Retour au blogue

LOI 25… VOTRE ENTREPRISE EST-ELLE CONFORME?

21 mars 2023

Marketing

Réglementation

Ressources Humaines

Plusieurs règles additionnelles seront exigées à partir de septembre 2023

NOTE IMPORTANTE : Les renseignements ci-dessous sont fournis à titre informatif et ne font aucunement office de document de référence pour être conforme aux nouvelles règles instaurées par la Loi 25. Ces renseignements ont pour seul but de vous rappeler vos obligations et les échéances à venir. Si vous souhaitez être aidé dans l’application de la loi, nous vous recommandons de consulter un avocat spécialisé dans le domaine.

Lors de notre atelier sur la cybersécurité de l’automne dernier, nous avons pu constater que les piratages informatiques sont devenus récurrents. Il ne se passe pas un trimestre sans que nous ayons vent d’un problème de vol de données personnelles. L’an dernier, le gouvernement du Québec a donc mis en place la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, mieux connue sous la Loi 25.

Cette loi vise à responsabiliser les entreprises en matière de collecte et de stockage des données personnelles et exige toutes les organisations à décrire la façon dont elles assureront cette protection des données dans leur contexte d’affaires.

CE QUI EST EXIGÉ DEPUIS LE 22 SEPTEMBRE 2022

Cette Loi 25 est en fonction depuis le 22 septembre 2022, mais bien peu d’entreprises ont mis en place les mesures exigées. Voici quelques-unes de vos obligations depuis les six derniers mois :

  • Vous devez désigner une personne responsable de la protection des renseignements personnels au sein de votre entreprise. Si vous ne l’avez pas encore fait, la personne ayant la plus haute autorité est nommée par défaut (propriétaire, président, directeur).
  • Vous devez publier le titre et les coordonnées de cette personne dans votre politique de confidentialité sur votre site web ou les rendre accessibles à votre clientèle par toute autre moyen public.
  • Vous êtes dans l’obligation de prendre des mesures raisonnables pour réduire les risques d’incidents de confidentialité des renseignements personnels, et d’aviser la Commission d’accès à l’information de tout incident concernant la confidentialité des données personnelles. De plus, en cas d’incident, assurez-vous d’informer les personnes touchées que cet incident pourrait affecter leur confidentialité et leur causer un préjudice sérieux. Le mot important ici est TRANSPARENCE !

CE QUI SERA EXIGÉ POUR LE 22 SEPTEMBRE 2023

Pour prendre connaissance de l’aide-mémoire de toutes les mesures qui seront exigées à partir de l’automne prochain, n’hésitez pas à consulter le Guide des obligations. Vous pouvez aussi consulter directement les principales modifications législatives en CLIQUANT ICI.

Voici quelques mesures qui, selon nous, pourraient avoir un impact important sur votre gestion.

  • Vous devrez mettre en place une politique et des pratiques encadrant la gouvernance des renseignements personnels. Et ces pratiques devront être accessibles auprès de la clientèle. Par exemple, vous avez souvent des informations qui circulent dans votre entreprise. Vous devrez réfléchir à qui aura accès à ces informations. Est-ce que par exemple, il est nécessaire que tous les employés aient accès aux fichiers clients, est-ce vraiment utile que les données soient accessibles sur tous les ordinateurs ou seulement des postes ciblés, est-ce qu’un code d’accès sera maintenant demandé pour accéder aux transactions passées des clients, etc.
  • Vous devrez respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels, par exemple, il sera important de recevoir au préalable le consentement de vos clients afin de pouvoir utiliser leurs renseignements personnels à des fins commerciales.Par exemple, demander à vos clientes leur numéro de téléphone à la caisse, et les inviter plus tard à un événement VIP ne sera plus possible si vous ne divulguez pas clairement que les données fournies à la caisse seront utilisées à des fins commerciales.
  • Vous devrez vous assurer que le plus haut niveau de confidentialité soit toujours offert par défaut. Par exemple, il ne devrait plus être possible d’utiliser une technologie qui demande au client de donner son courriel ou ses coordonnées en entrant sur votre site Web. Ce sera au visiteur d’activer cette technologie s’il le souhaite et non que votre pop-up apparaisse par défaut.
  • Vous aurez aussi à rendre inaccessibles tous les renseignements personnels lorsque le délai de conservation prévus par la loi sera expiré. Par exemple, plusieurs d’entre vous possédez des données sur d’anciens employés. Même chose pour d’anciens clients qui n’ont pas eu recours à vos services depuis de nombreuses années. Par exemple, vos pratiques pourraient prévoir un calendrier de conservation des données. Ce calendrier pourrait déterminer qu’à partir d’une certaine date, d’un certain délai, les renseignements que vous avez collectés seraient détruits.
  • Vous aurez à divulguer les tiers ou la catégorie de tiers à qui les informations personnelles seront partagées. Par exemple, plusieurs d’entre vous donnez déjà la responsabilité à une autre entreprise de collecter, traiter et d’utiliser les données de vos clients à des fins marketing (ex. carte de fidélité externe). Ces informations devront se retrouver dorénavant dans votre politique de confidentialité.
  • Enfin, vous aurez à mettre en place des mesures pour savoir réagir rapidement si un incident de confidentialité a lieu malgré vos moyens de prévention. Par exemple, que ferez-vous si un employé quitte votre organisation en apportant vos données clients, que ferez-vous si vous êtes témoin qu’un de vos fournisseurs utilise les données personnelles de vos clients de façon non appropriée? Que ferez-vous si vous avez été victime d’une fraude? Il vous sera demandé de mettre le tout par écrit en cas de besoin de consultation de la Commission à la suite d’un incident.

GUIDE D’ACCOMPAGNEMENT

Bref, comme vous pouvez le constater, plusieurs mesures devront être mises en place au cours des prochains mois. Et à moins d’avoir des connaissances dans le domaine, il peut devenir difficile d’élaborer soi-même les différentes actions pour se conformer à la loi 25. N’attendez pas à la dernière minute !

Pour vous aider, nous vous suggérons fortement de vous inspirer du GUIDE D’ACCOMPAGNEMENT de la Commission d’accès à l’information du Québec. Ou n’hésitez pas à faire appel à un expert au besoin.

Pour terminer, les entreprises qui ne respectent pas la Loi 25 pourraient s’exposer à des pénalités qui varieront en fonction de la taille de l’entreprise. Et pour votre information, même une petite entreprise qui aurait commis une infraction pourrait avoir des pénalités de 15 000$ à 25 000$, ou même à devoir payer 4% de ses ventes annuelles.

Donc, soyons vigilants et prenons les devants en instaurant, bien avant l’échéance, des mesures qui garantiront la confidentialité des données personnelles de nos employés et de nos clients. Merci.

L’équipe de Détail Formation