Il est important de souligner que les informations présentées dans cet article le sont à des fins informatives uniquement et ne doivent pas être interprétées comme des conseils juridiques. Il est impératif que votre organisation consulte un avocat spécialisé pour confirmer sa conformité avec la Loi 25. Pour de plus amples renseignements sur cette réglementation, veuillez consulter directement le site web du gouvernement du Québec, ici, ainsi que celui de la Commission d’accès à l’information du Québec, ici.
C’est quoi la loi 25 au Québec ?
La Loi 25, désignée comme la « Loi sur la protection des renseignements personnels » au Québec, revêt une importance capitale pour les entreprises de l’ère digitale.
Son objectif est de réformer les pratiques de traitement des données personnelles et de les harmoniser avec des standards mondiaux, tels que le RGPD de l’Union Européenne.
Champ d’action et mise en œuvre de la Loi 25 : Entités gouvernementales et secteur privé
Entrée en vigueur en 2022, cette législation s’adresse à l’ensemble des entités commerciales, y compris les petites et moyennes entreprises (PME) ainsi qu’aux organismes gouvernementaux, sans considération de leur envergure.
Elle possède également une dimension extraterritoriale, s’étendant aux sociétés qui gèrent des informations de citoyens du Québec, qu’elles se trouvent à l’intérieur ou à l’extérieur de la province.
Pour résumer, les entités concernées sont:
- Travailleurs autonomes (même si le revenu est faible)
- Organismes à but non lucratif
- Compagnies privées
- Associations, regroupements et coopératives
En fait toute entité collectant des données. Même sans site internet! Si vous utilisez un système de gestion de la relation client (CRM), tenez une comptabilité ou effectuez des transactions de paiement, vous êtes concerné.
Date de mise en application
Des éléments clés de la Loi 25 sont effectifs depuis le 22 septembre 2022. D’autres dispositions s’activeront de manière graduelle sur une période de trois ans. Les obligations de la deuxième et troisième phase seront applicables respectivement le 22 septembre 2023 et 2024. Cette progression par étapes offre aux entreprises et organisations québécoises le temps de s’ajuster aux nouvelles exigences en matière de cybersécurité et de sauvegarde des données personnelles.
Conséquences financières d’un défaut de conformité avec la loi 25
Les petites et moyennes entreprises (PME) qui ne respectent pas les dispositions de la Loi 25 s’exposent à d’importantes sanctions, aussi bien juridiques que pécuniaires. Les pénalités pour non-respect peuvent atteindre des montants substantiels, allant jusqu’à plusieurs millions de dollars.
En cas de manquement à la loi :
Pour les individus
- Pour une infraction mineure ou administrative : entre 500 $ et 50 000 $ ;
- Pour une infraction de gravité modérée : entre 1 500 $ et 50 000 $ ;
- Pour une infraction grave : entre 3 000 $ et 50 000 $ ;
- Pour une infraction très grave : entre 5 000 $ et 50 000 $.
Pour les entités commerciales et organismes publics
- Pour une infraction mineure ou administrative : entre 1 000 $ et 10 millions de dollars ou 2 % du chiffre d’affaires (CA) mondial de l’année financière précédente, selon le montant le plus élevé ;
- Pour une infraction de gravité modérée : entre 4 000 $ et 10 millions de dollars ou 2 % du CA mondial de l’année financière précédente, selon le montant le plus élevé ;
- Pour une infraction grave : entre 8 000 $ et 10 millions de dollars ou 2 % du CA mondial de l’année financière précédente, selon le montant le plus élevé ;
- Pour une infraction très grave : entre 15 000 $ et 10 millions de dollars ou 2 % du CA mondial de l’année financière précédente, selon le montant le plus élevé.
Qui est visé par la loi 25 ? (entreprises, associations, individus…)
La portée de la Loi 25 englobe une diversité d’entités, y compris :
- Les Entreprises Privées : Toutes les entités commerciales actives au Québec, indépendamment de leur taille ou de leur domaine d’activité, doivent se conformer à cette loi. Cela englobe aussi bien les PME, les géants du secteur multinational, les jeunes entreprises innovantes…
- Les Organismes à But Non Lucratif (OBNL) : Ces organisations, pourvu qu’elles gèrent, utilisent ou diffusent des données personnelles, sont également assujetties à cette loi.
