Loi 25 sur la protection des renseignements personnels: qui est-ce qu’elle concerne et comment s’y conformer?

27 juin 2023, St-Jean-sur-Richelieu
Image à la une de l'article

Cet article ne constitue en aucun cas du conseil juridique et est purement informatif.

Il est très important de prendre connaissance de la loi 25 sur la protection des renseignements personnels dès maintenant puisque certaines de ses dispositions sont déjà entrées en vigueur, et d’autres prendront effet au cours des prochains mois.

Voyons donc quelles sont les dispositions de cette loi, quels aspects des activités commerciales sont concernés et comment s’y conformer.

Est-ce que la loi 25 vous concerne?

Cette nouvelle loi, qui se nomme aussi la Loi sur la protection des renseignements personnels dans le secteur privé, a pour but de pousser les entreprises du Québec à encadrer de façon plus rigoureuse et sécuritaire la gestion et l’utilisation des renseignements personnels et de permettre aux utilisateurs d’avoir un plus grand contrôle sur la récolte et l’utilisation de leurs données.

Elle concerne toutes les entreprises et organismes privés qui, dans un contexte d’affaires, récoltent et utilisent des renseignements personnels sur le Web.

Qu’est-ce qu’un renseignement personnel aux yeux de la loi?

Au sens de la loi, les renseignements personnels englobent toutes les données qui sont liées à une personne identifiée ou identifiable. Il peut s’agir, par exemple, de :

  • numéro d’assurance sociale,
  • nom,
  • adresse postale,
  • numéro de téléphone,
  • adresse email,
  • historique de crédit,
  • etc.

Évidemment, certains renseignements personnels sont plus sensibles que d’autres, par exemple les informations de crédit ou le numéro d’assurance sociale, mais il ne faut pas pour autant négliger la protection des autres données personnelles!

Même si, d’un point de vue marketing, ces données sont très importantes, on se doit quand même de tout mettre en oeuvre pour respecter la vie privée de nos clients et visiteurs et protéger leurs données.

femme travaillant à l'ordinateur

La loi 25 : droits et devoirs des entreprises québécoises

La nouvelle loi sur la protection des renseignements personnels prévoit différentes obligations pour les entreprises qui font affaire sur le Web, les principales étant:

  • Obtenir le consentement éclairé des visiteurs avant la collecte de renseignements personnels
  • Informer les internautes de la collecte de leurs renseignements personnels et de l’utilisation de ces données
  • Informer les individus de leurs droits quant à la collecte de leurs renseignements
  • Répondre aux requêtes des individus concernant la collecte de leurs renseignements
  • Instaurer des pratiques visant à protéger les renseignements personnels récoltés
  • Mettre en place et respecter un calendrier de conservation des données récoltées
  • Nommer un responsable de la protection des renseignements personnels au sein de l’entreprise
  • Élaborer et afficher une politique de confidentialité

Informer les visiteurs et obtenir leur consentement éclairé avant la collecte des données

Pour que les activités en ligne de votre entreprise soient conformes à la loi 25, il faudra désormais vous assurer que les visiteurs ont été informés de la collecte de leurs renseignements personnels, des fins auxquelles ces données sont collectées et obtenir leur consentement libre et éclairé avant même que toute collecte soit effectuée.

Si vous utilisez des cookies, pixels de suivi ou si vous récoltez des adresses courriel, par exemple, il vous faudra donc expliquer clairement à vos visiteurs quelles informations sont récoltées, pourquoi, et de quelle(s) façon(s) ces renseignements personnels seront utilisés, en plus de valider leur autorisation.

Pour que le consentement soit valide, il doit être donné librement et de façon éclairée.

En d’autres mots, il faut que les utilisateurs aient accès facilement à toutes les informations nécessaires pour bien comprendre ce qu’implique le consentement qu’ils s’apprêtent à donner et ils doivent être libres de refuser.

