Depuis l’arrivée d’Internet, plusieurs lois et normes ont vu le jour pour encadrer son utilisation, au grand bonheur des utilisateurs. La loi 25 ne fait pas exception et apporte d’importants changements à prendre en considération.
Pour vous familiariser avec celle-ci, vous pouvez consulter ici la ligne du temps de la planification de l’entrée en vigueur de la loi 25.
Pour qui et pourquoi la loi 25?
À qui s’adresse la loi?
Que vous soyez une entreprise, un OBNL, une organisation publique ou encore un parti politique, si vous recueillez, possédez, utilisez ou partagez des informations et renseignements personnels dans le cadre de vos opérations sur le Web, la loi 25 est pour vous.
Sa mission
La loi sur la protection des renseignements personnels a pour mission de développer une culture de protection des informations personnelles saine.
En soi, elle force les entreprises québécoises à encadrer de façon plus rigoureuse et sécuritaire, la gestion et l’utilisation des renseignements personnels de la population.
Le citoyen, quant à lui, en tirera aussi profit de différentes façons:
- bonification des informations reçues lors d’une collecte de renseignements personnels et d’une décision automatisée;
- avoir des informations concernant l’utilisation de leurs renseignements personnels pour rendre une décision fondée exclusivement sur un traitement automatisé et d’un droit de présenter leurs observations à un membre du personnel en mesure de réviser la décision;
- être avisés lors d’un incident de confidentialité concernant leurs renseignements personnels, lorsque cet incident présente un risque de préjudice sérieux;
- bénéficier du droit à l’effacement et au déréférencement;
- jouir d’un consentement demandé en termes simples et clairs.
Que veut dire exactement le terme «renseignements personnels»
Pour comprendre pleinement la loi, il est crucial de clarifier les différentes données et informations qui la composent.
Soumis, oui ou non?
Une information personnelle agit un peu comme l’identifiant unique d’un individu, elle permet donc son identification.
Cependant, il est important de connaître la distinction entre les identifiants directs et indirects.
Un identifiant direct est bien évidemment soumis à la loi puisqu’il permet directement d’identifier un individu.
Quant à lui, un identifiant indirect, qui n’est pas couplé à un identifiant direct, n'est pas régi par la loi.
Qu’est-ce qu’un identifiant direct?
Les identifiants directs sont des informations qui permettent d’identifier une personne sans l’utilisation d’autres données, par exemple:
- Nom et prénom
- Numéro d’assurance sociale
- Numéro de travailleur
- Carte bancaire
- Adresse courriel
Qu’est-ce qu’un identifiant indirect?
Les identifiants indirects quant à eux nécessitent un complément d’autres données pour identifier quelqu’un, par exemple:
- Date de naissance
- Code de zone
- Genre
- Coordonnées GPS
Les exceptions
Parmi les identifiants indirects, les informations dépersonnalisées par exemple sont concernées, car en les combinant avec d’autres bases de données internes, il est possible d’identifier un individu.
Par contre, les informations anonymes elles, ne sont pas soumises à la loi, car elles sont dépourvues de toute information permettant de retracer un individu spécifique.
Les droits et devoirs des entreprises québécoises
Depuis le 22 septembre 2023, de nouvelles dispositions de la loi 25 sont entrées en vigueur. Entre autres, l’obligation d’avoir établi des politiques et des pratiques en matière de gouvernance des renseignements personnels.
Voici en résumé, les principales obligations qui s'y rattachent:
- Obtenir le consentement éclairé des visiteurs avant la collecte de renseignements personnels,
- informer les internautes de la collecte de leurs renseignements personnels et de l’utilisation de ces données,
- informer les individus de leurs droits quant à la collecte de leurs renseignements,
- répondre aux requêtes des individus concernant la collecte de leurs renseignements,
- instaurer des pratiques visant à protéger les renseignements personnels récoltés,
- mettre en place et respecter un calendrier de conservation des données récoltées,
- nommer un responsable de la protection des renseignements personnels au sein de l’entreprise,
- élaborer et afficher une politique de confidentialité.
Il est de votre devoir d’aviser les visiteurs de votre site web, de la prise d’informations, mais aussi d’obtenir leur consentement avant la saisie de celle-ci.
L'utilisation de cookies, le suivi par pixels ou la collecte d'adresses électroniques nécessite une explication claire aux visiteurs sur la nature des informations collectées, leur utilisation et le mécanisme de recueil. Vous devez aussi vous assurer d'obtenir leur approbation avant la récolte.
