Agence Web et Digitale depuis 2006

Loi 25 au Québec, protection des renseignements personnels, c’est quoi et comment la mettre en place

La mise en vigueur de la Loi 25 bouleverse la gestion des données personnelles, imposant de strictes directives aux entreprises, OBNL, et institutions. Ce changement normatif, aligné sur des standards internationaux comme le RGPD, signifie que toute entité traitant des données de résidents québécois doit agir. Des amendes conséquentes menacent les non-conformes. Notre article détaille les exigences de cette loi et fournit des stratégies claires pour une mise en conformité réussie.

loi-25-au-quebec-protection-des-renseignements-personnels-cest-quoi-et-comment-la-mettre-en-place

Contactez-nous !

Ou consultez nos produits

Il est important de souligner que les informations présentées dans cet article le sont à des fins informatives uniquement et ne doivent pas être interprétées comme des conseils juridiques. Il est impératif que votre organisation consulte un avocat spécialisé pour confirmer sa conformité avec la Loi 25. Pour de plus amples renseignements sur cette réglementation, veuillez consulter directement le site web du gouvernement du Québec, ici, ainsi que celui de la Commission d’accès à l’information du Québec, ici.

C’est quoi la loi 25 au Québec ?

La Loi 25, désignée comme la “Loi sur la protection des renseignements personnels” au Québec, revêt une importance capitale pour les entreprises de l’ère digitale.

Son objectif est de réformer les pratiques de traitement des données personnelles et de les harmoniser avec des standards mondiaux, tels que le RGPD de l’Union Européenne.

Champ d’action et mise en œuvre de la Loi 25 : Entités gouvernementales et secteur privé

Entrée en vigueur en 2022, cette législation s’adresse à l’ensemble des entités commerciales, y compris les petites et moyennes entreprises (PME) ainsi qu’aux organismes gouvernementaux, sans considération de leur envergure.

Elle possède également une dimension extraterritoriale, s’étendant aux sociétés qui gèrent des informations de citoyens du Québec, qu’elles se trouvent à l’intérieur ou à l’extérieur de la province.

Pour résumer, les entités concernées sont:

Travailleurs autonomes (même si le revenu est faible)
Organismes à but non lucratif
Compagnies privées
Associations, regroupements et coopératives

En fait toute entité collectant des données. Même sans site internet! Si vous utilisez un système de gestion de la relation client (CRM), tenez une comptabilité ou effectuez des transactions de paiement, vous êtes concerné.

Date de mise en application

Des éléments clés de la Loi 25 sont effectifs depuis le 22 septembre 2022. D’autres dispositions s’activeront de manière graduelle sur une période de trois ans. Les obligations de la deuxième et troisième phase seront applicables respectivement le 22 septembre 2023 et 2024. Cette progression par étapes offre aux entreprises et organisations québécoises le temps de s’ajuster aux nouvelles exigences en matière de cybersécurité et de sauvegarde des données personnelles.

Conséquences financières d’un défaut de conformité avec la loi 25

Les petites et moyennes entreprises (PME) qui ne respectent pas les dispositions de la Loi 25 s’exposent à d’importantes sanctions, aussi bien juridiques que pécuniaires. Les pénalités pour non-respect peuvent atteindre des montants substantiels, allant jusqu’à plusieurs millions de dollars.

En cas de manquement à la loi :

Pour les individus

Pour une infraction mineure ou administrative : entre 500 $ et 50 000 $ ;
Pour une infraction de gravité modérée : entre 1 500 $ et 50 000 $ ;
Pour une infraction grave : entre 3 000 $ et 50 000 $ ;
Pour une infraction très grave : entre 5 000 $ et 50 000 $.

Pour les entités commerciales et organismes publics

Pour une infraction mineure ou administrative : entre 1 000 $ et 10 millions de dollars ou 2 % du chiffre d’affaires (CA) mondial de l’année financière précédente, selon le montant le plus élevé ;
Pour une infraction de gravité modérée : entre 4 000 $ et 10 millions de dollars ou 2 % du CA mondial de l’année financière précédente, selon le montant le plus élevé ;
Pour une infraction grave : entre 8 000 $ et 10 millions de dollars ou 2 % du CA mondial de l’année financière précédente, selon le montant le plus élevé ;
Pour une infraction très grave : entre 15 000 $ et 10 millions de dollars ou 2 % du CA mondial de l’année financière précédente, selon le montant le plus élevé.

