Au Québec, toute entreprise, incluant les petites et moyennes entreprises (PME), qui collecte, utilise ou conserve des renseignements personnels doit revoir sa gestion des renseignements personnels pour s'assurer de se conformer à la loi 25.
Comment y parvenir? Voici les étapes à suivre pour vous conformer à la loi, leur description et la manière de réaliser ces objectifs.
Chaque entreprise doit désigner une personne chargée d'assurer la conformité aux nouvelles règles. Par défaut, c'est le dirigeant de l'entreprise, mais il est pratique courante de nommer un employé ou un consultant pour cette tâche.
Toute entreprise collectant des renseignements personnels doit informer la personne concernée, au moment de la collecte, des éléments suivants:
Si vous utilisez des technologies permettant l'identification, la localisation ou le profilage (ex. : témoins, couramment appelés cookies, outils de suivi en ligne), votre entreprise doit informer les personnes concernées à l'avance et leur offrir des moyens d'activer ou de désactiver ces fonctionnalités.
Les personnes concernées par la collecte doivent donner un consentement clair avant que leurs données soient collectées, en lien notamment avec les informations mentionnées au point 2.
Exemple: un formulaire de contact pourrait inclure une case à cocher confirmant l'acceptation de la collecte des renseignements personnels sensibles.
Vous devez protéger les données que votre entreprise détient, notamment contre les pertes, les communications non autorisées ou les cyberattaques. Cela inclut:
Il est recommandé aux entreprises d'adopter des procédures claires pour gérer diverses situations impliquant les renseignements personnels, dont voici les principales.
Vous devez permettre aux personnes concernées de consulter les renseignements détenus sur elles et de demander des corrections si nécessaire.
Une politique de gestion des droits des personnes concernées, qui comprend les délais, les moyens de communication et les étapes de traitement, est fortement recommandée.
Il vous faut aussi offrir un moyen simple pour qu'un individu puisse retirer son consentement à l'utilisation ou à la communication de ses données.
Vous avez l'obligation de mettre en place un processus interne pour gérer les plaintes relatives à la protection des renseignements personnels.
Vous devez également documenter tout incident de confidentialité de données (piratage, divulgation accidentelle, etc.) et notifier la Commission d'accès à l'information du Québec et les personnes concernées si le risque de préjudice est sérieux.
Une procédure de gestion des incidents de confidentialité, incluant un registre des incidents, un mécanisme d'évaluation du risque de préjudice et un plan d'intervention pour assurer une réaction rapide et coordonnée en cas d'incident devrait être envisagée.
Avant de communiquer des renseignements personnels à l'extérieur du Québec ou de lancer un projet impliquant leur collecte, leur utilisation ou leur conservation (ex. : acquisition de nouvelles technologies, développement ou refonte de systèmes informatiques, prestation électronique de services), votre entreprise doit réaliser une EFVP.
Cette évaluation permet de mesurer les risques liés à la protection des renseignements personnels et d'adopter des mesures adaptées pour favoriser leur sécurité et leur confidentialité.
Par exemple, une PME qui fait migrer ses bases de données vers un service infonuagique hébergé à l'étranger doit d'abord réaliser une EFVP pour s'assurer que les renseignements personnels resteront protégés conformément aux normes québécoises.
Lorsqu'une personne concernée demande une copie de ses renseignements personnels, votre entreprise doit les lui fournir dans un format structuré, ouvert et couramment utilisé, facilitant ainsi leur consultation et leur réutilisation.
Formats adaptés à la portabilité: CSV, XML, JSON (formats ouverts lisibles par différents systèmes).
Formats à éviter: PDF, images (JPEG, PNG) ou tout format nécessitant un logiciel propriétaire ou une licence payante pour être exploité.
Ces étapes vous permettront de répondre à des critères entourant la loi 25. Préparez votre PME dès maintenant. En adoptant des pratiques modernes et sécurisées en matière de gestion des données, vous ferez d'une pierre deux coups. Vous éviterez des sanctions et vous rendrez votre entreprise plus fiable et attrayante, au diapason de votre marché. N'attendez pas pour vous conformer!
Besoin d'accompagnement? Faites évaluer la conformité de votre entreprise par un expert en protection des renseignements personnels.
Cet article a été rédigé en collaboration avec Sabrina Roy, conseillère principale en gouvernance de l'information chez Raymond Chabot Grant Thornton.
Pour que votre entreprise soit conforme à la loi 25, vous devez tenir compte d'éléments importants, notamment dans la gestion des témoins (cookies).
Votre organisation prend-elle des décisions fondées exclusivement sur un traitement automatisé? La loi 25 vient éclairer et encadrer ces pratiques.
Votre entreprise doit se conformer à la loi 25 et mettre en place un programme de gouvernance de l'information. Quelles sont, au juste, vos obligations?