Vous avez un site internet et pensez que la loi 25 ne vous concerne pas?
Détrompez-vous. La Loi 25 au Québec est devenue le gardien intransigeant de nos données numériques. Ignorer ces nouvelles obligations pourrait vous coûter une fortune.
Et en tant que centre de formation en marketing digital, nous ne pouvions pas vous laisser affronter seul ce changement.
On vous a donc préparé un résumé de ce que vous devez savoir sur la loi 25 avec les nouveautés à connaître en 2024! 🗓️
Prêt à percer les secrets de la fameuse Loi 25, qui fait jaser davantage que la dernière saison d’OD?
Si vous souhaitez établir la feuille de route des étapes essentielles pour vous conformer à la loi 25, suivez notre formation loi 25 en ligne.
Vous aurez toutes les clés pour collecter des données de manière sécurisée en toute légalité 🔑.
Qu’est-ce que la Loi 25 et pourquoi est-elle cruciale?
La loi 25, adoptée au Québec en 2021, vise à renforcer la protection des informations personnelles des utilisateurs. Elle impose aux entreprises de faire preuve de transparence quant à la collecte, l’utilisation et la protection de ces données.
La Loi 25 est le rempart du Québec contre les abus numériques. Officiellement appelée « Loi sur la gouvernance des renseignements personnels », elle régule méticuleusement la manière dont les entreprises privées et les organismes publics collectent nos données personnelles.
Elle est le bouclier qui évite que vos informations personnelles soient divulguées à des individus mal intentionnés 🔒.
L’objectif de la loi 25? Éviter que vos informations personnelles soient divulguées à des individus mal intentionnés. Mais aussi enforcer la confiance des internautes québécois en matière de protection de leurs données.
La Commission d’Accès à l’Information: le gardien des données
La Commission d’accès à l’information du Québec (CAI) est un organisme public indépendant créé suite à la mise en application de la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Sa mission principale est de veiller à la transparence des institutions publiques et à la protection des renseignements personnels des citoyens.
La Commission d’Accès à l’Information du Québec est responsable de la mise en œuvre de la loi 25.
Elle s’assure, grâce à ces nouvelles dispositions législatives, que les entreprises respectent des critères stricts en matière de collecte de données.
Les principales responsabilités de la CAI incluent:
- Accès à l’information: La CAI traite les demandes d’accès à l’information et peut ordonner la divulgation de documents publics
- Protection des renseignements personnels: Elle s’assure que les organismes publics et privés respectent les lois sur la protection des renseignements personnels
- Enquêtes et sanctions: La CAI peut mener des enquêtes sur des plaintes concernant des violations de la vie privée et imposer des sanctions en cas de non-conformité
- Sensibilisation et éducation: Elle joue également un rôle éducatif en sensibilisant les citoyens et les organisations à l’importance de la protection des renseignements personnels et de la transparence
Pourquoi la loi 25 a-t-elle été créée?
La quantité de données récoltées sur le web ne cesse de grandir. Vous n’avez pas envie que tout le monde puisse avoir accès à:
- votre adresse de courrier électronique,
- numéro de cellulaire
- numéro d’assurance personnel
- taille de chaussures.
C’est la raison pour laquelle la Loi 25 a été créée: protéger vos renseignements personnels pour qu’ils restent secrètes 🔑
Qu’est-ce qu’un renseignement personnel pour la loi 25 au Québec?
Selon la loi 25 au Québec, un renseignement personnel est toute information qui concerne une personne physique et permet de l’identifier.
Qui doit respecter la loi 25?
La loi 25, c’est aussi pour les PME
Les PME doivent accorder une attention particulière à la Loi 25. Avec l’avancée de l’intelligence artificielle et la numérisation croissante des données, les mesures de sécurité doivent évoluer afin d’éviter les incidents de confidentialité.
Les petites et moyennes entreprises se doivent d’instaurer des dispositifs de sécurité pertinents comme des politiques de confidentialité.
L’objectif? Empêcher toute violation des informations des clients et assurer un niveau de confidentialité conforme à la loi.
Quelles sont les sanctions en cas de non-conformité à la loi 25?
