Nous respectons votre vie privée.
Nous utilisons des cookies pour améliorer votre expérience de navigation, diffuser des publicités ou des contenus personnalisés et analyser notre trafic. En naviguant notre site, vous consentez à notre utilisation des cookies. Politique de confidentialité

Accepter

Comprendre la Loi 25 et l’appliquer avec l’aide d’un avocat

 «La Commission d’accès à l’information du Québec rappelle aux entreprises et aux organismes publics l’entrée en vigueur, aujourd’hui, de certaines dispositions de la loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée Loi 25. Cette réforme modernise les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel.»

Gouvernement du Québec, 2023

La Loi 25 a pour objectif de renforcer la protection des renseignements personnels des citoyens, et fait appel à la responsabilité des entreprises dans la gestion de ces informations. Les dispositifs édictés par cette loi doivent être appliqués dès le mois de septembre 2023. Mais par où commencer ? Et comment faire ? Voici nos réponses pour vous guider.

Retour sur la Loi 25 : qu’est-ce que c’est ?

La Loi 25 invite les propriétaires d’entreprise de toutes tailles, à communiquer de manière claire et transparente à leurs clients et partenaires :

–        les données qu’ils souhaitent collecter ;

–        la durée de rétention de ces informations ;

–        l’usage qui en sera fait.

Du côté des citoyens, la Loi 25 apporte la liberté de :

–        choisir de manière éclairée d’accorder ou non leur consentement : par exemple, en ligne, ils peuvent refuser les témoins de navigation, sans se voir refuser l’accès d’un site ;

–        demander d’effacer les informations détenues par l’entreprise à leur sujet, ou de les anonymiser une fois le délai prévu dépassé ;

–        consulter la documentation qui explique les tenants et les aboutissants de ces collectes.

Pour être conformes à la législation, les propriétaires d’entreprise qui collectent des données sur leurs visiteurs, leurs collaborateurs ou leurs clients doivent mettre en place un système de gestion de l’information, et désigner un responsable à cet effet.

Qui est concerné par la Loi 25 ?

La Loi 25 concerne aussi bien les propriétaires d’entreprise privée, les personnes qui dirigent un organisme public, et même les travailleurs autonomes. 

Vous êtes tenus de vous y conformer si vous collectez des renseignements identifiant la personne qui recourt à vos services ou vos produits, qu’il s’agisse de ses coordonnées, de son travail ou de toute autre information privée.

À ces fins, vous devez donc apporter les modifications nécessaires à votre site web en matière de collecte de renseignements. Découvrons maintenant en quoi consistent ces modifications.

En tant que PME québécoise, quels sont vos devoirs ?

Concrètement, pour conformer votre site web à la Loi 25, vous devez mettre en place un protocole de gestion des renseignements privés que vous collectez. En résumé, il vous faut :

–        tenir un inventaire complet des renseignements personnels que vous possédez ;

–        détailler les mesures que vous avez prises pour les protéger ;

–        définir comment vous traitez ces informations ;

–        établir un processus d’autorisation des accès à ces informations.

Mais vous devrez aussi être en mesure de fournir les preuves de votre conformité à la loi, en rassemblant la documentation nécessaire à cet effet. Parmi celles-ci, on doit retrouver notamment les preuves de consentement de vos visiteurs, et votre engagement à respecter la confidentialité de ces données. Conservez ces preuves, elles peuvent vous être utiles en cas d’inspection par la Commission d’accès à l’information du Québec. En cas de non-respect de la loi, les amendes peuvent être salées et s’élever jusqu’à 4 % de votre chiffre d’affaires mondial.

Et toujours dans cette logique de transparence, prévoyez de désigner un responsable au sein de votre organisme, facilement joignable par toute personne désirant avoir de l’information supplémentaire.

Vous l’aurez compris, la gestion, la protection et l’organisation des informations privées sont au cœur de cette loi. Les entreprises doivent démontrer leur compréhension de la valeur des données qu’elles collectent, leurs solutions pour assurer la cybersécurité des internautes, mais aussi leur proactivité en cas de fuite de données. La Loi 25 peut être considérée, à ce titre, comme un guide à suivre pour éviter d’entacher votre réputation.

Bénéficier de l’encadrement d’un avocat pour être conforme à la Loi 25 : une bonne idée ?

Lorsqu’il s’agit de législation, l’idéal est de se faire aider par un expert juridique en la matière afin d’éviter les approximations. Les avocats spécialisés en droit de la vie privée, par exemple, peuvent vous soutenir dans ce processus, et voici comment.

Pour être conforme à la Loi 25, vous devrez mettre votre politique de confidentialité et vos conditions d’utilisation à jour. Ces documents doivent être rédigés dans un style facile à comprendre par le public, mais ils doivent aussi être très rigoureux. Certes, il existe des générateurs qui peuvent vous aider à en établir les bases. Cependant, recourir à un avocat peut s’avérer extrêmement précieux. Tout d’abord parce qu’il connaît le droit des entreprises, mais aussi les réglementations en vigueur sur la protection des données. Ainsi, il saura créer des documents exhaustifs, spécifiquement adaptés à votre domaine, ce qui vous fera gagner du temps et vous évitera les mauvaises surprises.

Si vous avez un projet impliquant l’utilisation des renseignements personnels que vous avez collectés, vous serez également amené à réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP). Cela veut dire qu’il vous faut vérifier que votre projet ne présente aucun risque d’atteinte à la vie privée de vos visiteurs, et là encore, votre avocat pourra être d’un grand recours.

Enfin, votre avocat peut vous appuyer dans la rédaction des formulaires de consentement, ainsi que dans votre politique de gestion des incidents.

Sécurisez les renseignements privés de vos clients avec une compagnie d’infogérance

La gestion et l’inventaire des données, leur protection, leur transmission ; pour une PME, ce sont des tâches qui peuvent s’avérer chronophages et compliquées. Nous sommes conscients de cette réalité, c’est pourquoi nous vous offrons nos conseils en matière de logiciels et de bonnes pratiques sur notre blogue. Il est également possible de confier votre cyberprotection à une compagnie spécialisée en infogérance et soutien informatique. Nos équipes s’occupent de sécuriser vos données, de détecter les menaces et les risques d’intrusion, mais aussi de vous fournir de l’assistance en cas de besoin. Contactez-nous pour en savoir plus.