Si vous possédez un site Web et que vous utilisez divers canaux numériques pour communiquer et recueillir des renseignements personnels, la loi 25 aura certainement un impact sur votre entreprise.
Cette loi s’applique à toutes les organisations québécoises qui traitent des données personnelles, qu’elles fassent partie du secteur public ou privé, et ce, peu importe leur taille. La loi s’applique donc aussi aux petites entreprises.
Sachez que des amendes salées pouvant atteindre 4 % du chiffre d’affaires, jusqu’à concurrence de 25 millions de dollars, attendent les organisations prises en défaut. Les sanctions seront relatives à la gravité des manquements et à la capacité de payer de l’organisation — plus imposant votre chiffre d’affaires est, plus salée votre amende sera.
Qu’est-ce que la loi 25 ?
L’objectif principal de la loi 25 est d’exiger des entreprises qu’elles obtiennent un consentement explicite avant d’utiliser les renseignements personnels d’une personne. La loi donne aux gens le droit automatique à la confidentialité et à une plus grande transparence quant au moment où les organisations collectent des données personnelles.
La loi prévoit que toutes les entreprises doivent se doter de politiques et pratiques de gouvernance d’ici septembre 2023.
Gestion de la confidentialité
La confidentialité automatique prévue par la Loi 25 signifie que les entreprises devront désactiver les technologies de profilage, d’identification ou de suivi. Les organisations doivent donner aux gens la possibilité d’opter (ou non) clairement pour de telles fonctionnalités.
La loi 25 prévoit des exceptions à la confidentialité par défaut, donnant aux entreprises le pouvoir de recueillir des renseignements personnels dans des situations particulières, telles que :
- lorsque les informations sont nécessaires pour détecter une fraude ou pour améliorer la sécurité.
- lorsque cela est nécessaire pour livrer un produit ou un service demandé par une personne.
Obtenir le consentement
L’obtention de l’autorisation de collecter les données d’un individu implique plus qu’un bouton « j’accepte ». Les entreprises doivent dire aux gens dans un langage clair et simple :
- pourquoi ils recueillent de l’information
- comment ils le rassemblent
- comment les gens peuvent accéder ou modifier les détails recueillis
- comment révoquer l’autorisation.
Vous devez également désigner un responsable de tout ce qui rapporte à la protection des renseignements personnels au sein de votre entreprise. De plus, si une organisation transfère des renseignements à l’extérieur du Québec, la personne doit en être consciente. Les entreprises auront besoin du consentement parental pour recueillir des données pour les enfants de moins de 14 ans.
Si les gens veulent révoquer l’autorisation d’utiliser leurs données, vous devez expliquer comment l’entreprise supprimera des détails des systèmes d’entreprise. En vertu de la nouvelle loi, les gens ont maintenant le droit de recevoir une copie numérique de tous les renseignements personnels recueillis auprès d’eux par toute organisation.
Comment se conformer aux exigences de la loi sur les renseignements personnels pour un site web ?
- Vous devez créez ou mettre à jour une politique de confidentialité claire et accessible. Cette politique doit expliquer clairement à quelles fins vos clients fournissent des renseignements personnels, comment ces renseignements sont recueillis, comment ils sont utilisés et partagés, et comment ils sont protégés.
- Assurez-vous de collecter uniquement les informations nécessaires. Ne demandez pas plus d’informations que nécessaire pour votre site web.
- Utilisez des outils de sécurité pour protéger les données. Assurez-vous que les informations personnelles sont chiffrées et protégées contre les accès non autorisés.
- Offrez des options de consentement claires. Assurez-vous que les utilisateurs comprennent bien ce qu’ils consentent à partager et à quoi ils s’engagent en fournissant des informations personnelles.
- Donnez la possibilité aux utilisateurs de modifier, de supprimer ou de restreindre l’utilisation de leurs données. Les utilisateurs doivent pouvoir accéder, modifier et supprimer leurs informations personnelles à tout moment.
- Informez vos utilisateurs des changements apportés à la politique de confidentialité. Les utilisateurs doivent être informés des changements à la politique de confidentialité et des raisons de ces changements.
- Si votre site Web n’affiche pas actuellement une politique de confidentialité détaillée, assurez-vous de fournir à votre agence web une politique de confidentialité claire qui comprend les nouvelles exigences pertinentes à la Loi 25.
Sachez que si c’est le fournisseur Web qui a implanté les outils pour récolter ces données, ça demeure la responsabilité de l’entreprise qui possède le site de supprimer des données ou d’envoyer une copie numérique aux utilisateurs qui le demande. D’où l’importance de choisir un partenaire Web fiable comme moi, parce que moi je peux fournir rapidement les copies numériques demandées ou de les supprimer.
Je peut vous aider à vous assurer que votre entreprise respecte les diverses obligations de la Loi 25 qui affectent votre site Web ou encore vous référer à des ressources fiables pour vous aider à protéger et gérer les données confidentielles que votre entreprise possède.
* Avis : Cet article fournit de l’information à titre indicatif seulement en lien avec la loi 25. Il ne peut en aucun cas se substituer à des conseils légaux ou avis juridique. Nous vous recommandons de valider votre démarche de conformité avec votre équipe légale.
Ressources pertinentes
- Aide-mémoire de la Commission d’accès à l’information
- Espace évolutif sur la loi 25 de la Commission d’accès à l’information du Québec
- Page dédiée à la protection des renseignements personnels du Gouvernement du Québec
- Guide d’accompagnement à l’ÉFVP de la Commission d’’accès à l’information du Québec
- Guide pratique : Application de la loi 25 de Cybereco
N’hésitez pas à me contacter, à propos de votre projet Web ou de vos préoccupations sur ces questions!
