Comprendre la loi 25 et la mettre en place

Partagez cet article
Dans cet article
    Add a header to begin generating the table of contents

    La majeure partie des modifications apportées à la « loi 25 » initialement introduite en septembre 2022 ont pris effet le 22 septembre 2023. Que faut-il retenir et savoir? Difficile d’expliquer dans les moindres détails une loi aussi vaste, mais nous vous avons vulgarisé et condensé les renseignements importants dans cet article, pour vous rendre accessible l’information au maximum.

    La loi 25: définition et rappel des mesures déjà en place

    La Loi 25, également connue sous le nom de “Loi modernisant les dispositions législatives en matière de protection des renseignements personnels”, est une loi québécoise qui vise à renforcer la protection des données personnelles des citoyens. Elle s’inspire en partie du Règlement général sur la protection des données (RGPD) de l’Union Européenne et elle a des répercussions importantes sur la manière dont les entreprises doivent gérer et protéger les données personnelles de leurs clients, employés et partenaires. On sait que c’est beaucoup à encaisser, mais c’est une bonne chose pour le respect de la vie privée!

    La loi est entrée en vigueur l’an dernier avec notamment les mesures suivantes qui devraient déjà être en place dans votre entreprise:

    • nomination d’un responsable de la protection des renseignements personnels (RPRP)
    • tenue d’un registre des incidents de confidentialité
    • respect des règles pour la communication de données personnelles sans consentement.

    Cette année, davantage entre en vigueur (décrit ci-bas), et FYI : il est prévu une dernière mise à jour de cette loi en 2024, donc restez à l’affût!


    Qui est concerné par la loi 25?

    Réponse courte: tout le monde.

    Réponse moins courte: dès que vous avez une donnée personnelle en votre possession, vous êtes concerné par la loi 25.

    Une donnée personnelle peut être (on vous met ça en très concis sinon ce paragraphe sera interminable): un nom, un prénom, un identifiant, un numéro client, un numéro de téléphone mobile, un numéro de téléphone fixe, une donnée biométrique, soit des éléments concernant l’identité physique d’une personne mais aussi des éléments concernant l’identité physiologique, génétique, psychique, économique, culturelle. On reprend notre souffle. Cela peut aussi être un numéro d’assurance sociale, de carte d’identité, de passeport, une adresse, un abonnement à un magazine, l’adhésion à une association. Cela peut encore être l’âge, la localisation, les comportements d’achats, votre sexe, les goûts… et on va s’arrêter là.

    Bref, everything is a donnée personnelle.

    Dès que vous récoltez ou traitez une donnée personnelle d’une personne physique ou morale, vous rentrez dans le cadre de la loi 25 et vous devez respecter le règlement au risque de vous faire taper sur les doigts.


    Les mises à jour de la loi 25 en 2023: 4 points clés

    On sait bien qu’il n’est pas évident de comprendre tout ce charabia, alors on vous a selectionné les 4 mesures qui sont rentrées en vigueur le 22 septembre dernier, et qui nous paraissent être les plus importantes à retenir

    1 — La mise en place de règles et pratiques

    Vous devez mettre en place des règles et des pratiques qui agiront comme des instructions sur la manière de conserver et de supprimer les informations personnelles, sur les étapes à suivre et sur le processus à implémenter pour gérer les plaintes concernant la protection de ces données.

    2 — De nouvelles obligations de transparence

    Vous devez créer une politique de confidentialité sur la façon dont vous utilisez les données sensibles et la rendre publique. Celle-ci doit être accessible et facile à comprendre.

    3 — La notion de consentement

    Vous êtes tenus d’obtenir le consentement explicite et éclairé de quiconque avant d’enregistrer leurs données personnelles. Les personnes doivent aussi pouvoir révoquer ce consentement facilement.

    4 — Les mesures à prendre en cas de bris de confidentialité

    Il arrive qu’il y ait des erreurs dans les processus mis en place, et parce que les fuites de données et les hackers ça existe (!), vous devez établir une procédure pour gérer la situation lorsque les pratiques mises en place sont enfreintes et lorsque les “promesses” de préservation sécuritaire des données sont brisées.

    Pour une liste exhaustive des mesures à mettre en place, visitez le site de la Commission d’accès à l’information du Québec.


