Que signifie la Loi 25 pour la protection des renseignements personnels ?
La Loi 25, fut adoptée après une vague inédite de fuite de renseignements personnels au Québec. La faute en partie à des investissements trop faibles des entreprises en matière de cybersécurité. Afin de renverser la donne, le Gouvernement du Québec a promulgué cette loi pour d’une part protéger les données de ses concitoyens et, d’autre part, pour pousser les entreprises à prendre des mesures concrètes dans le but de faire face aux risques.
La loi prévoit également des sanctions accrues en cas de non-conformité, reflétant ainsi l’importance accordée à la protection de la vie privée dans la société actuelle. L’adoption de la Loi 25 au Québec représente une transition importante vers des normes de protection des données plus rigoureuses. Cette législation impose aux entreprises et aux organismes publics de nouvelles obligations concernant des renseignements personnels :
- la collecte
- l’utilisation
- la conservation
- l’anonymisation
- la destruction
- la restitution
La loi introduit par ailleurs des mesures strictes pour garantir la transparence et le consentement des individus, ainsi que des sanctions sévères en cas de non-conformité.
Afin de comprendre réellement cette Loi, il faut d’abord comprendre qu’est-ce qu’un renseignement au Québec et quelle en est la définition au Québec.
Qu’est-ce qu’un “renseignement personnel” au Québec?
Au Québec, on définit un renseignement personnel comme toute information qui concerne une personne physique et permet de l’identifier directement ou indirectement. Cette définition est large et englobe divers types d’informations, qu’elles soient privées, publiques, sensibles ou non.
Contrairement au Règlement général sur la protection des données (RGPD) de l’Union européenne dont se sont inspirés les créateurs de la Loi 25, la notion de renseignements diverge. Québec, on ne considère pas tous les renseignements figurant sur une carte d’affaires comme des renseignements personnels
Voici quelques exemples de renseignements personnels selon le Gouvernement du Québec :
- Nom et prénom
- L’adresse de domicile ou de travail d’une personne
- Numéro de téléphone personnel
- Une adresse de courrier électronique personnelle
- Numéro d’assurance sociale
- Date de naissance
- Informations médicales
- Informations financières
- Empreintes digitales, reconnaissance faciale, etc.
- Données de localisation
Au sein d’une organisation, une donnée personnelle peut donc appartenir à un client, un fournisseur, un visiteur de votre site web mais également à vos employés. Et oui, stocker un NAS dans un drive libre accès, ce n’est pas une bonne idée (c’est plus courant que vous ne le pensez !).
Ultimatum au 22 septembre 2024
La mise en œuvre de la Loi 25 se fait en trois phases distinctes, chacune introduisant progressivement de nouvelles obligations pour les entreprises et les organismes publics. Voici les plus importantes :
Phase 1 (22 septembre 2022)
- Désigner un Responsable de la protection des renseignements personnels
- Élaboration et publication des politiques de gouvernance des renseignements personnels
- Obligation de signaler les incidents de confidentialité selon les cas
- Élaborer un inventaire des renseignements personnels
- Mettre en place un programme de formation des employés
Phase 2 (22 septembre 2023)
- Obtention d’un consentement explicite et éclairé des individus avant de collecter, utiliser ou communiquer leurs renseignements personnels, sur votre site web notamment
- Réalisation des Évaluations des facteurs relatifs à la vie privée (EFVP) pour évaluer les risques associés aux projets impliquant des renseignements personnels. À réaliser selon les cas
- Mettre en place un processus d’anonymisation, de destruction des données personnelles et permettre le droit à l’oubli
Phase 3 (22 septembre 2024)
- Mettre en place des mesures facilitant le droit à la portabilité des données.
Et après le 22 septembre 2024 ?
Après le 22 septembre 2024, la Loi 25 sera pleinement en vigueur, imposant à toutes les entreprises et organismes publics de se conformer à ses exigences. Voici ce qui changera :
- Les organisations devront respecter toutes les obligations de la loi.
- La Commission d’accès à l’information (CAI) pourra effectuer des contrôles et des audits pour vérifier la conformité des pratiques des organisations.
- En cas de non-respect de la loi, des sanctions plus sévères pourront être appliquées, incluant des amendes administratives.
