Loi 25 : nouvelle loi pour la protection des renseignements personnels au Québec
On en parle depuis quelque temps déjà. Mais voilà que le moment fatidique est enfin arrivé : la loi 25 est entrée en vigueur le 22 septembre dernier. Cette nouvelle loi aura des impacts pour bien des entreprises, surtout lorsqu’on parle de collecte de données, qui était déjà rendue difficile depuis l’apocalypse des cookies.
Si vous n’avez pas déjà entamé le processus de conformité, il est maintenant temps de vous y mettre. Pour y arriver, il vous faut d’abord bien comprendre la nouvelle réglementation en lien avec la loi 25.
Qu’est-ce que la loi 25?
La loi 25 modernise les lois actuelles en matière de protection des renseignements personnels. C’est la première mise à jour au Québec en la matière depuis 1994.
Vous connaissez peut-être déjà le Règlement général sur la protection des données (RGPD) en Europe ou la Loi californienne sur la protection de la vie privée des consommateurs (California Consumer Privacy Act). La nouvelle loi 25 s’inspire fortement de ces deux législations, mais est adaptée pour le Québec.
Sachez qu’au Canada, seuls le Québec, l’Alberta et la Colombie-Britannique disposent d’une loi provinciale. Autrement, c’est la loi fédérale qui s’applique. À noter que la loi 25 s’applique non seulement aux entreprises québécoises, mais également à toute organisation basée à l’extérieur de la province dont les produits et services sont employés au Québec. Il suffit donc qu’un utilisateur québécois visite un site international pour faire entrer le fournisseur dans la juridiction de la loi 25.
Qu’est-ce qu’un renseignement personnel?
Selon la Commission d’accès à l’information du Québec, la loi 25 identifie un renseignement personnel comme étant tout renseignement qui concerne une personne physique et permet de l’identifier directement ou indirectement.
Cela inclut :
- Renseignements personnels : nom, prénom, adresse courriel…
- Identification des employés : dossier disciplinaire, rendement de travail, conditions de travail…
- Renseignements financiers : numéro de compte, de carte de crédit…
- Identifiants numériques : nom d’utilisateur, mot de passe, adresse IP…
- Et bien d’autres.
Concrètement, quel est l’impact marketing de la loi 25 pour les entreprises?
La loi 25 amène avec elle de nouvelles obligations auxquelles les entreprises sont tenues de se conformer. En bref, les entreprises doivent désormais :
- Identifier formellement un.e responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Web de l’entreprise;
- Tenir un registre des incidents de confidentialité et lister les obligations de divulgation en cas d’incident;
- Posséder une politique de confidentialité conforme;
- Désactiver par défaut toute technologie de collecte de données sur votre site Web.
Les modifications apportées par la Loi 25 entrent progressivement en vigueur sur une période de trois ans, soit jusqu’en septembre 2024.
Que devez-vous mettre en place pour respecter les critères de la loi 25?
1. Identifiez un.e responsable de la protection des renseignements personnels au sein de votre entreprise.
Par défaut, cette fonction est attribuée à la personne qui a le plus haut niveau d’autorité au sein de l’organisation (président, DG, etc.). Sinon, vous pouvez désigner par écrit une autre personne. Le titre et les coordonnées de cette personne doivent obligatoirement être publiés sur votre site Web depuis le 22 septembre 2022.
La personne responsable de la protection des renseignements personnels devrait connaître la nature des renseignements que votre entreprise détient, traite et communique. Celle-ci doit aussi savoir qui peut avoir accès à ces renseignements et pour quelles raisons.
C’est aussi à cette responsable que revient le rôle de produire et mettre en place des politiques et des pratiques qui encadrent la gestion des renseignements personnels au sein de votre entreprise.
2. Déterminez ce qui constitue un incident de confidentialité et tenez un registre.
Le gouvernement du Québec considère qu’un incident de confidentialité est un « accès non autorisé par la loi à un renseignement personnel, à son utilisation ou à sa communication, de même que sa perte ou toute autre forme d’atteinte à sa protection. »
Voici quelques exemples :
- Une personne de votre équipe consulte des renseignements personnels non nécessaires à l’exercice de ses fonctions en outrepassant les droits d’accès qui lui ont été attribués;
- Un.e pirate informatique s’infiltre dans un système;
- Une communication contenant des renseignements personnels est faite, par erreur, à la mauvaise personne;
- Quelqu’un perd ou se fait voler des documents contenant des renseignements personnels.
Vous devez donc déterminer, à l’interne, quels sont les scénarios potentiels de vols ou de pertes de renseignements personnels qui pourraient survenir au sein de votre entreprise. Vous serez ensuite en mesure de tenir un registre, si de tels événements devaient surgir. Lors d’incidents, assurez-vous d’ajouter suffisamment d’informations dans le registre pour démontrer que vous avez effectué une analyse suffisante de la situation et lui avez répondu.
Pour vous aider à prévenir les incidents de confidentialité à l’interne, voici quelques astuces :
- Sensibilisez vos employés à déclarer immédiatement les accès qu’ils pourraient avoir à des renseignements personnels qui ne les concernent pas;
- Identifiez les emplacements où les informations sensibles doivent se trouver;
- Évitez de faire des copies de ces informations;
- Ne communiquez pas de renseignements personnels par courriel, si vous pouvez l’éviter;
- Exigez de vos employés à déclarer les informations sensibles qui se trouvent ailleurs qu’à l’endroit désigné.
3. Vérifiez que votre politique de confidentialité soit conforme.
Vous devez vous assurer que, d’ici le 22 septembre 2023, vous disposez d’une politique de confidentialité complète et transparente. Celle-ci devra être publiée sur votre site et doit expliciter vos pratiques en matière de protection des données. Assurez-vous d’utiliser un langage clair et simple, afin que les utilisateurs puissent comprendre à quelles fins leurs renseignements personnels sont utilisés.
Votre politique de confidentialité doit comprendre :
- Le but dans lequel les informations sont recueillies;
- La manière dont ces informations sont collectées;
- Le droit du consommateur d’accéder à ces informations et de les rectifier s’il le souhaite;
- Le droit du consommateur de retirer son consentement à la collecte de ses informations.
Soyez précis par rapport aux finalités. L’usager pourrait, par exemple, accepter certaines utilisations, mais en refuser d’autres.
4. Désactivez par défaut toute technologie de collecte de données sur votre site Web.
La loi 25 inverse la logique de base en matière de protection de la vie privée : les consommateurs ont désormais automatiquement le droit à la confidentialité. Cela signifie que les technologies de profilage ou de suivi (Google Analytics, pixels Facebook, TikTok, etc.) doivent être désactivées par défaut sur tout site d’entreprise, à moins qu’un consentement ne soit donné, et non l’inverse! Cela exclut l’utilisation de témoins, également appelés cookies.
Vous pouvez prévoir un mécanisme explicite d’« opt-in », tel qu’une bannière, pour demander aux visiteurs de votre site leur autorisation d’utiliser leurs données. Ceci doit être mis en place avant le 23 septembre 2023.
*La liste ci-dessus vous est offerte à titre indicatif seulement. Nous vous recommandons fortement de faire appel à un spécialiste pour vous aider à vous conformer à la nouvelle loi.