Vous avez un site internet et pensez que la loi 25 ne vous concerne pas?

Détrompez-vous. La Loi 25 au Québec est devenue le gardien intransigeant de nos données numériques. Ignorer ces nouvelles obligations pourrait vous coûter une fortune.

Et en tant que centre de formation en marketing digital, nous ne pouvions pas vous laisser affronter seul ce changement.

On vous a donc préparé un résumé de ce que vous devez savoir sur la loi 25 avec les nouveautés à connaître en 2024! 🗓️

Prêt à percer les secrets de la fameuse Loi 25, qui fait jaser davantage que la dernière saison d’OD?

Si vous souhaitez établir la feuille de route des étapes essentielles pour vous conformer à la loi 25, suivez notre formation loi 25 en ligne.

Vous aurez toutes les clés pour collecter des données de manière sécurisée en toute légalité 🔑.

 

Qu’est-ce que la Loi 25 et pourquoi est-elle cruciale?

La loi 25, adoptée au Québec en 2021, vise à renforcer la protection des informations personnelles des utilisateurs. Elle impose aux entreprises de faire preuve de transparence quant à la collecte, l’utilisation et la protection de ces données.

La Loi 25 est le rempart du Québec contre les abus numériques. Officiellement appelée « Loi sur la gouvernance des renseignements personnels », elle régule méticuleusement la manière dont les entreprises privées et les organismes publics collectent nos données personnelles.

Elle est le bouclier qui évite que vos informations personnelles soient divulguées à des individus mal intentionnés 🔒.

L’objectif de la loi 25? Éviter que vos informations personnelles soient divulguées à des individus mal intentionnés. Mais aussi enforcer la confiance des internautes québécois en matière de protection de leurs données.

Confiance donnees Personnelles Loi 25

 

La Commission d’Accès à l’Information: le gardien des données

Qu'est-ce que la Commission d'Accès à l'Information du Québec: autorité veillant à la mise en oeuvre de la loi 25, à la fois un tribunal administratif et un organisme de suiveillance, à l'origine des sanctions administratives suite au non-respect de la loi 25

La Commission d’accès à l’information du Québec (CAI) est un organisme public indépendant créé suite à la mise en application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Sa mission principale est de veiller à la transparence des institutions publiques et à la protection des renseignements personnels des citoyens.

La Commission d’Accès à l’Information du Québec est responsable de la mise en œuvre de la loi 25.

Elle s’assure, grâce à ces nouvelles dispositions législatives, que les entreprises respectent des critères stricts en matière de collecte de données.

Les principales responsabilités de la CAI incluent:

  1. Accès à l’information: La CAI traite les demandes d’accès à l’information et peut ordonner la divulgation de documents publics
  2. Protection des renseignements personnels: Elle s’assure que les organismes publics et privés respectent les lois sur la protection des renseignements personnels
  3. Enquêtes et sanctions: La CAI peut mener des enquêtes sur des plaintes concernant des violations de la vie privée et imposer des sanctions en cas de non-conformité
  4. Sensibilisation et éducation: Elle joue également un rôle éducatif en sensibilisant les citoyens et les organisations à l’importance de la protection des renseignements personnels et de la transparence

 

Pourquoi la loi 25 a-t-elle été créée?

La quantité de données récoltées sur le web ne cesse de grandir. Vous n’avez pas envie que tout le monde puisse avoir accès à:

  • votre adresse de courrier électronique,
  • numéro de cellulaire
  • numéro d’assurance personnel
  • taille de chaussures.

C’est la raison pour laquelle la Loi 25 a été créée: protéger vos renseignements personnels pour qu’ils restent secrètes 🔑

Qu’est-ce qu’un renseignement personnel pour la loi 25 au Québec?

Selon la loi 25 au Québec, un renseignement personnel est toute information qui concerne une personne physique et permet de l’identifier.

Renseignement personnels Loi 25, exemples de renseignements personnels: nom, numéro de téléphone, adresse courriel, mot de passe et adresse IP

 

Qui doit respecter la loi 25?