Qui est visé par la loi 25 ? (entreprises, associations, individus…)

La portée de la Loi 25 englobe une diversité d’entités, y compris :

Les Entreprises Privées : Toutes les entités commerciales actives au Québec, indépendamment de leur taille ou de leur domaine d’activité, doivent se conformer à cette loi. Cela englobe aussi bien les PME, les géants du secteur multinational, les jeunes entreprises innovantes…
Les Organismes à But Non Lucratif (OBNL) : Ces organisations, pourvu qu’elles gèrent, utilisent ou diffusent des données personnelles, sont également assujetties à cette loi.
Les Établissements Publics : Bien que la loi cible avant tout le secteur privé, certaines obligations s’étendent aussi aux entités publiques du Québec.
Les Particuliers : Les citoyens jouissent de droits accrus en matière de protection de leurs données personnelles grâce à cette loi, avec, entre autres, le droit à la transférabilité des données et le droit à l’effacement.

Plan d’action proposé

À compléter pour septembre 2022

Désigner un responsable de la protection des renseignements personnels
Créer ou mettre à jour les politiques et les pratiques encadrant la gouvernance des renseignements personnels
Mettre en place un registre des incidents de confidentialité et un processus de notification
Avoir un inventaire des renseignements personnels de l’entreprise
Mettre en place un programme de formation sur la protection des renseignements personnels

À compléter pour septembre 2023

Mettre à jour les politiques et les pratiques encadrant la conservation, la destruction et l’anonymisation des renseignements personnels
Mettre en place un processus de traitement des plaintes relatives à la protection des renseignements personnels
Publier les éléments clés des règles de gouvernance encadrant la protection des renseignements personnels sur le site Web de l’entreprise
Mettre en place un politique et un processus d’évaluation des facteurs relatifs à la vie privée (EFVP) pour le traitement des renseignements personnels
Mettre en place un processus de cueillette du consentement pour recueillir, détenir, utiliser ou communiquer des renseignements personnels
Mettre en place un processus de désindexation

À compléter pour septembre 2024

Implanter des mesures facilitant le droit à la portabilité des données

Modifications nécessaires pour votre site internet

Bien que la réglementation concerne plus largement que votre présence en ligne, il est essentiel de prendre des mesures spécifiques pour garantir que votre site internet respecte les normes.

Établir (ou actualiser) et afficher votre politique de confidentialité

Il est indispensable de clarifier auprès des visiteurs de votre site les procédures relatives à la collecte, l’usage, le stockage et la divulgation de leurs données personnelles. Précisez les motifs de ces collectes et l’utilisation envisagée de ces informations.

S’assurer du consentement explicite

Avant de collecter des données personnelles, il faut obtenir un accord manifeste et informé des utilisateurs de votre site. Ce consentement doit être donné volontairement, en toute connaissance de cause et de manière spécifique. L’implémentation d’un système de gestion de consentement sur votre site est donc nécessaire.

Mettre en avant le contact du délégué à la protection des données

Votre organisation devrait avoir désigné un responsable à la protection des données personnelles. Publiez ses informations de contact sur votre site internet pour assurer la transparence.

Ressources

Guide du gouvernement concernant la loi 25

Admettons-le, déchiffrer les manuels officiels n’est pas la tâche la plus palpitante, mais lorsqu’il s’agit de la Loi 25, la Commission d’Accès à l’Information (CAI) du Québec détient les réponses. Ces ressources regorgent d’éclaircissements essentiels pour naviguer dans les méandres de cette réglementation.

Se référer à ces lignes directrices, c’est s’assurer de rester dans les clous de la légalité.

Le guide pour conduire une Évaluation des Facteurs Relatifs à la vie Privée.
Un dossier détaillant les délais pour les obligations des entreprises du secteur privé, régulièrement actualisé avec les dernières informations.
L’aide-mémoire de la CAI pour se familiariser avec les nouvelles responsabilités et obligations imposées par la loi.

Les plugins WordPress

Advanced Access Manager – Ce plugin WordPress est conçu pour contrôler précisément les accès à votre site web, permettant d’attribuer des permissions spécifiques adaptées aux rôles de chacun de vos employés. Cette approche améliore significativement la sécurité des données sur votre site. Assurez-vous que chaque individu disposant de la nécessité d’accéder à certaines informations puisse le faire en toute sécurité. – Gratuit
All In One Security – Sécurisation de la collecte des données. Ce plugin assure un suivi des interactions sur votre site, permettant d’identifier des activités inhabituelles ou des infractions à la Loi 25. Son pare-feu d’application web intégré est conçu pour repérer et contrer automatiquement les risques de sécurité, assurant ainsi la sauvegarde des données de votre site et la confidentialité des informations de vos utilisateurs. – Version gratuite ou premium