Facebook-f Instagram Linkedin
Nouveaux tarifs et offre solidaire →
Main Menu

Comprendre la loi 25 et la mettre en place

Image de Louise Coppéré
Louise Coppéré
[read_meter]
Partagez cet article
Tout savoir sur la loi 25

La majeure partie des modifications apportées à la « loi 25 » initialement introduite en septembre 2022 ont pris effet le 22 septembre 2023. Que faut-il retenir et savoir? Difficile d’expliquer dans les moindres détails une loi aussi vaste, mais nous vous avons vulgarisé et condensé les renseignements importants dans cet article, pour vous rendre accessible l’information au maximum.

Retrouvez notre tout nouveau guide incontournable pour la mise en conformité à la loi 25 totalement GRATUIT! Avec ce guide vous aurez toutes les clés pour comprendre tout l’essentiel de cette loi.

La loi 25: définition et rappel des mesures déjà en place

La Loi 25, également connue sous le nom de “Loi modernisant les dispositions législatives en matière de protection des renseignements personnels”, est une loi québécoise qui vise à renforcer la protection des données personnelles des citoyens. Elle s’inspire en partie du Règlement général sur la protection des données (RGPD) de l’Union Européenne et elle a des répercussions importantes sur la manière dont les entreprises doivent gérer et protéger les données personnelles de leurs clients, employés et partenaires. On sait que c’est beaucoup à encaisser, mais c’est une bonne chose pour le respect de la vie privée!

La loi est entrée en vigueur l’an dernier avec notamment les mesures suivantes qui devraient déjà être en place dans votre entreprise:

  • nomination d’un responsable de la protection des renseignements personnels (RPRP)
  • tenue d’un registre des incidents de confidentialité
  • respect des règles pour la communication de données personnelles sans consentement.

Cette année, davantage entre en vigueur (décrit ci-bas), et FYI : il est prévu une dernière mise à jour de cette loi en 2024, donc restez à l’affût!

Qui est concerné par la loi 25?

Réponse courte: tout le monde.

Réponse moins courte: dès que vous avez une donnée personnelle en votre possession, vous êtes concerné par la loi 25.

Une donnée personnelle peut être (on vous met ça en très concis sinon ce paragraphe sera interminable): un nom, un prénom, un identifiant, un numéro client, un numéro de téléphone mobile, un numéro de téléphone fixe, une donnée biométrique, soit des éléments concernant l’identité physique d’une personne mais aussi des éléments concernant l’identité physiologique, génétique, psychique, économique, culturelle. On reprend notre souffle. Cela peut aussi être un numéro d’assurance sociale, de carte d’identité, de passeport, une adresse, un abonnement à un magazine, l’adhésion à une association. Cela peut encore être l’âge, la localisation, les comportements d’achats, votre sexe, les goûts… et on va s’arrêter là.

Bref, everything is a donnée personnelle.

Dès que vous récoltez ou traitez une donnée personnelle d’une personne physique ou morale, vous rentrez dans le cadre de la loi 25 et vous devez respecter le règlement au risque de vous faire taper sur les doigts.

Les mises à jour de la loi 25 en 2023: 4 points clés

On sait bien qu’il n’est pas évident de comprendre tout ce charabia, alors on vous a selectionné les 4 mesures qui sont rentrées en vigueur le 22 septembre dernier, et qui nous paraissent être les plus importantes à retenir

1 — La mise en place de règles et pratiques

Vous devez mettre en place des règles et des pratiques qui agiront comme des instructions sur la manière de conserver et de supprimer les informations personnelles, sur les étapes à suivre et sur le processus à implémenter pour gérer les plaintes concernant la protection de ces données.

2 — De nouvelles obligations de transparence

Vous devez créer une politique de confidentialité sur la façon dont vous utilisez les données sensibles et la rendre publique. Celle-ci doit être accessible et facile à comprendre.

3 — La notion de consentement

Vous êtes tenus d’obtenir le consentement explicite et éclairé de quiconque avant d’enregistrer leurs données personnelles. Les personnes doivent aussi pouvoir révoquer ce consentement facilement.

4 — Les mesures à prendre en cas de bris de confidentialité

Il arrive qu’il y ait des erreurs dans les processus mis en place, et parce que les fuites de données et les hackers ça existe (!), vous devez établir une procédure pour gérer la situation lorsque les pratiques mises en place sont enfreintes et lorsque les “promesses” de préservation sécuritaire des données sont brisées.

Pour une liste exhaustive des mesures à mettre en place, visitez le site de la Commission d’accès à l’information du Québec.

Concrètement, comment êtes-vous impacté?

Auprès de vos prestataires / collaborateurs / systèmes

En tant que prestataire de services, nous avons accès à certaines de vos bases de données pour exercer notre travail, et donc à certaines données sensibles de vos clients ou employés. Cela sera sûrement le cas pour vos autres prestataires, aussi, nous vous recommandons de retirer tout accès octroyé à un ancien employé ou prestataire pour lequel votre relation professionnelle se termine.

Recommandations

  • Utiliser des gestionnaires de mots de passes qui facilitent l’octroi, le retrait et la gestion des mots de passe (et qui, en passant, améliorent la sécurité).
  • Assurez-vous aussi de donner des accès spécifiques à chaque personne, plutôt que d’en partager un à plusieurs ou d’utiliser le vôtre.
  • Dresser une liste de qui à accès à quoi, personnes ou systèmes. Révisez la pertinence, faites du ménage, et assurez-vous de couvrir cette réalité dans la rédaction de votre politique de confidentialité.

