Cet article ne constitue en aucun cas du conseil juridique et est purement informatif.
Il est très important de prendre connaissance de la loi 25 sur la protection des renseignements personnels dès maintenant puisque certaines de ses dispositions sont déjà entrées en vigueur, et d’autres prendront effet au cours des prochains mois.
Voyons donc quelles sont les dispositions de cette loi, quels aspects des activités commerciales sont concernés et comment s’y conformer.
Est-ce que la loi 25 vous concerne?
Cette nouvelle loi, qui se nomme aussi la Loi sur la protection des renseignements personnels dans le secteur privé, a pour but de pousser les entreprises du Québec à encadrer de façon plus rigoureuse et sécuritaire la gestion et l’utilisation des renseignements personnels et de permettre aux utilisateurs d’avoir un plus grand contrôle sur la récolte et l’utilisation de leurs données.
Elle concerne toutes les entreprises et organismes privés qui, dans un contexte d’affaires, récoltent et utilisent des renseignements personnels sur le Web.
Qu’est-ce qu’un renseignement personnel aux yeux de la loi?
Au sens de la loi, les renseignements personnels englobent toutes les données qui sont liées à une personne identifiée ou identifiable. Il peut s’agir, par exemple, de :
- numéro d’assurance sociale,
- nom,
- adresse postale,
- numéro de téléphone,
- adresse email,
- historique de crédit,
- etc.
Évidemment, certains renseignements personnels sont plus sensibles que d’autres, par exemple les informations de crédit ou le numéro d’assurance sociale, mais il ne faut pas pour autant négliger la protection des autres données personnelles!
Même si, d’un point de vue marketing, ces données sont très importantes, on se doit quand même de tout mettre en oeuvre pour respecter la vie privée de nos clients et visiteurs et protéger leurs données.
La loi 25 : droits et devoirs des entreprises québécoises
La nouvelle loi sur la protection des renseignements personnels prévoit différentes obligations pour les entreprises qui font affaire sur le Web, les principales étant:
- Obtenir le consentement éclairé des visiteurs avant la collecte de renseignements personnels
- Informer les internautes de la collecte de leurs renseignements personnels et de l’utilisation de ces données
- Informer les individus de leurs droits quant à la collecte de leurs renseignements
- Répondre aux requêtes des individus concernant la collecte de leurs renseignements
- Instaurer des pratiques visant à protéger les renseignements personnels récoltés
- Mettre en place et respecter un calendrier de conservation des données récoltées
- Nommer un responsable de la protection des renseignements personnels au sein de l’entreprise
- Élaborer et afficher une politique de confidentialité
Informer les visiteurs et obtenir leur consentement éclairé avant la collecte des données
Pour que les activités en ligne de votre entreprise soient conformes à la loi 25, il faudra désormais vous assurer que les visiteurs ont été informés de la collecte de leurs renseignements personnels, des fins auxquelles ces données sont collectées et obtenir leur consentement libre et éclairé avant même que toute collecte soit effectuée.
Si vous utilisez des cookies, pixels de suivi ou si vous récoltez des adresses courriel, par exemple, il vous faudra donc expliquer clairement à vos visiteurs quelles informations sont récoltées, pourquoi, et de quelle(s) façon(s) ces renseignements personnels seront utilisés, en plus de valider leur autorisation.
Pour que le consentement soit valide, il doit être donné librement et de façon éclairée.
En d’autres mots, il faut que les utilisateurs aient accès facilement à toutes les informations nécessaires pour bien comprendre ce qu’implique le consentement qu’ils s’apprêtent à donner et ils doivent être libres de refuser.
Il faut également obtenir le consentement des utilisateurs chaque fois qu’une nouvelle collecte de renseignements personnels est faite. Par exemple, il faut obtenir le consentement d’un visiteur pour utiliser des informations de suivi (cookies), et il faut également lui demander son consentement si on désire récolter son adresse courriel. L’utilisateur doit être libre d’accepter ou de refuser dans chacun des cas.
La seule exception serait si le but pour lequel le renseignement personnel a été récolté initialement est compatible avec une nouvelle fin.
Instaurer des pratiques visant à protéger les renseignements personnels récoltés
La loi 25 stipule que les entreprises concernées devront mettre en place des mesures de protection des renseignements personnels, comme:
- la protection et la sécurisation des documents;
- l’utilisation de systèmes de sécurité informatique et la protection par mot de passe;
- toute autre mesure pertinente à l’organisation et la formation des employés à ces mesures.
