Skip links

Loi 25: Assurez la Conformité de Votre Site Web

Les juridictions du monde entier adoptent leur propre vision de la législation sur la confidentialité des données, et la province du Québec au Canada ne fait pas exception. Continuez à lire pour tout savoir sur ce qui rend cette loi unique et comment vous y conformer.

Quelle est la différence entre la Loi 25 et le Projet de loi 64 ?

Vous avez peut-être entendu parler d’une autre loi canadienne sur la confidentialité appelée Projet de loi 64. En réalité, la Loi 25 et le Projet de loi 64 sont identiques. Dans le système juridique canadien, les lois proposées sont appelées projets de loi jusqu’à ce qu’elles soient approuvées par le lieutenant-gouverneur. La Loi 25 est également connue sous le nom de Loi sur la Modernisation de la Législation sur la Confidentialité.

À qui s’applique la Loi 25 ?

Comme le RGPD, la Loi 25 du Québec s’applique non seulement aux entreprises basées au Québec, mais aussi aux entreprises extérieures traitant les informations personnelles de n’importe quel résident québécois. Contrairement à la plupart des lois américaines sur la confidentialité, cela signifie qu’il n’y a pas de seuil minimum à atteindre avant que les exigences de la loi ne s’appliquent. Ainsi, si votre organisation traite les données de l’un des près de 9 millions de résidents du Québec, vous devrez vous y conformer.

Approche par phases de la Loi 25

Les exigences de la Loi 25 entrent en vigueur en trois étapes : certaines sont effectives depuis le 22 septembre 2022, la plupart sont entrées en vigueur le 22 septembre 2023 et le reste entrera en vigueur le 22 septembre 2024. Voici les différentes exigences et leurs dates associées. Nous discuterons des caractéristiques et exigences notables plus tard dans cet article.

22 septembre 2022

Les entreprises doivent :

  • Désigner un responsable de la confidentialité.
  • Mettre en place un plan de gestion des incidents.
  • Créer un registre des incidents de confidentialité.
  • Divulguer tout incident de confidentialité à la Commission d’accès à l’information (CAI).
  • Informer l’utilisation de processus biométriques pour développer une base de données au moins 60 jours à l’avance à la CAI.

22 septembre 2023

Les entreprises doivent :

  • Établir un cadre de gouvernance pour la gestion et la protection des informations personnelles.
  • Publier une politique de confidentialité.
  • Mettre en place un processus pour traiter les plaintes relatives aux informations personnelles.
  • Fournir un mécanisme d’opt-in pour la collecte d’informations personnelles.
  • Fournir un avis suffisant lors de la collecte d’informations personnelles.
  • Établir des accords contractuels appropriés avec les tiers qui recevront des informations personnelles.
  • Détruire ou anonymiser les informations personnelles sur demande du consommateur (c’est-à-dire exercer le droit à l’oubli).
  • Corriger les informations personnelles inexactes sur demande du consommateur.
  • Ne pas soumettre les consommateurs à une prise de décision automatisée sur demande.
  • Permettre aux consommateurs de retirer leur consentement.
  • Réaliser des évaluations d’impact sur la confidentialité dans certaines circonstances.
  • Informer les personnes concernées lorsque leurs informations personnelles peuvent être transférées hors du Québec.

22 septembre 2024

Les entreprises doivent :

  • Fournir aux personnes concernées les informations personnelles collectées dans un format portable sur demande.

Exigences de la Loi 25

Bien que le Canada dispose de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), la Loi 25 est plus complète et plus stricte dans sa mise en place et l’application des droits à la confidentialité des données.

Elle présente de nombreuses similitudes avec d’autres réglementations majeures sur la confidentialité des données, telles que le RGPD et le CCPA/CPRA. Cependant, la Loi 25 comporte également quelques divergences notables par rapport à d’autres lois, en particulier si vous êtes habitué au modèle général utilisé dans les lois américaines sur la confidentialité des données.

Caractéristiques uniques de la Loi

Comme le RGPD et d’autres lois sur la confidentialité des données, la loi québécoise sur la confidentialité des données oblige les entreprises à offrir aux consommateurs le choix d’activer toute technologie pouvant être utilisée pour suivre leurs informations personnelles. Cela inclut, entre autres, l’utilisation de cookies sur votre site web. Naturellement, avant de pouvoir offrir aux individus le choix de souscrire à ce suivi de données, vous devez les informer des informations habituellement fournies lors de la collecte :

  • Le but de la collecte.
  • Les moyens de collecte.
  • Les droits des consommateurs.
  • Etc.