Auprès de vos clients et clients potentiels

Il vous faudra aussi implémenter sur votre site web de nombreuses mesures pour vous conformer à cette fameuse Loi 25. Un visiteur passant sur votre site web laisse forcément sa trace dans les services d’analyse de données et dans les cookies 🍪 (témoins) du site . En mettant en place par exemple un “cookie bar” vous exposez à chaque visiteur ses droits et possibilités concernant ses données personnelles. Il peut dire oui en connaissance de cause, mais surtout, il peut dire non et ne pas être “tracké” sur votre site.

La to-do list officielle

Si vous avez réussi à lire l’article jusqu’au bout, on vous applaudis! 👏🏻

Chez Alexem Studio, nous sommes là pour vous aider à mettre votre entreprise en conformité. Nous pouvons vous accompagner dans la mise en place des mesures pratiques de la Loi 25 en ce qui concerne votre site web, et probablement au delà (just ask!)

Ce que VOUS devez faire

  1. Décidez qui sera identifié comme gestionnaire des renseignements personnels à l’interne
  2. Faites une liste complète des technologies et logiciels utilisés qui “contiennent” les renseignements de vos clients et prospects, afin que ce soit frais en tête pour rédiger votre politique de confidentialité
  3. Rédigez une première version de votre politique de confidentialité
  4. Rédigez une première version de votre politique de gestion des témoins (cookies)
  5. Rédigez vos phrases de collecte de consentement sur vos différents formulaires (infolettre, contact, demande de soumission, autre?)
  6. Envoyez toutes ces informations à Alexem Studio pour que nous puissions faire notre travail 😏

Ce que NOUS pouvons faire pour vous

  1. Installer et paramétrer une extension qui gère le consentement: bannière de consentement, avertissement, politique de cookies, politique de confidentialité (nous utiliserons CookieYes en version gratuite)
  2. Ajouter une case de consentement sur tous les formulaires
  3. Réviser et ajouter une page de politique de confidentialité
  4. Réviser votre politique de gestion des cookies, et la compléter pour ajouter les témoins détectés/utilisés sur votre site
  5. Ajouter un formulaire de demande de suppression des données (à la fin de votre politique de confidentialité est l’endroit que nous suggérons)
    • Attention! Sur réception d’une demande de supression, vous devez supprimer les renseignements de tous vos systèmes, d’où la création de votre liste exhaustive. Nous pourrons nous assister, mais nous ne pouvons intervenir si nous ne connaissons pas les systèmes ou n’avons pas accès à ces derniers
  6. Afficher clairement qui est le responsable de la gestion des données
  7. Intégrer ces nouveaux liens et infos dans le footer (pied de page) de votre site

Tarif fixe

500 $ +tx pour site unilingue – achetez-le ici
800$ +tx pour site bilingue – achetez-le ici

Conclusion

La mise en application de cette loi est l’occasion parfaite pour faire un gros nettoyage des données que vous avez collectées avec le temps, puis de les supprimer.

Veuillez noter que nous n’intervenons pas sur les aspects légaux, ni d’organisation interne des entreprises.

Tout savoir sur la loi 25
Dans cet article
    Add a header to begin generating the table of contents
    Scroll to Top

    Laisser un commentaire

    Conception de sites web et design d'outils marketing. Identité visuelle, image de marque, logos, visuels médias sociaux et beaucoup plus. Solutions créatives adaptées à vos besoins, pour tous les budgets.
    Nos clients sont partout!
    • Montréal
    • Rive-Sud de Montréal
    • Québec / Capitale-Nationale
    • Saguenay Lac-Saint-Jean
    Heures d'ouverture
    • Lundi au vendredi 8h30 - 5h30
    • Samedi & dimanche
    • URGENCES SEULEMENT
    © Alexem Studio 2024

    Foire aux questions

    Pour être admissible à l’offre solidaire, vous devez répondre à l’un des critères suivants :

    • Chiffre d’affaires annuel inférieur à 250 000 $ (preuve par états financiers abrégés ou déclaration d’un comptable).
    • Nombre d’employés inférieur ou égal à 3 (déclaration écrite ou formulaire interne signé).

    L’offre solidaire inclut une réduction de 20 % sur tous nos tarifs réguliers, applicable à la création de banques d’heures, plans d’heures et projets forfaitaires pour les clients admissibles.

    Les banques d’heures sont un volume fixe d’heures que vous achetez d’avance et utilisez à votre rythme selon vos besoins. Les plans d’heures, en revanche, répartissent un nombre d’heures sur une période déterminée (généralement un mois), avec un tarif avantageux et une planification régulière pour assurer notre disponibilité. Les deux options offrent flexibilité et priorité, mais les plans d’heures permettent une gestion plus continue de vos projets.

    Les banques et plans d’heures offrent :

    • Flexibilité : adaptez vos heures à vos besoins en cours d’année.
    • Tarifs avantageux : bénéficiez de notre meilleur taux horaire.
    • Priorité : notre disponibilité est assurée pour vos projets.

    Oui, les banques d’heures sont valables pendant un an à compter de la date d’achat. Assurez-vous d’utiliser vos heures dans ce délai.

    Les banques d’heures doivent être payées avant le début d’un projet ou de tout travail effectué. Cela garantit notre disponibilité et notre engagement envers vos projets.

    Non, nous ne produisons pas de soumissions pour les projets réalisés dans le cadre de banques ou de plans d’heures. Les soumissions sont réservées aux projets forfaitaires et suivent notre tarif standard.

    Les projets forfaitaires incluent un tarif fixe et un périmètre défini à l’avance. Ils conviennent pour des projets ponctuels ou à échéance unique, avec des coûts établis selon notre tarif standard.

    Nous sommes une équipe multidisciplinaire combinant expertise en design, conception web, UX, vidéo et plus encore. Travailler avec nous, c’est accéder à un éventail complet de services créatifs pour propulser vos projets.