On entend parler de la Loi 25, concernant la collecte et l’utilisation des renseignements personnels, depuis quelque temps déjà. La mise en place de cette loi s’échelonne en 3 phases : la première le 25 septembre 2022, la seconde le 22 septembre 2023 et la dernière le 22 septembre 2024. Depuis quelques mois, l’engouement pour se conformer se fait davantage ressentir dans toutes les organisations. Plusieurs mesures étaient demandées auprès des entreprises pour le 22 septembre 2023. En tant qu’entreprise opérant au Québec, il est donc nécessaire de comprendre ce que cette loi implique et comment s’y adapter. 

Qu’est-ce que la Loi 25? Qu’est-ce que je dois faire, en tant qu’entreprise, pour être conforme? Quelles sont les étapes à réaliser? Afin de simplifier la compréhension de la Loi 25, nous avons répertorié tout ce qu’il faut savoir. Les données internes ne touchent pas seulement le web, mais bien toutes les sphères de votre organisation. Il importe donc de bien savoir tout ce que cette loi implique dans votre quotidien. 

Qu’est-ce que la Loi 25?

La Loi sur la modernisation de la protection des renseignements personnels, dite 25, protège les données personnelles de chaque citoyen au Québec. Elle s’assure d’établir un cadre juridique pour la collecte, l’utilisation et la communication des renseignements confidentiels par les entreprises et organismes publics. 

Les entreprises ont donc comme devoir d’assurer une gouvernance et une gestion de toutes les données personnelles qu’elles possèdent, à les classer par degré de sensibilité et à conserver seulement celles qui sont utiles à leur activité commerciale. 

L’application de cette loi s’échelonne en 3 phases s’étalant jusqu’en 2024. Se passe-t-il quelque chose si vous n’intervenez pas? Il pourrait y avoir une amende jusqu’à 25 millions de dollars, ou encore jusqu’à 4 % de votre chiffre d’affaires mondial. C’est le montant le plus élevé qui sera appliqué; ce qui peut donc être très néfaste pour la rentabilité d’une entreprise. 

Par où commencer? 

La première chose à faire est de réaliser un diagnostic interne de son entreprise pour bien comprendre d’où proviennent les données personnelles. Vous devrez ensuite mettre en place des mesures pour prévenir ou limiter les conséquences d’une fuite de données personnelles et instaurer des actions qui permettront de réagir rapidement en cas de problèmes. 

Un renseignement personnel est considéré par la Loi comme tout renseignement qui permet d’identifier directement ou indirectement une personne (nom, prénom, date de naissance, numéro de téléphone, adresse, numéro d’assurance sociale, adresse IP, etc.). 

Pour vous accompagner dans vos démarches, nous vous proposons les services de Necando, une firme experte en protection des données, ou encore les services de CyberQuébec, spécialistes en cybersécurité. Ces deux joueurs pourront faire le diagnostic des données utilisées et vous offrir un plan adapté à votre réalité. Axial pourra ensuite vous accompagner dans la gestion des données sur votre site web. 

Les mesures appliquées depuis le 25 septembre 2022

Certaines mesures doivent être mises en place depuis le 25 septembre 2022, dont : 

• Désigner une personne responsable de la protection des renseignements personnels qui assurera le respect de la Loi et appliquera ses différentes composantes. Afficher le contact sur votre site web. 

• Tenir un registre des incidents de confidentialité, s’il y a lieu, et le partager avec la Commission d’accès à l’information.

• Mettre en place un plan de contingence en cas d’incident de données personnelles. Celui-ci permettra d’avoir des mesures de prévention et de réagir rapidement en cas de fuites de données. 

• Aviser la Commission avant d’utiliser toute technique biométrique permettant de vérifier ou confirmer l’identité d’une personne. 

Les mesures à appliquer depuis le 22 septembre 2023

Si ce n’est déjà fait, voici, en résumé, les mesures à implanter et respecter depuis le 22 septembre 2023. 

• Établir des politiques et des pratiques sur la protection des renseignements personnels. Publier l’information détaillée sur votre site web. Cela comprend, entre autres : 
  • Les règles applicables à la conservation et à la destruction des renseignements personnels;
  • Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
  • Un processus de traitement des plaintes relatives à la protection des renseignements personnels.

• Réaliser une évaluation des facteurs relatifs à la vie privée (pour les entreprises devant communiquer à l’extérieur du Québec). 

• Respecter les nouvelles règles de consentement pour la collection, l’utilisation et la communication des données personnelles.

• Détruire tous les renseignements confidentiels non utilisés ou les anonymiser.

• Être transparent vis-à-vis le public concernant la collecte, la communication et l’utilisation des données personnelles, c’est-à-dire fournir toute l’information entourant le fait de posséder les renseignements d’un individu. 

• Obtenir le consentement libre, manifeste et éclairé de ladite personne. 

• Cesser de diffuser ou d’utiliser les renseignements personnels d’une personne si celle-ci retire son consentement. 

• Ne pas recueillir les données personnelles des personnes de moins de 14 ans sans le consentement du titulaire de l’autorité parentale. 

• Assurer que les paramètres de confidentialité par défaut du produit ou du service technologique offert au public assurent le plus haut niveau de confidentialité.

Les mesures à appliquer d’ici le 22 septembre 2024

D’autres actions sont également à réaliser pour le 22 septembre 2024, soit de : 

• Pouvoir transmettre, à la demande de la personne concernée, un renseignement personnel informatisé qui a été recueilli. 

• Et que ces informations puissent également être transmises à une personne autorisée ou un organisme autorisé par la Loi. 

La gestion des témoins de navigation (cookies) sur votre site web

La Loi 25 a, bien évidemment, un impact sur la gestion et l’utilisation des témoins de navigation (aussi appelés cookies) sur votre site web. Tous les sites vont recueillir de l’information sur les visiteurs et ceux-ci seront stockés et pourront être analysés. Vous devez donc identifier la provenance de tous les témoins enregistrés et partager l’information. 

Que devez-vous faire sur votre site? 

• Demander l’autorisation des utilisateurs pour collecter des données via des témoins.
• Mentionner les types de témoins utilisés et la manière dont les données seront traitées.
• Permettre le contrôle des témoins de navigation (les accepter, les refuser ou les gérer). 
• Conserver les données récoltées par les témoins pour une période déterminée seulement. 
• Mettre en place des politiques de confidentialité et prendre des mesures pour protéger les données collectées. 

Axial peut vous accompagner dans l’analyse des cookies et faire l’installation d’un pop-up qui informe les visiteurs et demande leur consentement. 

Et côté marketing, où s’en va-t-on? 

C’est certain que cette loi vient impacter le monde du marketing numérique. La façon de collecter et d’analyser les données sera différente. Les campagnes publicitaires, la gestion des réseaux sociaux, l’analyse de profils de clientèles, etc., se nourrissent tous des renseignements personnels. Toutes les statistiques récoltées pour améliorer son site web ou encore pour créer des campagnes performantes connaîtront très probablement des blocages et des limites à partir de maintenant. 

Néanmoins, en usant de stratégies, il sera possible d’optimiser vos communications en ayant en main des données très précises sur des clients réellement engagés.

La mise en application de la Loi 25 pour les entreprises du Québec représente un tournant significatif vers un environnement commercial plus transparent, éthique et respectueux des droits des employés et du public. C’est en comprenant les principes de base que vous pourrez faciliter l’application de la Loi au sein de votre organisation. Ne tardez pas à vous y adapter!