Qui est concerné par loi 25: travailleurs autonomes, organismes à but non lucratif, compagnies privées, associations, regroupements et coopératives

La loi 25, c’est aussi pour les PME

Les PME doivent accorder une attention particulière à la Loi 25. Avec l’avancée de l’intelligence artificielle et la numérisation croissante des données, les mesures de sécurité doivent évoluer afin d’éviter les incidents de confidentialité.

Les petites et moyennes entreprises se doivent d’instaurer des dispositifs de sécurité pertinents comme des politiques de confidentialité.  

L’objectif? Empêcher toute violation des informations des clients et assurer un niveau de confidentialité conforme à la loi.

 

Quelles sont les sanctions en cas de non-conformité à la loi 25?

Voici la liste des amendes qui pourraient retomber sur votre entreprise en cas de poursuites pénales si vous ne respectez pas la loi 25:

Type de ManquementPersonne PhysiqueEntreprises et Organismes Publics
Mineur$500 – $50,000$1,000 – $10M
Modéré$1,500 – $50,000$4,000 – $10M
Grave$3,000 – $50,000$8,000 – $10M
Très Grave$5,000 – $50,000$15,000 – $10M

 Le caractère répétitif de l’infraction ainsi que sa durée sera également pris en compte ⏳

Les obligations de la Loi 25: guide simplifié

La Loi 25 est entrée en vigueur progressivement. Certaines obligations sont déjà actives depuis septembre 2022 et d’autres qui le seront à partir de septembre 2024. Mais que devez-vous faire pour vous conformer?

Voici un aperçu simplifié:

  1. Désignation d’un responsable de la protection des renseignements personnels: Chaque compagnie est tenue de désigner un responsable dédié à la sécurisation des données tout au long du cycle de vie des renseignements personnels. Les informations pour le contacter devraient être disponibles facilement sur votre site web
  2. Gestion des incidents: En cas d’incident de confidentialité impliquant votre entreprise, vous devez réagir vite pour limiter les dégâts et prévenir l’autorité de régulation (Commission d’accès à l’information) ainsi que les personnes touchées

 

Les étapes à venir: soyez prêts!

Voici la liste de toutes les obligations du projet de loi 25 mise à jour pour 2024.

Checklist Loi 25

Dès septembre 2023

  1. Définissez une politique de gouvernance: Cette politique doit être claire, simple et accessible sur le site web de l’entreprise
  2. Évaluez les risques: Avant de partager des données hors Québec, une Évaluation des Facteurs Relatifs à la vie privée est nécessaire
  3. Obtenez le consentement préalable de vos visiteurs: Si vous utilisez des outils de collecte de données sur votre site internet comme Google Analytics, vous devez informer les utilisateurs et obtenir leur consentement explicite: par exemple via un bandeau de consement s’affichant lors de la connexion sur votre site internet
  4. Supprimez les informations personnelles: Une fois la finalité de la collecte atteinte, vous devrez procéder à la destruction des renseignement personnels ou leur anonymisation

À partir de septembre 2024

  1. Les citoyens doivent pouvoir demander l’accès à leurs renseignements personnels et corriger ces données si nécessaire. Votre site web doit donc être en mesure de donner accès à ces informations (de manière sécurisée)
  2. Pour vous conformer à la loi 25 en 2024, créez un portail utilisateur sécurisé. Ce portail permet à vos utilisateurs de consulter et gérer leurs données personnelles en toute sécurité. Il doit donner accès à des mesures d’authentification robustes

Pour tout savoir sur la protection des renseignements personnels, inscrivez-vous à notre prochaine formation loi 25

Les changements clés de la Loi 25: ce que vous devez retenir

Le régime de protection des renseignements personnels établi par la Loi 25 s’étend sur un large spectre. Elle englobe à la fois les organismes publiques et les organisations privées. Elle exige également des entreprises qu’elles tiennent un inventaire des renseignements personnels qu’elles détiennent.

En cas d’incident de confidentialité, elles doivent rapidement le signaler à la Commission d’Accès à l’Information du Québec et tenir à jour un registre des incidents.