Voici la liste des amendes qui pourraient retomber sur votre entreprise en cas de poursuites pénales si vous ne respectez pas la loi 25:
Type de Manquement | Personne Physique | Entreprises et Organismes Publics |
Mineur | $500 – $50,000 | $1,000 – $10M |
Modéré | $1,500 – $50,000 | $4,000 – $10M |
Grave | $3,000 – $50,000 | $8,000 – $10M |
Très Grave | $5,000 – $50,000 | $15,000 – $10M |
Le caractère répétitif de l’infraction ainsi que sa durée sera également pris en compte ⏳
Les obligations de la Loi 25: guide simplifié
La Loi 25 est entrée en vigueur progressivement. Certaines obligations sont déjà actives depuis septembre 2022 et d’autres qui le seront à partir de septembre 2024. Mais que devez-vous faire pour vous conformer?
Voici un aperçu simplifié:
- Désignation d’un responsable de la protection des renseignements personnels: Chaque compagnie est tenue de désigner un responsable dédié à la sécurisation des données tout au long du cycle de vie des renseignements personnels. Les informations pour le contacter devraient être disponibles facilement sur votre site web
- Gestion des incidents: En cas d’incident de confidentialité impliquant votre entreprise, vous devez réagir vite pour limiter les dégâts et prévenir l’autorité de régulation (Commission d’accès à l’information) ainsi que les personnes touchées
Les étapes à venir: soyez prêts!
Voici la liste de toutes les obligations du projet de loi 25 mise à jour pour 2024.
Dès septembre 2023
- Définissez une politique de gouvernance: Cette politique doit être claire, simple et accessible sur le site web de l’entreprise
- Évaluez les risques: Avant de partager des données hors Québec, une Évaluation des Facteurs Relatifs à la vie privée est nécessaire
- Obtenez le consentement préalable de vos visiteurs: Si vous utilisez des outils de collecte de données sur votre site internet comme Google Analytics, vous devez informer les utilisateurs et obtenir leur consentement explicite: par exemple via un bandeau de consement s’affichant lors de la connexion sur votre site internet
- Supprimez les informations personnelles: Une fois la finalité de la collecte atteinte, vous devrez procéder à la destruction des renseignement personnels ou leur anonymisation
À partir de septembre 2024
- Les citoyens doivent pouvoir demander l’accès à leurs renseignements personnels et corriger ces données si nécessaire. Votre site web doit donc être en mesure de donner accès à ces informations (de manière sécurisée)
- Pour vous conformer à la loi 25 en 2024, créez un portail utilisateur sécurisé. Ce portail permet à vos utilisateurs de consulter et gérer leurs données personnelles en toute sécurité. Il doit donner accès à des mesures d’authentification robustes
Pour tout savoir sur la protection des renseignements personnels, inscrivez-vous à notre prochaine formation loi 25
Les changements clés de la Loi 25: ce que vous devez retenir
Le régime de protection des renseignements personnels établi par la Loi 25 s’étend sur un large spectre. Elle englobe à la fois les organismes publiques et les organisations privées. Elle exige également des entreprises qu’elles tiennent un inventaire des renseignements personnels qu’elles détiennent.
En cas d’incident de confidentialité, elles doivent rapidement le signaler à la Commission d’Accès à l’Information du Québec et tenir à jour un registre des incidents.
Comment assurer la conformité de votre entreprise à la Loi 25?
Quel responsable pour la gestion de la conformité au sein de votre structure?
Selon la Loi 25, chaque entreprise doit désigner une personne responsable de la protection des renseignements personnels.
La personne chargée de cette fonction de responsable de la protection des renseignements personnels doit posséder une connaissance approfondie de la législation. Elle doit maîtriser les meilleures pratiques en matière de protection des données.
Il doit être capable de prendre des mesures raisonnables pour éviter la divulgation des renseignements personnels de ses visiteurs. Ses coordonnées doivent être accessibles sur le site web de l’entreprise.
Consentement explicite: la clé de la conformité
Le consentement doit être obtenu de manière claire, libre, éclairée et spécifique.
Les organisations doivent informer les individus des raisons précises de la collecte, de l’utilisation ou du partage de leurs données.
Évaluation des facteurs relatifs à la vie privée: un incontournable
L’Évaluation des Facteurs Relatifs à la Vie Privée (EFVP) est un élément clé de la Loi 25. Cette évaluation vous permet d’identifier, d’évaluer et de gérer les risques potentiels pour la vie privée associés à vos projets.