    Concrètement, comment êtes-vous impacté?

    Auprès de vos prestataires / collaborateurs / systèmes

    En tant que prestataire de services, nous avons accès à certaines de vos bases de données pour exercer notre travail, et donc à certaines données sensibles de vos clients ou employés. Cela sera sûrement le cas pour vos autres prestataires, aussi, nous vous recommandons de retirer tout accès octroyé à un ancien employé ou prestataire pour lequel votre relation professionnelle se termine.

    Recommandations

    • Utiliser des gestionnaires de mots de passes qui facilitent l’octroi, le retrait et la gestion des mots de passe (et qui, en passant, améliorent la sécurité).
    • Assurez-vous aussi de donner des accès spécifiques à chaque personne, plutôt que d’en partager un à plusieurs ou d’utiliser le vôtre.
    • Dresser une liste de qui à accès à quoi, personnes ou systèmes. Révisez la pertinence, faites du ménage, et assurez-vous de couvrir cette réalité dans la rédaction de votre politique de confidentialité.

    Auprès de vos clients et clients potentiels

    Il vous faudra aussi implémenter sur votre site web de nombreuses mesures pour vous conformer à cette fameuse Loi 25. Un visiteur passant sur votre site web laisse forcément sa trace dans les services d’analyse de données et dans les cookies 🍪 (témoins) du site . En mettant en place par exemple un “cookie bar” vous exposez à chaque visiteur ses droits et possibilités concernant ses données personnelles. Il peut dire oui en connaissance de cause, mais surtout, il peut dire non et ne pas être “tracké” sur votre site.


    La to-do list officielle

    Si vous avez réussi à lire l’article jusqu’au bout, on vous applaudis! 👏🏻

    Chez Alexem Studio, nous sommes là pour vous aider à mettre votre entreprise en conformité. Nous pouvons vous accompagner dans la mise en place des mesures pratiques de la Loi 25 en ce qui concerne votre site web, et probablement au delà (just ask!)

    Ce que VOUS devez faire

    1. Décidez qui sera identifié comme gestionnaire des renseignements personnels à l’interne
    2. Faites une liste complète des technologies et logiciels utilisés qui “contiennent” les renseignements de vos clients et prospects, afin que ce soit frais en tête pour rédiger votre politique de confidentialité
    3. Rédigez une première version de votre politique de confidentialité
    4. Rédigez une première version de votre politique de gestion des témoins (cookies)
    5. Rédigez vos phrases de collecte de consentement sur vos différents formulaires (infolettre, contact, demande de soumission, autre?)
    6. Envoyez toutes ces informations à Alexem Studio pour que nous puissions faire notre travail 😏

    Ce que NOUS pouvons faire pour vous

    1. Installer et paramétrer une extension qui gère le consentement: bannière de consentement, avertissement, politique de cookies, politique de confidentialité (nous utiliserons CookieYes en version gratuite)
    2. Ajouter une case de consentement sur tous les formulaires
    3. Réviser et ajouter une page de politique de confidentialité
    4. Réviser votre politique de gestion des cookies, et la compléter pour ajouter les témoins détectés/utilisés sur votre site
    5. Ajouter un formulaire de demande de suppression des données (à la fin de votre politique de confidentialité est l’endroit que nous suggérons)
      • Attention! Sur réception d’une demande de supression, vous devez supprimer les renseignements de tous vos systèmes, d’où la création de votre liste exhaustive. Nous pourrons nous assister, mais nous ne pouvons intervenir si nous ne connaissons pas les systèmes ou n’avons pas accès à ces derniers
    6. Afficher clairement qui est le responsable de la gestion des données
    7. Intégrer ces nouveaux liens et infos dans le footer (pied de page) de votre site

    Tarif fixe

    500 $ +tx pour site unilingue – achetez-le ici
    800$ +tx pour site bilingue – achetez-le ici

    Conclusion

    La mise en application de cette loi est l’occasion parfaite pour faire un gros nettoyage des données que vous avez collectées avec le temps, puis de les supprimer.

    Veuillez noter que nous n’intervenons pas sur les aspects légaux, ni d’organisation interne des entreprises.

    Laisser un commentaire