Depuis le 22 septembre dernier, la seconde série d’obligations de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (ci-après : Loi 25) est entrée en vigueur. Les obligations de cette année 2023 sont sans aucun doute fort exigeantes pour les entreprises québécoises qu’elles soient publiques, privées, petites, moyennes ou grosses…

Et vous, où en êtes-vous? L’article suivant vise à vous donner des informations sur ce qui devrait avoir été prévu à ce jour pour toute organisation québécoise.

1. Renseignements personnels, sensibles et confidentiels

La Loi 25 vise les renseignements personnels et sensibles, c’est-à-dire les renseignements qui concernent une personne physique et qui permettent, directement ou indirectement, son identification. L’entreprise doit s’assurer de la bonne gestion des accès à ces renseignements en tout temps, à la destruction des renseignements selon une politique de rétention des renseignements bien définie, à la minimisation de la collecte et au traitement légitime de ces renseignements. Il est à noter que les renseignements confidentiels d’entreprise ne sont pas directement visés par la Loi (ex. les états financiers, discussion sur l’achat d’une filiale ou entreprise, plan d’affaires, etc.).

2. Responsabilité et gouvernance

Avez-vous nommé votre responsable de la protection des renseignements personnels et publié ses coordonnées ? Cette responsabilité comporte son lot de difficultés; il est essentiel de former adéquatement votre responsable, de s’assurer que les attentes et les responsabilités soient clairement définies. Il peut être utile de créer un comité de vie privée avec différents rôles et fonctions. En outre, la création d’un comité de crise est une bonne pratique en vue de la survenance d’un incident de confidentialité. Vous devriez à ce jour avoir une politique externe de vie privée et une interne destinée à vos employés où vous décrivez de manière transparente le traitement des renseignements personnels dans votre entreprise.

3. Gestion des incidents

La compréhension de ce que constitue un incident de confidentialité est bien souvent sous-estimée. L’oubli d’un ordinateur ou d’un téléphone de travail par un employé comprenant des renseignements personnels peut constituer un tel incident. L’employé doit rapidement, dans un tel cas, déclarer les circonstances de l’incident pour que l’entreprise puisse intervenir et pour limiter les conséquences et les coûts associés. Ainsi, la formation adaptée aux employés s’avère un incontournable. L’entreprise doit mettre en place un processus pour déclarer un incident et pour respecter les délais prescrits pour informer la Commission d’accès à l’information en cas de risque de préjudice sérieux. L’entreprise doit également tenir un registre des incidents à jour.

Améliorez votre stratégie numérique en bonne compagnie

Besoin d’aide pour élaborer une stratégie de média sociaux efficace? Écrivez-nous pour obtenir de l’information sur notre programme d’accompagnement gratuit pour les commerçants de l’Agglomération de Québec!

4. Évaluation de l’impact sur la vie privée (EFVP)

Ces EFVP devraient être incluses dans vos processus actuels d’entreprise. Si vous considérez changer de fournisseur RH, vous devrez au préalable remplir une telle évaluation. Si vous faites affaire avec un partenaire à l’extérieur du Québec où vous échangez des renseignements personnels, une évaluation spécifique à ce transfert transfrontalier doit être réalisée et être adaptée à ce contexte. La quantité et le type d’informations de ces évaluations sont susceptibles d’être très variés selon le contexte d’affaires. Assurez-vous de documenter adéquatement ces dernières, de remédier aux risques de vie privée y étant associés et d’assurer leur bonne gestion documentaire. Votre responsable pourrait être impliqué à cet effet.

5. Droit des personnes concernées

Comme entreprise, vous devez mettre en place un processus permettant à vos employés, ex-employés, clients ou toute personne pour qui vous avez traité des renseignements personnels d’entrer en contact avec votre organisation pour notamment demander la rectification, la suppression ou la communication de ces renseignements que vous détenez les concernant. Ces droits sont susceptibles de poser des défis organisationnels tels que le respect d’un délai raisonnable pour traiter les demandes, la mise en place d’un processus interne et des employés dédiés pour répondre à celles-ci, le triage des informations qui doivent être communiquées versus celles qui devraient demeurer confidentielles, etc. notamment.

6. Nouvelles exigences en matière de consentement

Avez-vous revu vos pratiques en matière de marketing, de publicité, de ventes et de recrutement? Utilisez-vous des infolettres, des témoins (cookies) sur votre site Web ou un site Web transactionnel ? Vous devez vous conformer aux nouvelles obligations en matière de consentement et aussi respecter votre politique de rétention pour conserver les informations dans un délai défini et respecter les prescriptions de la Loi.

Loi 25: Des éléments concrets à considérer pour les commerçants

À titre de commerçants, vous pouvez envisager les éléments suivants pour vous aider dans votre mise en conformité:

  • Ajoutez une politique de confidentialité sur votre site Web. Celle-ci peut être personnalisée avec l’aide de votre avocat ou générée par une plateforme de consentement.
  • Via la même plateforme de consentement utilisée au point précédent, générez une bannière de consentement, qui permet à vos visiteurs de le donner ou non.
  • Configurez votre compte Google Tag Manager pour la personnalisation des cookies. Les plateformes de consentement qui permettent la gestion des cookies par Google Tag Manager sont recommandées. Celles-ci assurent une gestion fiable pour l’acceptation ou le refus des cookies et de la collecte de données.*

En plus des considérations ci-dessus, plusieurs autres s’ajoutent telles que celles relatives à la biométrie, la protection de la vie privée par défaut, la prise de décision automatisée, etc. La mise en conformité en vertu de la Loi 25 a un impact sur l’ensemble de votre organisation. N’hésitez pas à faire appel à un expert dans le domaine pour vous accompagner et prenez au sérieux cette mise en conformité, car une négligence est susceptible d’engendrer de graves conséquences financières, pénales, réputationnelles et autres. Par la Loi 25, comme citoyens québécois, nos renseignements personnels seront dorénavant mieux gérés et encadrés collectivement. 

*Pour d’autres informations à ce sujet, consultez l’article suivant.

#100NumériQC | #Checklist | #Commerce | #Contenu

Découvrez aussi

Site web

Cahier des charges : création d’un site Web

Par Josée Marcotte2 min
Cahier-des-charges-site-web
Culture et numérique
Opérations

10 règles à suivre en matière de données sensibles

Par Jacques Cossette-Lesage4 min
10-règles-données-sensibles
Culture et numérique
Actualités

100 % NumériQC : 405 000 $ pour poursuivre l’accompagnement des commerçants dans leur ...

Par Catherine Gendron3 min
Réflexion stratégique