- Les droits des citoyens seront renforcés, avec des mécanismes en place pour exercer des droits comme le droit à l’oubli, la portabilité des données, et l’opposition au profilage et aux décisions automatisées.
- Une culture de la protection des données devra être instaurée au sein des organisations, impliquant une sensibilisation et une formation continue des employés.
La Loi évoluera probablement dans les années à venir pour se rapprocher davantage de son homologue Européen. Ainsi, davantage de renseignements pourraient être considérés comme personnels et la CAI tendra à être de moins en moins indulgente avec les organisations non conformes.
Comment se conformer à la Loi 25 ?
Maintenant que nous avons une bonne compréhension de ce qu’est la Loi 25, comment on s’y conforme? Pour cela, je vous dirai que tout dépend de la taille de votre société, de votre contexte et de la sensibilité des renseignements que vous gérez.
- Plus une entreprise est grande, plus vous allez collecter les renseignements personnels de clients, fournisseurs, prospects et même employés.
- Pour votre contexte, peut-être qu’une partie de votre stratégie réside sur internet. Dans ce cas-là, vos sites internet sont souvent des aspirateurs à données personnelles.
- Enfin, certaines données sont considérées comme données sensibles. C’est le cas des données de santé, des appartenances syndicales, des informations financières, etc.
Pour résumer, moins une société possède de renseignements personnels, plus il est simple d’entre-autre réaliser l’inventaire des renseignements personnels, de déployer l’ensemble des politiques et registres, etc.
Pour les autres, c’est une autre paire de manches. Piloter sa conformité Loi 25 peut vite devenir un casse-tête tant les fichiers Excels vont se multiplier. De plus, il sera difficile de garantir l’anonymisation, la destruction, et le droit à l’oubli des usagers.
C’est précisément pour répondre à ce problème qu’un outil tel que BlueKanGo se montre d’une aide précieuse. Gain de temps, sérénité d’esprit, sécurité, diffusion de l’information, notre module de Loi 25 a été pensé pour tous les Responsables des Renseignements Personnels.
💡 Recommandé pour vous :
Utiliser BlueKanGo pour piloter sa conformité à la Loi 25
Le module Loi 25 de BlueKanGo vous aide à piloter votre conformité avec les fonctionnalités suivantes :
- Inventaire des renseignements personnels : Un inventaire pré-conçu, vous permettant de centraliser les données collectées.
- Évaluations des Facteurs de Vie Privée (EFVP) : Un outil pour évaluer et documenter les risques liés à la vie privée.
- Maîtrise des sous-traitants : Gestion des obligations et audits des sous-traitants.
- Exercice des droits des personnes : Interface pour recevoir et gérer les demandes des droits des individus.
- Traitement des demandes des droits des personnes : Workflow automatisé et suivi des réponses.
- Registre des violations de données : Enregistrement et suivi des incidents de sécurité.
- Grille de diagnostic et d’audit : Un outils d’auto-évaluation pour vérifier la conformité continue.
En résumé, l’utilisation de BlueKanGo pour piloter la gestion de la Loi 25 offre une approche intégrée et proactive pour assurer la conformité réglementaire. Grâce à ses outils, BlueKanGo facilite une gestion rigoureuse et transparente des données sensibles. La grille de diagnostic et d’audit permet par ailleurs une évaluation continue de la conformité, vous permettant de tester la conformité et surtout, de la rester au fil du temps.
Conclusion de l’expert
Avec cette dernière date butoir (NDLR : le 22 septembre 2024), plus de retour en arrière. Les entreprises sont dans l’obligation d’être conforme et de le rester. Piloter sa Loi 25 implique d’avoir une ressource dédiée à son suivi, le Responsable des Renseignements Personnels. Pour autant, au vu de la quantité de données collectées aujourd’hui, un outil de gestion est conseillé afin d’épauler ce dernier.
BlueKanGo se place comme un outil de choix, offrant une solution complète pour gérer et maintenir la conformité à la Loi 25. Son interface intuitif et ses fonctionnalités avancées en font un atout précieux pour toute organisation cherchant à protéger les données personnelles de manière efficace et conforme aux exigences légales.