Cette réforme modernise les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel.
Cette importante réforme touche chaque entreprise, chaque organisme public et chaque citoyen. Une protection accrue des renseignements personnels et de nouveaux droits pour le citoyen, une gestion des renseignements personnels plus responsable et transparente par les organismes publics et les entreprises.
Rappelons que les modifications apportées par la Loi 25 entrent progressivement en vigueur sur une période de trois ans, jusqu’en 2024.
Qui est concerné par cette loi?
- Travailleurs autonomes
- Organismes à but non lucratif
- Entreprises et compagnies
- Associations, regroupements et coopératives
Plus spécifiquement, vous devez respecter ces directives si vous collectez, employez ou échangez des informations personnelles.
Qu’est-ce que l’on entend par « information personnelle » ?
Voici quelques exemples :
- Le nom d’une personne ;
- Son adresse postale ;
- Son adresse électronique ;
- Des détails tels que son âge, sa taille, son poids, et des informations médicales ;
- Des éléments comme son genre, son ethnie, sa religion, son niveau d’éducation et son statut marital ;
- Les identifiants qu’elle utilise en ligne ;
- Son mot de passe ;
- Des numéros tels que le numéro d’assurance sociale, le numéro de permis de conduire, ou le numéro d’assurance maladie ;
- Ses informations bancaires, incluant les détails de carte de crédit ou autres ;
- Son adresse IP (une suite de chiffres unique attribuée à un réseau internet).
Sur internet, il est fréquent de rassembler certaines de ces données lorsqu’on propose un service avec paiement en ligne. On suit les informations des visiteurs en utilisant des outils tels que Google Analytics ou Facebook Pixel, que ce soit via un formulaire de contact ou un espace réservé aux membres. Il devient donc essentiel de vérifier au plus tôt si votre site web recueille ces informations personnelles.
Les sanctions encourues par une entreprise peuvent représenter jusqu’à 4 % de son chiffre d’affaires annuel, en fonction du genre d’organisation et de la nature de l’infraction commise.
Les principales nouvelles règles
- Désigner une personne responsable de la protection des informations personnelles et afficher ses coordonnées sur le site web de l’entreprise.
- En cas de problème de confidentialité, garder une liste de tous les incidents et agir rapidement pour limiter les risques pour les personnes concernées. L’entreprise doit également informer la Commission et les personnes touchées en cas d’incident sérieux.
- Informer préalablement la Commission si l’entreprise utilise des caractéristiques ou des mesures biométriques pour vérifier ou confirmer l’identité de quelqu’un.
- Suivre les nouvelles règles pour partager des informations personnelles sans le consentement de la personne, que ce soit dans une transaction commerciale ou à des fins d’étude, de recherche ou de statistiques.
Qu’est-ce que cela implique pour vous en tant que propriétaire de site web ?
Il est vital de veiller à ce que votre site web ou service en ligne suive les règles établies. C’est crucial pour préserver les données personnelles de vos utilisateurs.
Voici une liste de rappel pour les propriétaires de site web :
- Avoir une politique de confidentialité qui explique de manière claire comment vous collectez, utilisez et sécurisez les données personnelles des utilisateurs.
- Obtenir un consentement explicite avant de collecter des données sur le site. Offrir des options claires pour révoquer ce consentement.
- Nommer une personne responsable de la protection des données et afficher ses coordonnées sur le site.
- Mettre en place des procédures pour informer en cas d’incident et tenir un registre de ces incidents.
- Éviter de transférer des informations personnelles en dehors du Québec, sauf dans des circonstances spécifiques.
- Établir des processus pour anonymiser les données personnelles lorsque cela est possible.
Si vous utilisez UA (Universal Analytics) ou GA4 (Google Analytics 4) sur votre site, vous collectez des informations sur les visiteurs, potentiellement comprenant des données personnelles.
Pour être en conformité avec la Loi 25, vous devez vous assurer de :
- Informer les visiteurs de votre site que vous employez Google Analytics et expliquer comment leurs données sont recueillies et utilisées.
- Obtenir le consentement des visiteurs avant de commencer à collecter leurs données.
- Fournir aux visiteurs la possibilité de refuser le suivi de leurs données ou de demander la suppression de leurs informations.
- Paramétrer les configurations afin de respecter les lois relatives à la protection des données.
Violation de données sur votre site ?
En cas de violation de données sur votre site web, vous devez immédiatement informer la Commission d’Accès à l’Information (CAI) et les personnes concernées si la violation présente un risque sérieux de préjudice. Vous devez également maintenir un registre des incidents de confidentialité et prendre des mesures pour éviter de futures violations.
Comment puis-je garantir la sécurité des données personnelles sur mon site web ?
Pour sécuriser les données personnelles sur votre site web, vous devriez mettre en place des mesures de sécurité adéquates, telles que le chiffrement des données, la gestion des accès et la surveillance régulière des vulnérabilités. De plus, il est essentiel de former vos employés sur les meilleures pratiques en matière de protection des informations personnelles et de sécurité informatique.
Quels sont les droits des personnes visés par la Loi 25 ?
Les personnes concernées disposent de plusieurs droits en ce qui concerne leurs informations personnelles :
- Droit d’accéder à ces informations, de les corriger, de les supprimer (droit à l’oubli) et de limiter leur traitement.
- Possibilité de demander la portabilité de leurs données, c’est-à-dire de les recevoir dans un format transférable à une autre organisation.
- Droit d’être informé lorsque des décisions les concernant sont prises sur la base d’un traitement automatisé de leurs données.
Que faire en cas de non-réponse d’une entreprise à ma demande concernant mes informations personnelles ?
Si une entreprise ne répond pas à votre demande de manière raisonnable, vous pouvez déposer une plainte auprès de la Commission d’Accès à l’Information (CAI).
La CAI examinera votre plainte et pourra prendre des mesures pour garantir le respect de la Loi 25 par l’entreprise. Cela peut impliquer des enquêtes, des médiations, des sanctions administratives ou même des poursuites judiciaires, selon la gravité de l’infraction et la coopération de l’entreprise. Vous pouvez également envoyer une mise en demeure à l’entreprise, demandant qu’elle se conforme à vos demandes en vertu de la Loi 25, en fournissant des détails sur la demande initiale et les délais écoulés.
*Ce texte offre une explication générale des lois en vigueur au Québec et ne constitue pas un conseil juridique ou une opinion. Pour obtenir des conseils adaptés à votre situation spécifique, veuillez consulter un avocat.
Sources:
Lien vers site du gouvernement du Québec:
Aide-mémoire: https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf
Bang Marketing: https://www.bang-marketing.com/publications/ebang/preparez-vous-aux-impacts-de-la-loi-25-sur-votre-site-web/
Juridik: https://www.juridik.ca/blogue/nouvelle-loi-25/
Collectif Web: https://collectif-web.ca/loi-25-quebec-se-conformer-le-guide/
