Comment respecter la Loi 25 et la protection des données

Numérique - 01 février 2023

La Loi 25 ou Loi modernisant des dispositions législatives en matière de protection des renseignements personnels a été adoptée en septembre 2021. Celle-ci a un impact direct sur les entreprises, organismes ou travailleurs autonomes, qui font la collecte et hébergent des renseignements personnels de leurs clients, employés et fournisseurs, et qui seront désormais responsables de ces données aux yeux de la loi.

Voici les enjeux principaux de cette loi:

• Des mesures supplémentaires doivent être mise en place afin d'assurer la sécurité des renseignements personnels détenus par votre organisme.
• Le délai d'implantation des nouvelles responsabilités s'échelonne de 2022 à 2024.

Voyons ce que vous devez respecter pour éviter des sanctions sévères
Depuis septembre 2022

• Il est nécessaire de nommer un responsable de la protection des renseignements personnels dans l'équipe. Il faut également publier les coordonnées de la personne sur le site web de l'organisme.
• Il faut également définir les responsabilités du ou de la responsable dans une politique et informer l'équipe adéquatement concernant les nouvelles mesures à venir.
• Il faut aussi instaurer et tenir à jour un registre d'incidents de confidentialité. Il faut aussi désormais informer la Commission d'accès à l'information du Québec des incident de confidentialité s'ils impliquent un renseignement détenu par votre organisation/entreprise et présentent un risque de préjudice sérieux.

Pour septembre 2023

• Il faut procéder à l'inventaire des renseignements détenus, des plateformes utilisées et préciser la responsabilité de chaque employé dans la protection des renseignements personnels détenus. 
• Mettre à jour les politiques et les pratiques de protection des renseignements personnels, les communiquer à l'équipe.
• Rendre la politique de confidentialité mise à jour publique via votre site web.
• Se familiariser avec les évaluations de facteurs relatifs à la vie privée (EFVP) (voir : https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/evaluation-facteurs-relatifs-vie-privee/) et réaliser les évaluations lorsqu'exigées.
• S'assurer du consentement de la personne ou de l’organisme avant de recueillir, détenir, utiliser ou communiquer de l’information à son sujet.

Pour 2024

• S'assurer de mettre en place la portabilité des données pour les demandes courantes. C’est à dire, d’offrir à vos clients, employés et fournisseurs la possibilité de récupérer une partie de leurs données dans un format lisible par une machine.

Vous constatez maintenant que la Loi 25 et la protection des données, c’est l’affaire de toutes les entreprises !

Afin d’assurer la pérennité de votre entreprise et de mériter la confiance des gens et organisations avec qui vous êtes en relations, vous devez rapidement vous conformer aux nouvelles exigences, à défaut de faire face à de sévères pénalités. Et n’oubliez pas que d’autres mesures entreront en vigueur les 22 septembre 2023 et 2024, toujours dans le but de moderniser le régime de protection des renseignements personnels.

Sources :
Nous avons utilisé des documents écrits par la formatrice, Emeline Manson, pour rédiger ce billet de blogue.
Nous l’avons complété en consultant des sites suivantes :
https://www.intact.ca/blog/fr/loi-25.html
https://www.lesaffaires.com/blogues/martin-berthiaume/entreprises-etes-vous-pretes-pour-la-loi-25/634465