Définition de la Loi 25
La Loi 25, aussi appelée la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a pour but de garantir la sécurité des Québécois·es en obligeant les entreprises à assumer leur responsabilité en matière de protection et de gestion des données personnelles qu’elles possèdent.
La surveillance de l’application de la Loi 25 est confiée à la Commission d’accès à l’information du Québec. En cas d’infraction, cette commission peut imposer des sanctions considérables, allant jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires de l’entreprise.
Qui est tenue responsable de l’application de la Loi 25?
L’organisation qui commande la récolte de données est l’entité qui est tenue responsable en vertu de la Loi 25. Autrement dit, elle doit s’assurer de la bonne gestion des données confidentielles sur toute la chaîne d’approvisionnement. Il est donc essentiel que votre organisation prenne les mesures nécessaires pour se conformer à ces exigences.
Pour vous appuyer dans la démarche, Spritz a adopté une politique de confidentialité très stricte assurant une gestion sécuritaire des données confidentielles. En appliquant cette politique dans ses activités quotidiennes, l’équipe de Spritz garantit votre conformité aux exigences de la Loi 25 dans le cadre des mandats que vous lui confiez et à l’égard des données que vous lui transmettez.
Mesures à prendre
En vertu de la loi 25, vous devez vous conformer à trois dispositions en 2024, soit la création et l’adoption d’une politique de réponse aux incidents, la rédaction et la publication d’une politique de confidentialité et la mise en œuvre d’une bannière de consentement.
Politique de réponse aux incidents
Désigner un·e responsable de la protection des renseignements personnels
Chaque entreprise doit nommer une personne responsable de la protection de ses renseignements personnels. Conformément à la Loi 25, cette tâche incombe à la personne la plus haut placée de l’organisation. Il est cependant possible de déléguer une partie ou la totalité de cette responsabilité à une autre personne. Quel que soit le cas, les coordonnées et le titre de la personne responsable doivent être visibles sur le site Web de l’entreprise.
Tenir un registre des incidents liés à la confidentialité
La tenue d’un registre des incidents liés à la confidentialité est également obligatoire. Une copie de ce registre doit pouvoir être fournie à la Commission d’accès à l’information si celle-ci en fait la demande. En cas d’incident présentant un risque grave, il est obligatoire d’en informer à la fois la Commission et les personnes concernées.
Transmettre des renseignements à certaines conditions
De nouvelles règles permettent de partager des données personnelles sans le consentement de l’individu concerné, sous certaines conditions, lors de transactions commerciales. Cependant, il est essentiel que le destinataire de ces données respecte les obligations légales.
Pour connaître vos obligations actuelles et futures, consultez cet aide-mémoire publié par la Commission d’accès à l’information.
Politique de confidentialité
En vertu de la Loi 25, une politique de confidentialité doit être intégrée au site Web de l’entreprise. Cette page doit être disponible en français et traduite dans les langues des diverses versions du site. Il est important de souligner que chaque entreprise peut élaborer sa propre politique, à condition qu’elle soit conforme à la Loi 25 et facilement compréhensible par les utilisateurs.
La bannière de consentement
Pour se conformer à la Loi 25, il faut intégrer une bannière de consentement au site Web de l’entreprise. Pour recueillir les données personnelles d’un utilisateur, il faut que celui-ci ait donné son consentement. L’absence de réponse de l’utilisateur à la demande de consentement sera interprétée comme un refus et entraînera l’interdiction de la collecte des données. La visibilité de la bannière de consentement est d’une importance capitale. Diverses plateformes en ligne proposent des solutions pour intégrer ce genre de bannière à votre site.
La gestion et la personnalisation des témoins (cookies)
Conformément à la Loi 25, les entreprises doivent énumérer les témoins utilisés sur leur site Web, expliquer leur utilisation et permettre aux utilisateurs de les désactiver. Cette information peut être fournie sur la page de votre politique de confidentialité, accessible en cliquant sur un lien de bas de page et visible sur chacune des pages de votre site Web. Il est important de noter que les témoins essentiels au fonctionnement du site ne sont pas touchés par la Loi 25, mais leur utilité doit tout de même être expliquée par l’entreprise.
Ce que Spritz peut faire pour vous aider à vous conformer à la Loi 25
Spritz collabore étroitement avec des consultants experts du domaine qui pourront vous accompagner dans l’ensemble du processus. Une fois la rédaction de votre politique de réponse aux incidents et de votre politique de confidentialité terminée, vous pourrez communiquer avec votre agence Web pour la mise en place d’une bannière de consentement sur votre domaine.
Écrivez-nous et nous vous mettrons en contact avec nos spécialistes en sécurité de l’information!