
Vous pouvez vous aider d’un outil comme ce générateur de politique de confidentialité, même si cela ne remplace pas l’autorité et la fiabilité d’un juriste ou spécialiste légal!
Évaluation des risques: avant de communiquer des renseignements personnels hors Québec, une évaluation des facteurs relatifs à la vie privée est nécessaire.
Consentement et transparence: de nouvelles règles sur le consentement à la collecte de données sont mises en place.
- Si vous utilisez Google Analytics ou un pixel Facebook, il vous faut à tout prix aviser les utilisateurs de votre site web qu’ils consentent à donner leurs informations. Tant qu’ils n’ont pas fait leurs choix concernant ce consentement, vous ne devriez donc pas collecter ces données
- Si un utilisateur fait une demande pour retirer son consentement, vous devez supprimer ses informations personnelles dans un délai de 30 jours
Destruction des renseignements: une fois la finalité de la collecte de données atteinte, les entreprises doivent détruire ou anonymiser ces données.
Le délai de conservation des renseignements personnels devra être défini au préalable par l’entreprise.
💡 L’anonymisation d’un renseignement personnel signifie que les informations sont modifiées de manière à ce qu’il soit impossible de savoir à qui elles appartiennent. En d’autres termes, même si quelqu’un essaie vraiment de découvrir à qui appartiennent ces informations, il ne pourra pas y parvenir. Cela garantit que la personne à qui appartiennent les informations reste complètement anonyme.
À partir du 22 septembre 2024 (et c’est là qu’il faut être attentif!):
- Portabilité des renseignements personnels: les citoyens peuvent demander la communication de leurs renseignements personnels, ainsi que la possibilité d’effectuer des corrections sur ces données.
Les droits d’accès et de modification de leurs données personnelles est un enjeu pour les propriétaires de sites web car la communication de renseignements personnels devra se faire de manière sécurisée. Il faudra aussi que les sites web aient accès aux renseignements personnels.
Consultez ici notre checklist de conformité à la loi 25 pour voir si vous êtes conformes ⬇️
Quels sont les changements clés à connaître?
Pour récapituler, la loi 25 introduit plusieurs changements clés qui auront un impact considérable sur les entreprises de toutes tailles:
- Loi 25 élargit le champ d’application de la protection des renseignements personnels en incluant les organismes publics et les entreprises privées. Cela signifie que toutes les organisations devront respecter les dispositions législatives concernant la collecte, l’utilisation, la communication et la destruction de renseignements personnels
- La loi exige des entreprises qu’elles tiennent un inventaire des renseignements personnels qu’elles détiennent en évaluant les facteurs relatifs à la confidentialité
- Les organisations doivent également mettre à jour leur politique de confidentialité et s’assurer que leur gouvernance des renseignements est solide
- En cas d’incident de confidentialité impliquant une perte, un accès non autorisé ou une divulgation des renseignements personnels, les entreprises devront rapidement signaler cet incident à la Commission d’accès à l’information du Québec. Elles devront également mettre en place des mesures pour prévenir de tels incidents à l’avenir
Quelle est la différence en la loi 25 et le RGPD?
La loi 25 au Québec et le Règlement Général sur la Protection des Données (RGPD) en Europe ont le même objectif, à savoir la protection des renseignements personnels, mais il existe quelques différences entre les deux.
Regardons cela de plus près 👀.
Aspect | Loi 25 | RGPD |
---|---|---|
Lieu d’application | S’applique uniquement au Québec. | S’applique à tous les pays membres de l’Union Européene et à toute organisation qui traite les données des résidents de l’UE, peu importe son emplacement. |
Sanctions | Prévoit des sanctions financières pour non-conformité. | Amendes pouvant atteindre jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires mondial, en cas de violation. |
Obligations des entreprises | Introduction de nouvelles obligations, comme la désignation d’un responsable de la protection des renseignements personnels. | Obligations très strictes incluant la nécessité de mesures de protection adaptées et la tenue de registres détaillés des activités de traitement des données. |
Consentement et droits des individus | Rend les règles de consentement plus strictes et augmente les droits des individus (accès, correction, suppression des données). | Insiste sur un consentement clair et bien informé pour l’utilisation des données; droits étendus, incluant le droit d’être oublié, de limiter l’utilisation des données, et de s’opposer à leur utilisation. |
Comment rendre votre entreprise conforme à la Loi 25?
Qui devrait être en charge de la conformité au sein de votre entreprise?
Selon la Loi 25 sur la protection des renseignements personnels, chaque entreprise est tenue de désigner une personne responsable de la protection des renseignements personnels.