Les entreprises déjà conformes au RGPD connaîtront cette approche de la gestion du consentement, mais celles plus familières avec le CCPA/CPRA ne réaliseront peut-être pas qu’elles ne peuvent pas automatiquement charger des cookies ou déployer d’autres technologies de suivi à moins qu’un consommateur indique qu’elles peuvent le faire.

Besoin de désigner un responsable de la confidentialité

Les exigences de la Loi 25 concernant le responsable de la confidentialité sont similaires – bien que distinctes – aux exigences du RGPD concernant un délégué à la protection des données. En essence, le Responsable de la Confidentialité est chargé de superviser certaines activités de conformité dans une organisation telles que :

  • L’exécution des demandes d’accès aux données des personnes concernées (DSAR).
  • La déclaration des violations de données.
  • La réalisation d’évaluations d’impact sur la confidentialité (PIA).
  • Etc.

Par défaut, la personne la plus haut placée dans une organisation est considérée comme son responsable de la confidentialité, sauf si vous désignez une autre personne pour exercer ce rôle. Ainsi, si vous choisissez de ne rien faire et de ne pas désigner un responsable de la confidentialité, la Loi 25 prévoit que le PDG ou l’équivalent devient automatiquement responsable de la confidentialité. Cela peut entraîner des conséquences juridiques pour cette personne en cas de non-conformité.

Responsabilités des fournisseurs tiers

La Loi 25 introduit également de nouvelles responsabilités pour les entreprises qui partagent des informations personnelles avec des fournisseurs tiers. Vous devez établir des accords contractuels appropriés avec ces fournisseurs pour vous assurer qu’ils respectent également la Loi 25.

Exemptions de la Loi 25

Il y a également quelques exemptions à noter. Par exemple, la Loi 25 ne s’applique pas à :

  • Les informations publiées par les journaux.
  • Les informations que vous recueillez à des fins purement personnelles.
  • Les informations que vous recueillez à des fins journalistiques, littéraires ou artistiques.
  • Etc.

Alors, comment savoir si votre organisation doit se conformer à la Loi 25 ? C’est assez simple : si vous traitez des informations personnelles concernant des résidents du Québec, alors vous devez probablement vous conformer à la Loi 25, sauf si vous entrez dans l’une des exemptions ci-dessus.

Conclusion

La mise en application des nouvelles dispositions de la Loi 25 est prévue pour le 22 septembre 2023. Cet article met en lumière la nécessité d’un investissement considérable, tant sur le plan opérationnel que stratégique, pour répondre à ces exigences. En effet, l’adaptation à ces nouvelles règles requiert du temps et des moyens. Il est crucial de prioriser cette mise en conformité avant le 22 septembre 2023, car les conséquences de la non-conformité pourraient s’avérer onéreuses pour les entreprises concernées.


🛡️  Se préparer aux défis de la Loi 25 vous semble complexe ? 🛡️

 

L’ajout d’une bannière de consentement sur les sites web suscite des interrogations pour bon nombre d’entreprises au Québec. Cependant, une perspective nouvelle s’offre depuis la mise en place du RGPD en Europe. Les notifications de consentement sont aujourd’hui synonymes de transparence pour les utilisateurs. En Europe, un site internet sans alertes est souvent vu avec méfiance.

Si la mise aux normes de votre site vous préoccupe, sachez que notre équipe peut vous offrir des solutions. Nous sommes en mesure d’analyser vos protocoles actuels, de vous orienter dans l’adoption d’outils adaptés et de vous conseiller sur les meilleures pratiques à suivre.

À tous ceux qui souhaitent s’aligner sur les nouvelles directives, notamment la loi 25, nous sommes prêts à vous accompagner. Grâce à notre expertise, vous pourrez non seulement respecter les exigences, mais aussi rassurer et renforcer votre lien avec vos visiteurs.

Découvrez notre programme dédié ci-dessous et ensemble, faisons de la sécurité des données une priorité, tout en instaurant un climat de confiance avec vos utilisateurs dans un monde digital en pleine transformation. 

 

❏ ❏ ❏ ❏ ❏ ❏ 

 

Découvrez notre offre exclusive pour les entreprises qualifiées : Une solution clé en main.  Elle inclut 🔎 :

 

🔍 Évaluation détaillée de vos procédures de collecte, de partage et de stockage des données.

🔧 Installation et configuration d’un gestionnaire de consentements, avec intégration des pop-ups informatifs et des documents légaux.

🎓 Formation ciblée sur l’outil de gestion des consentements pour répondre aux futurs besoins et aux demandes des utilisateurs.

 

À noter: Il est important de souligner : ce texte offre des renseignements pour référence et ne saurait se substituer à une consultation juridique. Il incombe à chaque entreprise ou institution de veiller à sa propre adhérence à la Loi 25.

 

Leave a comment

Name

Website

Comment