Ce qu’il faut savoir pour se conformer à la loi 25

Ce qu’il faut savoir pour se conformer à la loi 25

Entrée en vigueur en septembre 2022, la loi 25 sur la protection des renseignements personnels change la donne pour les entreprises. Voici ce que vous devriez savoir à son sujet et comment bien vous préparer à remplir vos nouvelles obligations.

Comme son nom l’indique, la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels vise à régir la collecte, l’utilisation et le stockage des données à caractère personnel.

Elle s’adresse donc à toute organisation qui recueille, détient, utilise et communique des informations personnelles dans le cadre de ses activités.

Plusieurs trains de mesures

Pourquoi cette réglementation est-elle importante? Parce qu’elle protège le droit à la vie privée des individus et garantit que leurs données personnelles ne seront pas utilisées à mauvais escient ou traitées de façon inadéquate.

Attention, car ne pas vous acquitter de vos obligations pourrait vous valoir des amendes, des poursuites judiciaires, ainsi qu’une atteinte dommageable à la réputation de votre entreprise.

C’est pourquoi PME MTL a récemment organisé un webinaire sur les grands enjeux à surveiller et les gestes à poser dès maintenant avec la firme Genatec, afin de vous conformer à cette législation.

Sachez que la loi 25 comporte trois échéances distinctes. Celle de septembre 2022 prévoyait déjà un premier train de mesures. La deuxième phase de septembre 2023 sera complétée par la dernière qui entrera en vigueur en septembre 2024.

D’ores et déjà, les entreprises doivent se soumettre à de nombreuses règles et adapter leurs systèmes en conséquence (voir la liste de vérification).

Pour faciliter la tâche des entrepreneurs et les guider pas à pas, le service eLog de PME MTL, spécialisé en logistique du commerce électronique, a d’ailleurs préparé un guide pratique gratuit à leur intention présentant des conseils, des outils et des exemples détaillés de politiques et de procédures à mettre en œuvre. Il est possible de s’y référer et d’adapter les mesures proposées à votre propre organisation.

Étapes à prioriser

Si la marche vous semble haute et la réglementation complexe, Alexandre Caron, directeur, Logistique du commerce électronique à PME MTL, recommande de procéder par étapes. L’une des premières choses à faire est de nommer une personne responsable puis de dresser un inventaire des données que vous collectez.

« Rappelez-vous qu’il peut y en avoir bien davantage que ce que vous pensez. Google Analytics en recueille par exemple, mais aussi toutes les applications utilisées », prévient-il.

Déterminez également à quelle catégorie ces données appartiennent. « Il peut s’agir de données utilisées par le département du marketing ou bien par les ressources humaines avec les CV, etc. », précise-t-il. Cela requiert donc une analyse complète et une bonne compréhension de l’écosystème technologique de votre entreprise.

Il sera tout aussi essentiel de veiller à informer vos clients sur l’utilisation qui est faite de leurs données et d’obtenir leur consentement lors de la collecte de celles-ci.

Il faut également développer une politique de confidentialité ainsi que des procédures afin d’assurer la protection des données, tant en matière de gestion de la confidentialité que durant tout leur cycle de vie jusqu’à leur destruction.

N’oubliez pas non plus de mettre sur pied une procédure interne de la marche à suivre en cas de bris de confidentialité ou de plainte d’un client. Soyez conscient du fait qu’il existe différents types de violation possibles, tant au niveau du consentement, que du défaut de protection ou d’une notification manquante.

Restez aux aguets, car les sanctions sont coûteuses et peuvent aller jusqu’à 10 000 $ ou 2 % du chiffre d’affaires, sans parler des infractions pénales et du droit d’action privé en dommages et intérêts.

Maintenant que les procédures et les politiques sont établies, il faudra bien sûr faire en sorte qu’elles soient appliquées et respectées. À cet égard, l’éducation de vos employés et la formation seront vos meilleurs alliés.

Des pièges à éviter

Rappel important : les données que vous partagez avec des tiers – fournisseurs, sous-traitants – relèvent aussi de votre responsabilité. Par conséquent, revoyez vos contrats et implantez des mesures d’atténuation.

Parmi les autres pièges à éviter, Alexandre Caron mentionne également l’oubli des mesures que l’on devrait prendre lorsqu’un employé quitte l’entreprise.

« Il faudrait lui faire signer un document selon lequel il a bien effacé et n’a pas l’intention d’utiliser les données personnelles des clients qui pourraient se trouver sur son téléphone, comme des échanges de communication. Il est préférable de mettre en place une procédure qui s’appliquera lors des départs », conseille-t-il.

Autre élément à garder en tête : s’assurer de constamment réfléchir à ses activités. « Par exemple, notre serveur ne se trouve peut-être pas au Canada, les données y sont-elles en sécurité? On doit toujours douter et se poser des questions, ce qui nous aidera à développer des réflexes », dit-il.

Pour être sûr de respecter vos obligations et ne rien négliger, n’hésitez pas à vous faire accompagner. PME MTL est un bon départ que vous pourrez éventuellement compléter en recourant aux services d’une firme spécialisée.

Liste de vérification : 10 points essentiels à retenir

1. Nommer une personne responsable de la protection des renseignements personnels et publier ses coordonnées sur le site web de l’entreprise.
2. Avoir établi des politiques sur la sécurité des renseignements personnels que vous possédez et publier ces politiques sur votre site web.
3. Ne recueillir que les informations nécessaires pour atteindre un objectif spécifique (demander le consentement pour cet objectif précis) et communiquer clairement cet objectif lors de la collecte des renseignements.
4. En cas d’incident de bris de confidentialité impliquant des renseignements personnels, il est obligatoire de prendre toutes les mesures nécessaires pour éviter que des incidents similaires ne se reproduisent. Tenez un registre des incidents, informez la personne concernée et la Commission d’accès à l’information du Québec.
5. Respecter les nouvelles mesures d’encadrement du partage des données personnelles à des fins d’étude, de recherche, de statistiques ou dans le cadre d’une transaction commerciale.
6. Informer la Commission d’accès à l’information du Québec si vous avez l’intention de procéder à des vérifications d’identité en utilisant des données biométriques.
7. Communiquer à votre clientèle si vous utilisez une technologie pour les identifier, les localiser ou les profiler, et communiquer votre politique de confidentialité.
8. En cas de transfert de données hors du Québec, rappelez-vous qu’un examen approfondi peut être nécessaire.
9. Prévoir par défaut les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public.
10. Détruire les renseignements personnels que vous détenez dès que l’objectif pour lequel vous les avez collectés est atteint, à la suite du délai raisonnable prévu par la loi.

Source : Guide sur la Loi 25 adapté au commerce électronique, eLog.