Entrée en vigueur le 22 septembre 2022, la nouvelle Loi 25 prévoit une série d’obligations auxquelles les entreprises doivent adhérer afin de protéger les renseignements personnels de leurs clients. Cette nouvelle loi sera élaborée en trois phases, la première lancée au moment de l’entrée en vigueur de la loi et la seconde, un an plus tard soit le 22 septembre 2023. La phase finale sera mise en vigueur un an plus tard, soit le 22 septembre 2024.
Officiellement baptisée la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, la Loi 25 doit être bien comprise par les dirigeants d’entreprise et surtout, les obligations incluses dans la nouvelle législation doivent être respectées. Nous avons donc pensé vous offrir un aperçu de la Loi 25 et tout ce que vous devez savoir sur celle-ci.
Pourquoi l’Assemblée nationale a-t-elle sanctionné la Loi 25?
La Loi 25 a été sanctionnée en septembre 2021 et a fait du Québec la première province au Canada à moderniser les obligations des entreprises en matière de protection de renseignements personnels afin de les adapter aux nouvelles réalités du commerce d’aujourd’hui. Nous sommes de plus en plus en ligne à effectuer une multitude de transactions et les cyberattaques sont de plus en plus précises et efficaces à percer les défenses numériques souvent désuètes des entreprises.
L’objectif ultime de la Loi 25 est de forcer les entreprises qui collectent des données personnelles de leurs clients à mieux protéger ces informations.
Dates importantes à retenir de la mise en vigueur de la Loi 25
L’entrée en vigueur de la Loi 25 sera effectuée en trois phases avec trois dates précises pour chaque étape :
· Phase 1 – 22 septembre 2022
· Phase 2 – 22 septembre 2023
· Phase 3 – 22 septembre 2024
Quelles sont les obligations de mon entreprise à chaque phase de la Loi 25?
Les entreprises québécoises disposent d’une fenêtre de deux ans pour se conformer à l’ensemble des dispositions de la Loi 25. Voici ce que chaque phase comprend comme obligation.
Loi 25 – Phase 1
Depuis le 22 septembre 2022, votre entreprise doit avoir une personne désignée qui est responsable de la protection des renseignements personnels de vos clients détenus dans vos systèmes. Cette personne devra s’assurer que votre entreprise respecte les dispositions de la Loi 25 et ses coordonnées devront être disponibles sur votre site Web.
De plus, plusieurs dispositions doivent être mises en place lors d’un incident relié à la confidentialité.
- Si une violation de données se produit, vous devez en premier lieu agir raisonnablement pour atténuer tout dommage potentiel aux personnes et éviter qu’une situation similaire ne se reproduise. Ensuite, vous devez avertir les personnes dont les informations ont été compromises et leur donner accès à leurs données.
- Si un préjudice substantiel peut résulter de l'incident, la Commission d’accès à l’information (CAI) et la personne concernée doivent être informées.
- Tenir un journal des incidents reliés aux données personnelles, dont une copie doit être remise à la Commission sur demande
- Suivre les nouvelles lignes directrices sur le partage de renseignements personnels à des fins d'étude, de recherche ou de statistiques dans le cadre d'une transaction commerciale, sans le consentement de la personne concernée
- Avant de partager des informations personnelles sans accord à des fins de recherche, d'étude ou de production de statistiques, effectuer une évaluation des incidences sur la vie privée (EIVP)
- Informer la Commission à l'avance de toute vérification ou confirmation d'identité utilisant des traits ou des mesures biométriques
Exemples d’incidents reliés aux données personnelles :
- Accès interdit à des renseignements personnels
- Perte de données personnelles
- Échange, vol ou partage de données personnelles non autorisés
Loi 25 – Phase 2
Alors que la phase 1 est conçue pour mettre les bases des éléments nécessaires au respect de la Loi 25, la phase 2 exigera des actions concrètes et complexes de la part des entreprises.
Voici un aperçu des obligations entrant en vigueur le 22 septembre, 2023
- Avoir produit et publié des informations complètes sur les politiques et pratiques de gouvernance sur le site Web de l'entreprise ou, si l'entreprise n'a pas de site Web, sur un autre site Web, par tout autre moyen approprié
- Lorsque la Loi l'exige, par exemple avant de divulguer des renseignements personnels à l'extérieur du Québec, procéder à une évaluation des facteurs relatifs à la vie privée (EFVP)
- Tenir compte des nouvelles exigences en matière de consentement à la collecte, à la communication ou à l'utilisation de renseignements personnels
- Supprimer ou rendre anonymes les renseignements personnels identifiables lorsque le but initial de leur collecte a été atteint, sous réserve des conditions et de la période de conservation imposées par la loi
- Respecter votre responsabilité nouvellement promulguée de fournir aux citoyens des informations et de la transparence
- Ne pas partager les informations privées des personnes à moins qu'elles ne vous en donnent l'autorisation, conformément à la nouvelle réglementation (exercice d'un mandat ou exécution d'un contrat de service ou d'affaires).
- Respectez la nouvelle réglementation concernant le partage des renseignements personnels à l'extérieur du Québec
- S'en remettre aux paramètres qui offrent aux utilisateurs le plus de contrôle sur leurs données et leur vie privée lorsqu'ils utilisent le produit ou le service
- Se conformer à la nouvelle réglementation sur la collecte des renseignements personnels des mineurs
- Reconnaître le droit de demander à être retiré de la base de données des informations personnelles (également connu sous le nom de "droit à l'oubli")
- Adhérer aux protocoles actualisés de communication en cas de situation de deuil
D’autres dispositions seront nécessaires en septembre 2024, mais les phases 1 et 2 sont assurément les plus significatives.
Conseils pour les entreprises concernant la Loi 25
Tel qu’indiqué précédemment, il existe plusieurs étapes à l’implantation de la Loi 25 et votre entreprise devra se doter d’un plan d’action afin de répondre aux différentes exigences. Cela dit, la première étape consiste à vous protéger contre les cyberattaques.
1. Assurez-vous d’avoir une assurance contre les cyberrisques complète et adaptée aux réalités de votre entreprise.
Votre assurance contre les cyberattaques doit être en mesure de vous protéger contre les risques d’attaques qui évoluent constamment. Si votre police d’assurance contre les cyberattaques n’est pas à jour ou vous n’êtes pas certain si votre assurance vous couvre adéquatement, parlez avec un spécialiste en assurances d’entreprise.
2. Effectuer un inventaire de votre processus de collecte de données actuel afin de mieux comprendre vos besoins, mieux comprendre les failles du processus actuel et vous assurer d’avoir les informations nécessaires pour améliorer le processus.
3. Revoyez vos besoins en matière de collecte de données personnelles et les systèmes en place pour protéger ces informations.
4. Assurez-vous d’avoir les ressources nécessaires en place pour protéger les données personnelles de vos clients. Ces ressources incluent les infrastructures et les ressources informatiques, mais aussi les ressources humaines qui voudront chapeauter l’implantation des obligations de la Loi 25.