Cette personne devrait être en charge de veiller à la conformité de l’entreprise en prenant les mesures nécessaires pour se mettre à jour avec les dispositions législatives et réglementaires en matière de protection des renseignements personnels.
Il est important que cette personne ait une connaissance approfondie de la loi et des pratiques recommandées en matière de protection des renseignements personnels. Elle devrait être en mesure d’élaborer et de mettre en œuvre des politiques et des procédures appropriées pour garantir la confidentialité des renseignements personnels collectés et traités par l’entreprise.
De plus, la Loi 25 prévoit que le titre et les coordonnées de la personne responsable de la protection des renseignements personnels doivent être publiés sur le site web de l’entreprise.
Cela permet aux individus de communiquer directement avec la personne responsable en cas de questions ou de préoccupations concernant leurs renseignements personnels.
S’assurer que le consentement est correctement obtenu
Selon la loi 25, le consentement valide de la collecte de renseignement personnel doit être obtenu de manière claire, libre, éclairée et spécifique.
Les organisations sont tenues d’informer les individus des fins précises pour lesquelles leurs renseignements personnels sont collectés, utilisés ou communiqués.
Comment faire? À travers une politique de confidentialité clairement accessible, qui explique:
- Les fins de la collecte de données
- L’utilisation prévue des renseignements
- Les mesures de sécurité mises en place pour protéger ces renseignements.
Pour cela la première étape est tout simplement de..lister tous les renseignements personnels que vous pouvez collecter!
⚠️ Attention, il y a certaines exceptions où le consentement explicite n’est pas nécessaire:
- Lorsque les renseignements personnels sont nécessaires à l’exécution d’un contrat (livraison d’un produit ou d’une prestation par exemple)
- Lorsque les renseignements personnels sont utilisés à des fins de recherche, d’étude ou de statistique et qu’ils sont rendus anonymes.
- Lorsque les renseignements personnels sont communiqués à un avocat ou à son équipe pour assurer la défense des droits d’une personne.
Qu’est-ce qu’une évaluation des facteurs relatifs à la vie privée et pourquoi est-elle cruciale?
Une évaluation des facteurs relatifs à la vie privée (EFVP) est cruciale dans le cadre de la Loi 25 au Québec, en particulier pour les petites et moyennes entreprises (PME).
Cette évaluation consiste à identifier, évaluer et gérer les risques potentiels pour la vie privée associés à un projet ou à une initiative. Elle vise à s’assurer que les renseignements personnels sont protégés conformément aux lois et réglementations en vigueur.
L’EFVP est cruciale car elle permet:
- De démontrer que votre organisation se préoccupe des enjeux de la vie privée
- D’assurer la mise en œuvre des stratégies et des moyens pour protéger les renseignements personnels
- D’informer les hautes autorités de votre organisation des résultats de l’EFVP, afin qu’elles puissent accepter les conclusions de votre analyse et cautionner les risques qui subsistent, malgré les moyens déployés pour les atténuer
Réaliser une EFVP comprend 6 étapes, que vous pouvez retrouvez en détail dans le guide d’accompagnement mis à jour en 2024 de la Commission d’accès à l’information du Québec.
Voici les lignes directrices:
Étapes | Description |
Étape 1: Déterminer si une évaluation est requise | Examiner la nécessité de l’EFVP en fonction de la nature du projet et des obligations légales. |
Étape 2: Définir votre projet et l’objet de l’évaluation | Clarifier les objectifs et le champ d’application du projet pour cibler l’évaluation. |
Étape 3: Préparer l’évaluation | Faire l’inventaire des renseignements personnels concernés, tracer leur parcours et déterminer l’ampleur de l’EFVP nécessaire. |
Étape 4: Évaluer les facteurs relatifs à la vie privée et adopter les stratégies appropriées | Évaluez si vous respectez les obligations de protection des renseignements personnels, repérez et décrivez les risques pour la vie privée engendrés par votre projet, évaluez l’impact de ces risques |
Étape 5: Rédiger un rapport | Ce rapport doit détailler le processus d’EFVP, les risques identifiés, les mesures prises pour les atténuer et les recommandations pour la suite |
Étape 6: Maintenir l’évaluation à jour | Réviser et mettre à jour l’EFVP en fonction de l’évolution du projet ou de l’environnement réglementaire. |
Dans certains cas, cette évaluation est obligatoire pour les organismes publics et les entreprises privées qui effectuent des traitements automatisés de renseignements personnels.
Cependant, même lorsque l’évaluation n’est pas obligatoire, il est fortement recommandé pour toutes les entreprises de réaliser cette évaluation afin de garantir la protection adéquate des données personnelles.
