La loi 25 - loi sur la protection des renseignements personnels dans le secteur privé, vous connaissez? Sinon, il est temps de vous mettre au parfum.

Voici les GRANDES LIGNES de cette loi et la mise en application. 

Identification des renseignements personnels
Évaluation des risques 
Politiques et procédures de protection
Responsable de la protection des renseignements personnels
Consentement éclairé 
Respect des droits des individus 

 

Depuis septembre 2022

Vous devez désigner un ou une responsable de la protection des renseignements personnels et publier son titre ainsi que ses coordonnées sur votre site web.

Cette personne devra:

• Faire l’inventaire des renseignements personnels détenus et évaluer leur sensibilité.
• Mettre en place des mesures pour prévenir ou limiter les conséquences d’un incident de confidentialité.
• Évaluer des facteurs relatifs à la vie privée
• Sensibiliser le personnel de votre entreprise.
• Assurer la gestion des incidents de confidentialité et tenir un registre de ceux-ci s'il y'a lieu.

À partir de septembre 2023

Vous devez établir et rédiger une politique de confidentialité en termes simples et clairs.
Dans ce texte, on doit y lire les politiques et les pratiques qui encadrent la gouvernance des renseignements personnels, et cette politique doit être publiée sur votre site web.

SITE WEB

Vous devez expliquer de manière transparente les finalités de la collecte des données, les types d’informations recueillies et les tiers avec lesquels les données peuvent être partagées.

Vous devez mettre en place des mesures de sécurité adéquates afin de protéger les données personnelles des utilisateurs contre tout accès non autorisé, divulgation, altération ou destruction.
On parle ici de chiffrement des données, de l’utilisation de pares-feux et de l’application de politiques d’accès restreint.

Mettre en place des procédures pour détecter et signaler rapidement les violations de données et prendre les mesures appropriées pour y remédier. Ici j'ajouterais l'importance de choisir un hébergeur web FIABLE & SÉCURITAIRE.

Fournir des mécanismes clairs et simples pour que les utilisateurs puissent demander l’accès à leurs données personnelles et les corriger au besoin.
Tenir des registres précis des données collectées et être en mesure de répondre rapidement et efficacement aux demandes des utilisateurs.

Dans votre politique, vous devez informez les gens que leurs données peuvent se retrouver en dehors du Québec (exemple: si vous gardez les infos clients dans un fichier sur Google Drive... Google n'étant pas au Québec...  les données de vos clients se retrouvent donc en dehors du Québec.

Vous avez une boutique en ligne?
Vous devez créer un formulaire de consentement de collecte d’informations personnelles qui est séparé des conditions générales de vente ou d’utilisation. 
Vous ne pouvez pas utiliser l'adresse courriel fournie lors d’un achat en ligne pour vous envoyer de futures promotions. Vos clients doivent pouvoir consentir à recevoir des courriels de promotion en cochant une case précise.

Vous devez mettre en place les procédures qui permettront de respecter les éléments de la politique de confidentialité :

• Un consentement doit être demandé, en termes simples et clairs et pour quelles raisons ces renseignements sont recueillis
• Conservation, destruction et/ou anonymisation (impossible d'identifier directement ou indirectement une  personne) des renseignements personnels
• Demande d’accès aux renseignements personnels et traitement des plaintes
• Demande de suppression des renseignements personnels
• Gestion des incidents de sécurité et de violation des renseignements personnels
• La possibilité que les renseignements soient transmis à l’extérieur du Québec s'il y'a lieu doit être clairement signifiée.

La Loi 25 n’exige pas l’obtention d‘un consentement pour l’utilisation de renseignements personnels lorsqu’ils sont de nature commerciale, ce qui comprend le nom, le titre et les fonctions d’une personne, son adresse courriel professionnelle et numéro de téléphone au travail, ainsi que l’adresse de l’entreprise où elle travaille. 

Veuillez noter que ce texte est un résumé sommaire. Vous pouvez lire l'intégralité de la LOI 25 ici

Josée Le-Francois