Il faut également obtenir le consentement des utilisateurs chaque fois qu’une nouvelle collecte de renseignements personnels est faite. Par exemple, il faut obtenir le consentement d’un visiteur pour utiliser des informations de suivi (cookies), et il faut également lui demander son consentement si on désire récolter son adresse courriel. L’utilisateur doit être libre d’accepter ou de refuser dans chacun des cas.

La seule exception serait si le but pour lequel le renseignement personnel a été récolté initialement est compatible avec une nouvelle fin.

Instaurer des pratiques visant à protéger les renseignements personnels récoltés

La loi 25 stipule que les entreprises concernées devront mettre en place des mesures de protection des renseignements personnels, comme:

  • la protection et la sécurisation des documents;
  • l’utilisation de systèmes de sécurité informatique et la protection par mot de passe;
  • toute autre mesure pertinente à l’organisation et la formation des employés à ces mesures.

Il doit également y avoir en place une procédure à suivre en cas de faille de sécurité et de fuite de renseignements personnels, et tout incident de sécurité risquant de causer un préjudice sérieux aux personnes concernées doit être communiqué sans attendre à ces individus ainsi qu’à la Commission d’accès à l’information du Québec.

Mettre en place et respecter un calendrier de conservation des données récoltées

Les données récoltées ne doivent pas être conservées indéfiniment. Dès que la fin pour laquelle elles ont été récoltées est atteinte, elles doivent être supprimées ou anonymisées de façon à ce qu’il devienne impossible d’identifier, directement ou indirectement, l’individu concerné.

La seule exception à ce délai serait lorsque la conservation de ces renseignements doit être prolongée dans un contexte prévu par la loi, par exemple à des fins fiscales, ou selon un code déontologique.

Répondre aux requêtes des individus concernant la collecte de leurs renseignements

La loi 25 stipule que les individus ont le droit d’accéder aux renseignements personnels les concernant qui ont été collectés par une entreprise ou un organisme privé. Ils ont également le droit d’en contester l’exactitude et d’en demander la correction, au besoin.

Il peuvent aussi en demander la suppression dans certains cas, par exemple si la conservation des renseignements personnels n’est plus justifiable ou si les renseignements ne sont plus valides.

Dans le cas où le consentement à l’utilisation des renseignements personnels serait retiré, l’entreprise devrait alors supprimer les renseignements de ses bases de données.

Dans tous les cas, l’entreprise doit répondre à ces requêtes dans un délai maximal de 30 jours et informer les individus des mesures qui seront prises.

Nommer un(e) responsable de la protection des renseignements personnels au sein de l’entreprise

L’un des points de la loi 25 à être entré en vigueur récemment est la nécessité de nommer une personne responsable de la protection des renseignements personnels. Par défaut, il s’agit de la personne la plus haut placée dans l’entreprise, mais ce rôle peut être confié à quelqu’un d’autre.

Le plus important est d’afficher de façon claire et accessible sur le site internet les coordonnées où joindre cette personne en cas de besoin.

Élaborer et afficher une politique de confidentialité

Depuis le 22 septembre 2023, un autre point de la loi 25 est entré en vigueur: la nécessité de mettre en place et d’afficher une politique de confidentialité claire et transparente.

Cette politique doit être simple à comprendre pour les utilisateurs du site et décrire clairement quels sont les renseignements personnels collectés par l’entreprise, comment ces renseignements sont utilisés et à qui ils sont transférés.

Les actions concrètes à poser pour protéger les renseignements personnels récoltés et respecter la loi 25

La protection des renseignements personnels sur le Web doit absolument être prise au sérieux. Le Web est en constante expansion et la quantité d’informations partagées quotidiennement est phénoménale. Malheureusement, les risques potentiels liés à la sécurité augmentent également au même rythme.

Les scandales mettant en vedette des entreprises victimes de fuites de données ou de cyberattaques font fréquemment la une des médias. Très souvent, ce sont des incidents qui auraient pu être évités en adoptant des mesures de sécurité de base. C’est notamment l’une des motivations derrière l’élaboration de la loi 25.

