La loi 25, je commence par où?

La loi 25 sur la protection des renseignement personnels est en vigueur depuis 2021, et s’applique dans son entièreté depuis septembre 2024. Pour une organisation, la loi 25 a des impacts à plusieurs niveaux et processus, que ce soient pour les informations sur les employés, les clients, ou les fournisseurs.

Mais avec un site web, une application en ligne, je commence par où? Excellente question!

La mise à jour d’un site web n’est pas nécessairement une activité fréquente pour toutes les organisations, et il peut être difficile de s’y retrouver. Chez Ciao, nous aimons commencer avec une évaluation des facteurs de risque à la vie privée (EFVP), c’est un simple tableau qui permet de nous guider dans notre réflexion sur la sécurité des données dans le système concerné :

• La nature des données dans le système
• Les accès à ce système
• Les infrastructures technologiques
• Le consentement des personnes dont les données sont dans le système
• La politique de confidentialité

Le EFVP est un guide précieux pour explorer les différentes facettes de la protection des données et s’engager dans une démarche qui protège non seulement les données de l’entreprise, mais aussi l’entreprise elle-même. Nous connaissons tous une entreprise qui a été victime de vol de données. Petite ou grande, votre organisation et ses clients méritent d’être protégés.

Au Québec, nous avons à cœur d’obtenir le consentement de nos visiteurs, utilisateurs et clients lorsqu’ils nous partagent leurs données personnelles. La protection de la confidentialité des données dans une application web est essentielle pour garantir la confiance des utilisateurs.

Envie d’en savoir plus? Parlez-nous de votre projet!

Loi 25 en bref

La Loi 25, adoptée au Québec en septembre 2021, réforme la législation sur la protection des renseignements personnels en modernisant les règles applicables aux entreprises et aux organismes publics.

Objectifs

• Renforcer la protection des renseignements personnels pour répondre aux défis des nouvelles technologies et pratiques numériques.
• Accroître la transparence et la responsabilisation des organisations dans la gestion des données personnelles.

Principales mesures

• Responsable de la protection des renseignements personnels : Chaque organisation doit désigner une personne responsable de la protection des données (souvent le dirigeant ou une personne déléguée).
• Obligation de consentement clair : Les entreprises doivent obtenir un consentement explicite, libre et éclairé pour collecter, utiliser ou communiquer des renseignements personnels.
• Transparence : Obligation d'informer les individus sur les raisons de la collecte, l’utilisation et la communication des données.
• Confidentialité: Les politiques de confidentialité doivent être facilement accessibles et compréhensibles.
• Portabilité des données : Les individus ont le droit de demander une copie de leurs renseignements personnels dans un format technologique structuré et lisible.
• Impact des technologies : Obligation d’effectuer une analyse d’impact sur la vie privée avant de mettre en œuvre des projets impliquant des renseignements personnels, surtout pour des technologies comme l’intelligence artificielle.
• Notification des incidents : Les organisations doivent signaler tout incident de confidentialité présentant un risque sérieux de préjudice à la Commission d'accès à l'information (CAI) et aux personnes concernées.
• Amendes sévères en cas de non-conformité : Jusqu’à 50 000 $ pour les individus; jusqu’à 25 millions $ ou 4 % du chiffre d'affaires mondial annuel pour les entreprises.