- Les Établissements Publics : Bien que la loi cible avant tout le secteur privé, certaines obligations s’étendent aussi aux entités publiques du Québec.
- Les Particuliers : Les citoyens jouissent de droits accrus en matière de protection de leurs données personnelles grâce à cette loi, avec, entre autres, le droit à la transférabilité des données et le droit à l’effacement.
Plan d’action proposé
À compléter pour septembre 2022
- Désigner un responsable de la protection des renseignements personnels
- Créer ou mettre à jour les politiques et les pratiques encadrant la gouvernance des renseignements personnels
- Mettre en place un registre des incidents de confidentialité et un processus de notification
- Avoir un inventaire des renseignements personnels de l’entreprise
- Mettre en place un programme de formation sur la protection des renseignements personnels
À compléter pour septembre 2023
- Mettre à jour les politiques et les pratiques encadrant la conservation, la destruction et l’anonymisation des renseignements personnels
- Mettre en place un processus de traitement des plaintes relatives à la protection des renseignements personnels
- Publier les éléments clés des règles de gouvernance encadrant la protection des renseignements personnels sur le site Web de l’entreprise
- Mettre en place un politique et un processus d’évaluation des facteurs relatifs à la vie privée (EFVP) pour le traitement des renseignements personnels
- Mettre en place un processus de cueillette du consentement pour recueillir, détenir, utiliser ou communiquer des renseignements personnels
- Mettre en place un processus de désindexation
À compléter pour septembre 2024
- Implanter des mesures facilitant le droit à la portabilité des données
Modifications nécessaires pour votre site internet
Bien que la réglementation concerne plus largement que votre présence en ligne, il est essentiel de prendre des mesures spécifiques pour garantir que votre site internet respecte les normes.
Établir (ou actualiser) et afficher votre politique de confidentialité
Il est indispensable de clarifier auprès des visiteurs de votre site les procédures relatives à la collecte, l’usage, le stockage et la divulgation de leurs données personnelles. Précisez les motifs de ces collectes et l’utilisation envisagée de ces informations.
S’assurer du consentement explicite
Avant de collecter des données personnelles, il faut obtenir un accord manifeste et informé des utilisateurs de votre site. Ce consentement doit être donné volontairement, en toute connaissance de cause et de manière spécifique. L’implémentation d’un système de gestion de consentement sur votre site est donc nécessaire.
Mettre en avant le contact du délégué à la protection des données
Votre organisation devrait avoir désigné un responsable à la protection des données personnelles. Publiez ses informations de contact sur votre site internet pour assurer la transparence.
Ressources
Guide du gouvernement concernant la loi 25
Admettons-le, déchiffrer les manuels officiels n’est pas la tâche la plus palpitante, mais lorsqu’il s’agit de la Loi 25, la Commission d’Accès à l’Information (CAI) du Québec détient les réponses. Ces ressources regorgent d’éclaircissements essentiels pour naviguer dans les méandres de cette réglementation.
Se référer à ces lignes directrices, c’est s’assurer de rester dans les clous de la légalité.
- Le guide pour conduire une Évaluation des Facteurs Relatifs à la vie Privée.
- Un dossier détaillant les délais pour les obligations des entreprises du secteur privé, régulièrement actualisé avec les dernières informations.
- L’aide-mémoire de la CAI pour se familiariser avec les nouvelles responsabilités et obligations imposées par la loi.
Les plugins WordPress
- Advanced Access Manager – Ce plugin WordPress est conçu pour contrôler précisément les accès à votre site web, permettant d’attribuer des permissions spécifiques adaptées aux rôles de chacun de vos employés. Cette approche améliore significativement la sécurité des données sur votre site. Assurez-vous que chaque individu disposant de la nécessité d’accéder à certaines informations puisse le faire en toute sécurité. – Gratuit
- All In One Security – Sécurisation de la collecte des données. Ce plugin assure un suivi des interactions sur votre site, permettant d’identifier des activités inhabituelles ou des infractions à la Loi 25. Son pare-feu d’application web intégré est conçu pour repérer et contrer automatiquement les risques de sécurité, assurant ainsi la sauvegarde des données de votre site et la confidentialité des informations de vos utilisateurs. – Version gratuite ou premium