Voici donc quelques mesures que vous pouvez mettre en place dès que possible pour vous conformer à la nouvelle loi sur la protection des renseignements personnels:

  1. Identifier les renseignements personnels qui sont collectés par l’entreprise.
  2. Déterminer à quelle(s) fin(s) ces renseignements sont utilisés et à qui ils sont communiqués.
  3. Valider la pertinence et le réel besoin de collecter chacun de ces renseignements
  4. Mettre en place des procédures à suivre pour protéger et sécuriser les renseignements personnels récoltés et s’assurer que les employés concernés sont bien formés à ces procédures.
  5. Nommer une personne responsable de la protection des renseignements personnels et afficher ses informations de contact sur le site Web.
  6. Utiliser les outils numériques qui permettent d’obtenir le consentement éclairé des visiteurs avant de récolter leurs données personnelles sur le site.

Comment une entreprise peut gagner en crédibilité grâce à la protection des renseignements personnels

Pourquoi se conformer à la loi 25? Les premières raisons qui nous viennent en tête sont, bien sûr, de natures légales et punitives: pour éviter des amendes, ne pas entacher la réputation de l’organisation, etc.

On néglige souvent les aspects bénéfiques d’être proactif dans ce domaine.

Une entreprise qui met tout en œuvre pour s’assurer de la protection des renseignements personnels de ses clients a beaucoup à gagner!

En effet, les clients se sentiront plus en confiance et apprécieront que l’entreprise respecte leur vie privée. L’entreprise gagnera en crédibilité et l’application des mesures prévues par la loi 25 permettra de renforcer les relations avec la clientèle.

À moyen et long terme, ces efforts se traduiront par une meilleure fidélisation, une réputation améliorée et un meilleur taux de satisfaction et d’évaluations positives.

Bref, se conformer à la 25 et prendre toutes les mesures appropriées pour protéger les renseignements personnels des clients permettra d’éviter des incidents de sécurité, mais aussi de renforcer la relation de confiance et de favoriser la fidélisation des clients envers l’entreprise.

femme travaillant à l'ordinateur

Formation: tout savoir sur les dispositions de la loi 25 et comment l’appliquer concrètement sur son site Web

Cet article résume les grandes lignes de la nouvelle loi 25 sur la protection des renseignements personnels, mais les entreprises qui font affaire en ligne ont avantage à approfondir leurs connaissances sur cette loi et à apprendre comment l’appliquer de façon concrète.

C’est dans ce but que la formation Loi 25: comment protéger ton entreprise en ligne et les renseignements personnels de tes clients a été créée.

Me Aicha Tohry, avocate spécialisée en droit du numérique, Mélodie Lambert, experte Shopify, et moi avons mis au point cette formation pour vous permettre de:

  • bien comprendre les dispositions de la loi 25 et les nouvelles obligations des entreprises en ligne.
  • évaluer vos pratiques actuelles en matière de protection des renseignements personnels.
  • déterminer quelles seraient les pratiques et politiques à mettre en place concernant la collecte, l’utilisation et la communication des renseignements personnels.
  • implémenter les mises à niveau techniques pour respecter la loi 25 sur votre site Web WordPress ou votre boutique en ligne Shopify.

Suite à cette formation, vous serez donc en mesure de bien comprendre le langage juridique qui entoure la nouvelle loi 25 et de savoir exactement quels éléments sont à modifier ou implémenter dans votre entreprise pour vous y conformer.

Au final, la loi 25 sur la protection des renseignements personnels poussera les entreprises et organismes privés du Québec à adapter leurs pratiques en ligne pour mieux encadrer la collecte, l’utilisation et le partage des ces données et mieux protéger la vie privée de leur clientèle.

Vous avez tout avantage à mettre vos pratiques à jour pour respecter cette loi dès que possible, car en plus d’éviter de possibles poursuites ou sanctions, vous pourrez améliorer la relation de confiance de vos clients envers votre entreprise.

Alors, si vous avez des questions concernant cette formation, n’hésitez pas à nous contacter et il nous fera plaisir de répondre à vos interrogations!

Notre checklist Conformité Loi 25

Débutez la conformité de votre site Web à la Loi 25 avec notre checklist gratuite.

Partagez ça