Il doit également y avoir en place une procédure à suivre en cas de faille de sécurité et de fuite de renseignements personnels, et tout incident de sécurité risquant de causer un préjudice sérieux aux personnes concernées doit être communiqué sans attendre à ces individus ainsi qu’à la Commission d’accès à l’information du Québec.
Mettre en place et respecter un calendrier de conservation des données récoltées
Les données récoltées ne doivent pas être conservées indéfiniment. Dès que la fin pour laquelle elles ont été récoltées est atteinte, elles doivent être supprimées ou anonymisées de façon à ce qu’il devienne impossible d’identifier, directement ou indirectement, l’individu concerné.
La seule exception à ce délai serait lorsque la conservation de ces renseignements doit être prolongée dans un contexte prévu par la loi, par exemple à des fins fiscales, ou selon un code déontologique.
Répondre aux requêtes des individus concernant la collecte de leurs renseignements
La loi 25 stipule que les individus ont le droit d’accéder aux renseignements personnels les concernant qui ont été collectés par une entreprise ou un organisme privé. Ils ont également le droit d’en contester l’exactitude et d’en demander la correction, au besoin.
Il peuvent aussi en demander la suppression dans certains cas, par exemple si la conservation des renseignements personnels n’est plus justifiable ou si les renseignements ne sont plus valides.
Dans le cas où le consentement à l’utilisation des renseignements personnels serait retiré, l’entreprise devrait alors supprimer les renseignements de ses bases de données.
Dans tous les cas, l’entreprise doit répondre à ces requêtes dans un délai maximal de 30 jours et informer les individus des mesures qui seront prises.
Nommer un(e) responsable de la protection des renseignements personnels au sein de l’entreprise
L’un des points de la loi 25 à être entré en vigueur récemment est la nécessité de nommer une personne responsable de la protection des renseignements personnels. Par défaut, il s’agit de la personne la plus haut placée dans l’entreprise, mais ce rôle peut être confié à quelqu’un d’autre.
Le plus important est d’afficher de façon claire et accessible sur le site internet les coordonnées où joindre cette personne en cas de besoin.
Élaborer et afficher une politique de confidentialité
Depuis le 22 septembre 2023, un autre point de la loi 25 est entré en vigueur: la nécessité de mettre en place et d’afficher une politique de confidentialité claire et transparente.
Cette politique doit être simple à comprendre pour les utilisateurs du site et décrire clairement quels sont les renseignements personnels collectés par l’entreprise, comment ces renseignements sont utilisés et à qui ils sont transférés.
Les actions concrètes à poser pour protéger les renseignements personnels récoltés et respecter la loi 25
La protection des renseignements personnels sur le Web doit absolument être prise au sérieux. Le Web est en constante expansion et la quantité d’informations partagées quotidiennement est phénoménale. Malheureusement, les risques potentiels liés à la sécurité augmentent également au même rythme.
Les scandales mettant en vedette des entreprises victimes de fuites de données ou de cyberattaques font fréquemment la une des médias. Très souvent, ce sont des incidents qui auraient pu être évités en adoptant des mesures de sécurité de base. C’est notamment l’une des motivations derrière l’élaboration de la loi 25.
Voici donc quelques mesures que vous pouvez mettre en place dès que possible pour vous conformer à la nouvelle loi sur la protection des renseignements personnels:
- Identifier les renseignements personnels qui sont collectés par l’entreprise.
- Déterminer à quelle(s) fin(s) ces renseignements sont utilisés et à qui ils sont communiqués.
- Valider la pertinence et le réel besoin de collecter chacun de ces renseignements
- Mettre en place des procédures à suivre pour protéger et sécuriser les renseignements personnels récoltés et s’assurer que les employés concernés sont bien formés à ces procédures.
- Nommer une personne responsable de la protection des renseignements personnels et afficher ses informations de contact sur le site Web.
- Utiliser les outils numériques qui permettent d’obtenir le consentement éclairé des visiteurs avant de récolter leurs données personnelles sur le site.
Comment une entreprise peut gagner en crédibilité grâce à la protection des renseignements personnels
Pourquoi se conformer à la loi 25? Les premières raisons qui nous viennent en tête sont, bien sûr, de natures légales et punitives: pour éviter des amendes, ne pas entacher la réputation de l’organisation, etc.
On néglige souvent les aspects bénéfiques d’être proactif dans ce domaine.
Une entreprise qui met tout en œuvre pour s’assurer de la protection des renseignements personnels de ses clients a beaucoup à gagner!