évaluation des facteurs relatifs à la vie privée
est divisée en trois étapes majeures:
- Préparation des lignes directrices: Avant de plonger dans l’EFVP, posez-vous les bonnes questions. Quel est l’objectif de votre projet? Quels sont les renseignements personnels impliqués?
- Analyse: Évaluez si vous respectez les obligations de protection des renseignements personnels. Identifiez et décrivez les risques pour la vie privée engendrés par votre projet et le délai de conservation des renseignements personnels
- Rédaction du rapport: Ce rapport doit détailler le processus d’EFVP, les risques identifiés, l’encadrement applicable pour les atténuer et les recommandations pour la suite
L’EFVP doit est adaptée à la sensibilité des renseignements concernés
Pour plus de détails, vous pouvez consulter le guide d’accompagnement de la Commission d’accès à l’information du Québec.
Pour aller plus loin
Formation de l’équipe: un maillon fort de la conformité
Pour assurer la conformité à la Loi 25, il est crucial de former votre équipe. Voici quelques étapes pour une formation efficace:
- Élaboration d’une présentation: Créez une présentation détaillée, utilisant des termes simples qui met en évidence les changements liés à la protection des renseignements personnels
- Sensibilisation de l’équipe: Sensibilisez votre équipe à l’importance de ces changements, aux principes clés de la Loi 25 et aux conséquences d’un non-respect comme la communication de renseignements personnels sans l’accord de vos visiteurs
- Politiques et pratiques: Assurez-vous que les politiques et pratiques de l’entreprise en matière de protection et destruction de renseignements personnels soient comprises, mises en œuvre et suivies
Outils technologiques: vos alliés dans la conformité
La technologie peut être votre meilleur allié dans la conformité à la Loi 25. Voici quelques outils:
- Système de Gestion des Renseignements Personnels (SGRP): Des plateformes comme OneTrust et TrustArc peuvent vous aider à gérer efficacement les données personnelles
- Système de gestion des consentements: Des outils comme Consent Manager vous permettent de gérer et documenter le consentement des individus
- Portails sécurisés: Des solutions comme Salesforce Customer 360 permettent aux individus de demander l’accès aux renseignements personnels, des corrections ou d’exercer leur droit à l’oubli
Conseils pratiques pour la conformité à la Loi 25
La conformité à la Loi 25 n’est pas une mince affaire. Ces quelques astuces peuvent vous aider à naviguer dans ce labyrinthe réglementaire.
- Gestion des cookies: Avant de collecter des données par un traitement automatisé via des cookies, assurez-vous d’obtenir le consentement explicite des utilisateurs. Utilisez une bannière de cookies informative avec des termes simples. Assurez vous de ne collecter que les renseignements nécessaires à vos analyses de données
- Droit à l’oubli: Mettez en place un formulaire sur votre site web permettant aux utilisateurs de demander la destruction des renseignements collectés
- Gestion des accès: Révisez régulièrement les accès accordés en interne et en externe. Utilisez un gestionnaire de mots de passe comme LastPass pour sécuriser les accès
- Politique de confidentialité: améliorez votre politique de confidentialité rédigée au fil du temps pour qu’elles restent conforme à la loi 25
Importance de la vigilance constante
Respecter la Loi 25 demande une attention de tous les instants. Cela signifie que votre équipe doit être formée en continu. Cela signifie aussi que votre cadre réglementaire de protection des renseignement personnels doit être souvent mis à jour.
Se conformer à la Loi 25 n’est pas uniquement un devoir juridique. C’est également une chance d’accroître la confiance auprès de vos clients. Une gestion des données sensibles efficace peut devenir un véritable avantage concurrentiel pour votre entreprise.
En résumé: La Loi 25, un incontournable pour les entreprises
La Loi 25 n’est pas seulement une affaire de juristes en matière sécurité des données. Elle concerne tous ceux qui, de près ou de loin, manipulent des renseignements à caractère confidentiel dans le cadre de leur activité professionnelle.
En tant que professionnel du marketing, vous ne pouvez plus vous permettre de l’ignorer.
Alors, êtes-vous prêt à prendre les mesures nécessaires pour assurer la protection des renseignements personnels de votre clientèle?
Sinon n’hésitez pas à vous inscrire à notre cours loi 25 en ligne 😉
Ce texte vous a-t-il éclairé sur la Loi 25 au Québec? Si vous avez des questions ou souhaitez en savoir plus, n’hésitez pas à lire le guide sur la loi 25 de Digitad ou à nous contacter.