Comment vous conformer à la loi 25 de façon optimale? 🚀
Comment former votre équipe pour une meilleure conformité?
Pour assurer la conformité à la Loi 25 et aux nouvelles obligations légales concernant la protection des renseignements personnels, il est essentiel de former adéquatement votre équipe.
Voici les étapes à suivre pour former vos équipes efficacement:
- Élaborez une présentation détaillée mais simple qui met en évidence les changements liés à la protection des renseignements personnels dans votre entreprise
- Identifiez les rôles et les responsabilités de chaque membre du personnel tout au long du cycle de vie des données
- Sensibilisez votre équipe à l’importance de ces changements, aux principes clés de la Loi 25 et aux conséquences d’un non-respect
- Détaillez à l’équipe les politiques et pratiques de l’entreprise en matière de protection des renseignements personnels et assurez-vous qu’elles soient comprises, appliquées et suivies
- Identifiez les éventuelles lacunes dans les comportements des employés et ajustez votre communication interne en conséquence
- Tenez l’équipe informée des évolutions. Gardez votre équipe au courant des changements de la loi et des meilleures pratiques
En investissant dans une formation approfondie et continue, vous établirez une culture solide de protection des renseignements personnels au sein de votre organisation.
Si vous avez besoin d’aide pour mettre en place cette formation et pour vous conformer aux exigences légales, contactez-nous pour vous accompagner dans cette démarche!
Les astuces et outils technologiques qui peuvent vous aider
Les entreprises peuvent utiliser plusieurs outils technologiques pour se conformer aux exigences de la Loi 25 à l’égard des renseignements personnels.
En voici quelques exemples:
- Le Système de Gestion des Renseignements Personnels (SGRP). Opter pour un SGRP vous permet d’assurer une gestion efficace des renseignements personnels de leur création à leur suppression. Voici quelques références:
- OneTrust: Une plateforme de gestion de la confidentialité qui offre des solutions pour la cartographie des données, le chiffrement, le contrôle d’accès et la journalisation
- TrustArc: Une autre plateforme populaire qui aide les entreprises à gérer, partager et protéger les données personnelles
2. Un Système de gestion des consentements pour recueillir, gérer et documenter les consentements des individus quant à l’utilisation de leurs renseignements personnels. Ce type d’outil facilite également la révocation du consentement et assure une transparence accrue dans la gestion des données.
- Consent Manager est une solution en ce sens.
3. Des portails sécurisés où les individus peuvent accéder à leurs données, demander des corrections ou exercer leur droit à l’oubli (par exemple avec Salesforce Customer 360).
⚠️ Si vous souhaitez en savoir plus sur les outils de la loi 25, nous avons un article dédié!
Que se passe-t-il concernant la gestion des cookies sur votre site web?
Nous vous suggérons de:
- Évaluer tous les cookies que vous collectez et les catégoriser (essentiels, performance, personnalisation, publicitaire)
- Installer une bannière de cookies permettant d’aviser un utilisateur que des cookies sont collectés. Il/Elle pourra ainsi accepter les cookies de la catégorie souhaitée, et aucune donnée ne devra être collectée avant cela.
- Consigner le consentement des utilisateurs dans un registre numérique, et établissez une durée de conservation maximale de tout renseignement personnel
En d’autres termes, réfléchissez à votre politique de droit à l’oubli. À partir de septembre 2024, Vous devez mettre à disposition des moyens pour que les utilisateurs puissent demander la suppression de leurs informations personnelles, par exemple en mettant en place un formulaire sur votre site web.
Un dernier conseil pour la route?
Gardez un œil attentif sur qui détient quelles informations, en interne comme à l’externe! Pour cela, révisez de façon régulière les accès octroyés à chacun et assurez-vous qu’ils soient bien légitimes.
Veillez à retirer tout accès aux anciens employés ou prestataires.
Utiliser un gestionnaire de mot de passe comme LastPass peut vous aider en ce sens!
Résumé de tout ce que vous devez savoir sur la loi 25
La conformité à la Loi 25 au Québec sur la protection des renseignements personnels nécessite une approche globale, combinant à la fois des outils technologiques adaptés, des formations continues et une vigilance constante.
Adopter une telle démarche permet non seulement de respecter la réglementation, mais aussi de renforcer la confiance de vos clients et partenaires.
Si vous vous sentez encore perdus dans tout cela, notre agence spécialisée en loi 25 vous accompagne avec plaisir!
Vous pouvez aussi faire appel aux services de notre agence Axeptio si vous souhaitez mettre en place un bandeau de cookies sur le site internet de votre entreprise.