En effet, les clients se sentiront plus en confiance et apprécieront que l’entreprise respecte leur vie privée. L’entreprise gagnera en crédibilité et l’application des mesures prévues par la loi 25 permettra de renforcer les relations avec la clientèle.
À moyen et long terme, ces efforts se traduiront par une meilleure fidélisation, une réputation améliorée et un meilleur taux de satisfaction et d’évaluations positives.
Bref, se conformer à la 25 et prendre toutes les mesures appropriées pour protéger les renseignements personnels des clients permettra d’éviter des incidents de sécurité, mais aussi de renforcer la relation de confiance et de favoriser la fidélisation des clients envers l’entreprise.
Formation: tout savoir sur les dispositions de la loi 25 et comment l’appliquer concrètement sur son site Web
Cet article résume les grandes lignes de la nouvelle loi 25 sur la protection des renseignements personnels, mais les entreprises qui font affaire en ligne ont avantage à approfondir leurs connaissances sur cette loi et à apprendre comment l’appliquer de façon concrète.
C’est dans ce but que la formation Loi 25: comment protéger ton entreprise en ligne et les renseignements personnels de tes clients a été créée.
Me Aicha Tohry, avocate spécialisée en droit du numérique, Mélodie Lambert, experte Shopify, et moi avons mis au point cette formation pour vous permettre de:
- bien comprendre les dispositions de la loi 25 et les nouvelles obligations des entreprises en ligne.
- évaluer vos pratiques actuelles en matière de protection des renseignements personnels.
- déterminer quelles seraient les pratiques et politiques à mettre en place concernant la collecte, l’utilisation et la communication des renseignements personnels.
- implémenter les mises à niveau techniques pour respecter la loi 25 sur votre site Web WordPress ou votre boutique en ligne Shopify.
Suite à cette formation, vous serez donc en mesure de bien comprendre le langage juridique qui entoure la nouvelle loi 25 et de savoir exactement quels éléments sont à modifier ou implémenter dans votre entreprise pour vous y conformer.
Au final, la loi 25 sur la protection des renseignements personnels poussera les entreprises et organismes privés du Québec à adapter leurs pratiques en ligne pour mieux encadrer la collecte, l’utilisation et le partage des ces données et mieux protéger la vie privée de leur clientèle.
Vous avez tout avantage à mettre vos pratiques à jour pour respecter cette loi dès que possible, car en plus d’éviter de possibles poursuites ou sanctions, vous pourrez améliorer la relation de confiance de vos clients envers votre entreprise.
Alors, si vous avez des questions concernant cette formation, n’hésitez pas à nous contacter et il nous fera plaisir de répondre à vos interrogations!
J’ai découvert une passion pour le Web en 2012 alors que je créais mon premier site internet. Mon père vivait des difficultés financières et seul un site Web (bien référencé) pouvait sauver son entreprise.
Depuis, j’ai fondé mon agence de marketing numérique, j’ai bâti une formation WordPress et une formation SEO, j’enseigne la création éditoriale en ligne à l’UQAM et j’ai fait une maîtrise en administration des affaires.
Tout ça, en fondant ma petite famille! Mon amour pour le numérique et pour l’enseignement ne cesse de grandir. Je me sens privilégiée de pouvoir concilier ces deux passions qui me permettent d’avoir un impact positif dans la vie de nombreuses personnes motivées.
2 Commentaires
Soumettre un commentaire
LOI 25 : Pourquoi vous soucier de votre taux de consentement?
La Loi 25 vous oblige à demander le consentement pour récolter les données de vos utilisateurs lorsqu’ils visitent votre site. Et cette exigence passe bien souvent par l’installation d’un popup de consentement. Savez-vous seulement que ce popup est une mine d’informations et pas seulement une obligation supplémentaire?
OBSERVATOIRE QUÉBÉCOIS DE LA PROCHE AIDANCE
PF communications a été mandaté par la Clinique vétérinaire de Saint-Julie pour effectuer la refonte complète de leur site web. L’objectif étant de transposer l’ambiance de la clinique physique dans l’univers virtuel.
Notre checklist Conformité Loi 25
Débutez la conformité de votre site Web à la Loi 25 avec notre checklist gratuite.
Quelle est la durée prévue de la formation loi 25 ? Son coût ?
Les infos sur la formation sont ici : https://www.latranchee.com/formation/loi25?xyz=2a43c45fb697c140ec9cf6204fe654bb&utm_source=2a43c45fb697c140ec9cf6204fe654bb&utm_medium=affiliation&utm_campaign=affiliation