Un consentement valide
Pour être valide, le consentement doit être volontaire et informé. Les utilisateurs doivent avoir un accès facile à toutes les informations nécessaires pour comprendre pleinement ce que leur consentement implique, et ils doivent avoir la liberté d’accepter ou de refuser.
Il est également important de recueillir le consentement des utilisateurs à chaque nouvelle collecte d'informations personnelles. Par exemple, il faut obtenir le consentement d'un visiteur pour utiliser des informations de suivi (cookies), et il faut également lui demander son consentement si on désire collecter son adresse électronique.
La seule exception serait si l'objectif initial de la collecte d'informations personnelles est compatible avec un nouvel objectif.
Mise en place de pratiques de protection des données personnelles
La loi 25 stipule que les entreprises concernées doivent mettre en place des mesures de protection des données personnelles, telles que:
- sécurisation des documents;
- emploi de systèmes de sécurité informatique et de la protection par mot de passe;
- utilisation de mesures appropriées à l'organisation et la formation des employés à ces mesures.
- mise en place d’une procédure en cas de violation de la sécurité, de fuite de données personnelles ou tous incidents de sécurité risquant de causer un préjudice grave aux personnes concernées doit être communiqué immédiatement à ces individus ainsi qu'à la Commission d'accès à l'information du Québec.
Comment bien gérer la rétention des données personnelles collectées?
Toutes les données que vous aurez collectées ne doivent pas être conservées indéfiniment. Dès que l'objectif de leur collecte est atteint, elles doivent être supprimées.
La seule exception à cette règle serait lorsque la conservation de ces informations doit être prolongée dans un contexte juridique, par exemple à des fins fiscales, ou selon un code de déontologie.
Quoi et comment répondre aux demandes des individus en ce qui a trait à la collecte de leurs données?
Tout individu, qui a vu ses données personnelles collectées, a en tout temps le droit d’y avoir accès, de contester leur exactitude et de demander leur correction.
Ils peuvent également demander leur suppression, par exemple si la conservation des données personnelles n'est plus justifiable ou si les données ne sont plus valides.
Si le consentement à l'utilisation des données personnelles est retiré, l'entreprise doit alors supprimer les données personnelles de ses bases de données.
Dans tous les cas, l'entreprise doit répondre à ces demandes dans un délai maximal de 30 jours et informer les individus des mesures qui seront prises.
Vous devez désigner un responsable de la protection des données personnelles au sein de votre organisation.
Une personne doit être désignée responsable de la protection des données personnelles. Il est crucial que les coordonnées de cette personne soient clairement affichées et facilement accessibles sur le site web.
La nécessité de mettre en place et d'afficher une politique de confidentialité claire et transparente est entrée en vigueur depuis le 22 septembre 2023.
Cette politique doit:
- être facile à comprendre pour les utilisateurs du site et décrire clairement quelles sont les données personnelles collectées par l'entreprise, comment ces données sont utilisées et conservées et quels sont les droits des individus concernant ces données.
- mentionner le nom et les coordonnées du responsable de la protection des données personnelles.à
- être facilement accessible en ligne, par exemple dans le pied de page du site web.
- être mise à jour régulièrement pour refléter les modifications apportées aux pratiques de collecte et de traitement des données personnelles.
Assurez-vous de la conformité des fournisseurs de services avec lesquels vous travaillez
Si votre entreprise fait appel à des fournisseurs de services pour gérer certaines activités qui impliquent la collecte ou le traitement de données personnelles, il est important de vous assurer que ces fournisseurs respectent également la loi 25.
En conclusion
Nous vous recommandons fortement de bien prendre le temps de mettre en place les règles concernant la loi 25, au sein de votre entreprise, au risque de vous retrouver avec une pénalité salée!
Et oui, si votre entreprise ne se conforme pas correctement aux règles mentionnées ci-haut, vous risquez des pénalités qui peuvent atteindre jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial de l’entreprise.
Quant aux individus, victimes des contrevenants, ils peuvent réclamer au minimum 1 000$ en dommages et intérêts. C’est d’ailleurs la Commission d’accès à l’information du Québec qui est chargée de superviser la loi 25.
*Prenez note que les informations divulguées dans cet article ne constituent pas un avis juridique et sont à titre informatif seulement.