Quoi faire avec la Loi 25?

Avez-vous entendu parler de cette nouvelle loi qui se pointe le bout du nez au Québec?

Si oui, tant mieux. J’imagine donc que vous venez valider vos connaissances ou bien chercher de l’aide. Il me fera plaisir d’approfondir le tout avec vous dans cet article.

Sinon, prenez quelques minutes pour lire ceci, ça vous sauvera du temps et probablement de l’argent! Préparez-vous à plonger dans le monde merveilleux de la législation avec nous. On va déchiffrer cette loi ensemble, en riant, en pleurant peut-être un peu, et l’on espère vous aider à comprendre ce que cette loi signifie pour vous et votre entreprise et les actions à entreprendre pour la suite. Alors, tout le monde s’attache, on part à la découverte de la Loi 25.

Ça vous importe peu et vous souhaitez juste qu’on vous aide avec ça? Remplissez le formulaire et on vous reviendra rapidement avec une offre de service.

Résumé de la loi 25

La Loi 25, c’est la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, un projet de loi au très long nom (qu’on vous épargne) et qu’on appelle plus communément le projet de Loi 25. Cette loi a pour but de protéger les renseignements personnels des Québécois en responsabilisant les entreprises qui collectent les données personnelles.

Qu’est-ce que la loi 25?

La Loi 25 est une nouvelle loi au Québec qui modernise les dispositions législatives concernant la protection des renseignements personnels dans le secteur privé. Cette loi vise à adapter les règles de protection des renseignements personnels pour mieux protéger les citoyens.

Qui est affecté par la loi 25?

Cette réforme est d’importance majeure, car elle touche chaque entreprise, chaque organisme public et chaque citoyen. Elle promet une protection accrue des renseignements personnels et de nouveaux droits pour les citoyens, ainsi qu’une gestion des renseignements personnels plus responsable et transparente par les organismes publics et les entreprises​. En tant que visiteurs, nous serons aussi affectés positivement par la Loi 25 puisque les sites web devront désormais nous demander un consentement clair pour chaque collecte de données effectuée sur le site, le tout dans des termes compréhensibles.

• Vous avez un site web multilingue?
• Vous avez une boutique en ligne?
• Vous avez un outil comme Google Analytics pour avoir des statistiques sur votre site web?
• Vous avez un pixel Facebook sur votre site web pour pouvoir recibler des visiteurs?
• Vous avez un CRM comme HubSpot et il est connecté à votre site web?

Vous vous reconnaissez dans un de ces éléments? Il y a 99% de chances que vous deviez ajuster votre site web d’ici le 22 septembre 2023.

Quand la loi 25 entrera-t-elle en vigueur?

Les modifications apportées par la Loi 25 entrent progressivement en vigueur sur une période de trois ans, jusqu’en 2024. La prochaine date à retenir est le 22 septembre 2023.

Pourquoi se conformer à la Loi 25?

Dans le cas où vous décideriez de ne pas prendre en considération les mesures du projet de loi 25, des sanctions financières pourraient vous être imposées:

• Pour les personnes physiques : de 500$ à 50 000$ en fonction de la gravité du manquement
• Pour les entreprises et organismes : de 1000$ à 10 000 000$ ou 2% du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé

Les principales obligations de la Loi 25

En plus de respecter les obligations actuelles en matière de protection des renseignements personnels, les entreprises doivent notamment :

1. Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’entreprise;
2. En cas d’incident de confidentialité, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice;
3. Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques;
4. Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée dans le cadre d’une transaction commerciale ou encore à des fins d’étude, de recherche ou de productions de statistiques.

Ce qu’il faut faire d’ici le 22 septembre 2023

En date du 22 septembre 2023, vous devrez avoir effectué les tâches ci-dessous. À noter que certaines de ces tâches étaient à effectuer pour le 22 septembre 2022, mais l’entrée en vigueur des pénalités se fera en septembre 2023.

Voici donc une loooooooongue liste des éléments importants à tenir compte. Je vous le dis à l’avance, c’est long, complexe et plate à lire, mais ne vous découragez pas, on vous parle de solutions un peu plus bas. Soyez même bien à l’aise de ne pas la lire et de passer à la section en dessous. 😉

1. Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié;
2. En cas d’incident de confidentialité impliquant un renseignement personnel :
   1. Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
   2. Aviser la Commission et la personne concernée si l’incident présente un risque de préjudice sérieux;
   3. Tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande;
3. Respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale;
4. Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
5. Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques;
6. Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
7. Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
8. Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
9. Respecter vos nouvelles obligations d’information et de transparence envers les citoyens;
10. Respecter les nouvelles règles d’utilisation des renseignements personnels;
11. Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
12. Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
13. Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli);
14. Respecter les nouvelles règles de communication des renseignements personnels :
    1. À l’extérieur du Québec;
    2. Sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise);
    3. Facilitant le processus de deuil.

Concrètement, que doit-on faire pour s’y conformer?

Chez TREIZE, on a préparé un package parfait pour vous aider dans l’application des différentes mesures à prendre. On s’occupe pour vous de tout ce qui touche à votre site web WordPress et on s’arrange pour bien vous outiller pour tout le reste. Ça vous intéresse? Remplissez ce court formulaire et on vous reviendra rapidement avec une offre de service complète!

Recevez une offre de service

Pour conclure, la Loi 25 arrive à grands pas et elle fera bouger des choses. Au final, ça fait peur, mais c’est pour le mieux des citoyens. La protection de nos renseignements personnels, c’est important.

Références

• Commission d’accès à l’information, «La modernisation des lois sur la protection des renseignements personnels au Québec», https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/
• Québec.ca, «Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois – Certaines dispositions entrent en vigueur aujourd’hui», https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212
• Commission d’accès à l’information du Québec, «Cadre général d’application des sanctions administratives pécuniaires», https://www.cai.gouv.qc.ca/documents/CAI_Cadre_application-SAP.pdf