Dates importantes loi 25

 

Comment assurer la conformité de votre entreprise à la Loi 25?

Quel responsable pour la gestion de la conformité au sein de votre structure?

Selon la Loi 25, chaque entreprise doit désigner une personne responsable de la protection des renseignements personnels.

La personne chargée de cette fonction de responsable de la protection des renseignements personnels doit posséder une connaissance approfondie de la législation. Elle doit maîtriser les meilleures pratiques en matière de protection des données.

Il doit être capable de prendre des mesures raisonnables pour éviter la divulgation des renseignements personnels de ses visiteurs. Ses coordonnées doivent être accessibles sur le site web de l’entreprise.

 

Consentement explicite: la clé de la conformité

Le consentement doit être obtenu de manière claire, libre, éclairée et spécifique.

Les organisations doivent informer les individus des raisons précises de la collecte, de l’utilisation ou du partage de leurs données.

consentement Loi 25

 

Évaluation des facteurs relatifs à la vie privée: un incontournable

L’Évaluation des Facteurs Relatifs à la Vie Privée (EFVP) est un élément clé de la Loi 25. Cette évaluation vous permet d’identifier, d’évaluer et de gérer les risques potentiels pour la vie privée associés à vos projets.

évaluation des facteurs relatifs à la vie privée

est divisée en trois étapes majeures:

  • Préparation des lignes directricesAvant de plonger dans l’EFVP, posez-vous les bonnes questions. Quel est l’objectif de votre projet? Quels sont les renseignements personnels impliqués?
  • Analyse: Évaluez si vous respectez les obligations de protection des renseignements personnels. Identifiez et décrivez les risques pour la vie privée engendrés par votre projet et le délai de conservation des renseignements personnels
  • Rédaction du rapport: Ce rapport doit détailler le processus d’EFVP, les risques identifiés, l’encadrement applicable pour les atténuer et les recommandations pour la suite

 L’EFVP doit est adaptée à la sensibilité des renseignements concernés

Pour plus de détails, vous pouvez consulter le guide d’accompagnement de la Commission d’accès à l’information du Québec.

 

Pour aller plus loin

Formation de l’équipe: un maillon fort de la conformité

Pour assurer la conformité à la Loi 25, il est crucial de former votre équipe. Voici quelques étapes pour une formation efficace:

  1. Élaboration d’une présentation: Créez une présentation détaillée, utilisant des termes simples qui met en évidence les changements liés à la protection des renseignements personnels
  2. Sensibilisation de l’équipe: Sensibilisez votre équipe à l’importance de ces changements, aux principes clés de la Loi 25 et aux conséquences d’un non-respect comme la communication de renseignements personnels sans l’accord de vos visiteurs
  3. Politiques et pratiques: Assurez-vous que les politiques et pratiques de l’entreprise en matière de protection et destruction de renseignements personnels soient comprises, mises en œuvre et suivies
Formation Équipe Loi 25

Outils technologiques: vos alliés dans la conformité

La technologie peut être votre meilleur allié dans la conformité à la Loi 25. Voici quelques outils:

  • Système de Gestion des Renseignements Personnels (SGRP): Des plateformes comme OneTrust et TrustArc peuvent vous aider à gérer efficacement les données personnelles
  • Système de gestion des consentements: Des outils comme Consent Manager vous permettent de gérer et documenter le consentement des individus
  • Portails sécurisés: Des solutions comme Salesforce Customer 360 permettent aux individus de demander l’accès aux renseignements personnels, des corrections ou d’exercer leur droit à l’oubli
Outils Loi 25

 

Conseils pratiques pour la conformité à la Loi 25

La conformité à la Loi 25 n’est pas une mince affaire. Ces quelques astuces peuvent vous aider à naviguer dans ce labyrinthe réglementaire.

  • Gestion des cookies: Avant de collecter des données par un traitement automatisé via des cookies, assurez-vous d’obtenir le consentement explicite des utilisateurs. Utilisez une bannière de cookies informative avec des termes simples. Assurez vous de ne collecter que les renseignements nécessaires à vos analyses de données
  • Droit à l’oubli: Mettez en place un formulaire sur votre site web permettant aux utilisateurs de demander la destruction des renseignements collectés
  • Gestion des accès: Révisez régulièrement les accès accordés en interne et en externe. Utilisez un gestionnaire de mots de passe comme LastPass pour sécuriser les accès
  • Politique de confidentialité: améliorez votre politique de confidentialité rédigée au fil du temps pour qu’elles restent conforme à la loi 25

 

Importance de la vigilance constante

Respecter la Loi 25 demande une attention de tous les instants. Cela signifie que votre équipe doit être formée en continu. Cela signifie aussi que votre cadre réglementaire de protection des renseignement personnels doit être souvent mis à jour.

Se conformer à la Loi 25 n’est pas uniquement un devoir juridique. C’est également une chance d’accroître la confiance auprès de vos clients. Une gestion des données sensibles efficace peut devenir un véritable avantage concurrentiel pour votre entreprise.

En résumé: La Loi 25, un incontournable pour les entreprises

La Loi 25 n’est pas seulement une affaire de juristes en matière sécurité des données. Elle concerne tous ceux qui, de près ou de loin, manipulent des renseignements à caractère confidentiel dans le cadre de leur activité professionnelle.

En tant que professionnel du marketing, vous ne pouvez plus vous permettre de l’ignorer.

Alors, êtes-vous prêt à prendre les mesures nécessaires pour assurer la protection des renseignements personnels de votre clientèle? 

Sinon n’hésitez pas à vous inscrire à notre cours loi 25 en ligne 😉

Résumé Loi 25

Ce texte vous a-t-il éclairé sur la Loi 25 au Québec? Si vous avez des questions ou souhaitez en savoir plus, n’hésitez pas à lire le guide sur la loi 25 de Digitad ou à nous contacter.

FAQ loi 25

La loi 25 au Québec renforce la protection des données personnelles des citoyens. Elle impose aux entreprises et organismes publics de nouvelles règles pour mieux sécuriser et gérer les informations personnelles qu’elles détiennent.

Oui, la loi 25 s’applique aussi aux Organismes à But Non Lucratif (OBNL)

En septembre 2024 sera implémenté le droit à la portabilité des données. Cela signifie que les visiteurs d’un site web ou d’une application auront le droit de demander l’accès ou la modification de leurs données personnelles qui ont été collectées.

Un incident de confidentialité se définit par tout accès non autorisé à des renseignements personnels. Il inclut également toute utilisation ou communication non autorisée de ces informations. Enfin, la perte ou toute autre atteinte à la protection des données personnelles constitue aussi un incident de confidentialité.

Non, la loi 25 est une législation qui s’applique au Québec et non à toutes les provinces du Canada.

Pour connaitre toutes les obligations relative à la loi 25, inscrivez-vous à notre prochaine formation Loi 25 😉

Selon la loi 25 au Québec, un renseignement personnel est toute information relative à une personne physique qui permet de l’identifier (adresse, courriel, numéro de carte bancaire ..).

Pour apprendre à se conformer à la loi 25, n’hésitez pas à vous inscrire à notre formation sur la Loi 25.

Vous pouvez faire face à des poursuites pénales en cas de non-respect de la loi 25

Les sanctions administratives en cas de non-respect de la loi 25 sont les suivantes vont de 500 à 10 millions de dollars.

Ce cours pourrait vous intéresser

Clément Santa Maria

Co-fondateur de La Fusée, Clément Santa Maria évolue dans le monde du marketing numérique depuis plus de 12 ans. Ayant dirigé des stratégies publicitaires pour d’importantes marques, il est aussi à la tête du pôle Médias Numériques chez Digitad. Avec La Fusée, il a contribué à la formation de centaines de professionnels à travers des formations et des webinaires

Attention

Votre panier comporte des formations dans une devise différente de celle-ci.
En continuant, les formations précédentes seront supprimées.

Êtes vous sûr de vouloir continuer?