Loi 25 et les impacts sur votre site web
Voici un rappel sommaire des standards de la Loi 25 en vigueur depuis l’automne 2022, et ceux à venir en septembre 2023 et 2024. Néanmoins, il est recommandé de consulter un avocat spécialisé pour vous assurer de votre conformité.
En vigueur depuis le 22 septembre 2022
- Nommer une personne responsable de la protection des renseignements personnels.
- Tenir un registre des incidents en cas de fuite de données dont une copie devra être transmise à la Commission d’accès à l’information du Québec (CAI) à sa demande.
- Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) pour anticiper les risques et à mettre en œuvre des stratégies pour les réduire ou les éviter.
À partir du 22 septembre 2023
- Élaborer une Politique sur les pratiques encadrant la gouvernance de l’entreprise en matière de protection des renseignements personnels qui devra notamment prévoir :
- Des règles de conservation et de destruction des renseignements personnels;
- Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels;
- Un processus de traitement des plaintes relatives à la protection des renseignements personnels.
- Publier la politique de confidentialité sur votre site web ainsi que les coordonnées pour joindre la personne-ressource à l’interne.
- Respecter les nouvelles règles de consentement pour la collecte, la communication et l’utilisation des données (notamment les objectifs de la collecte de données, les différents droits d’accès à celles-ci et le droit de retrait de consentement des internautes).
À partir du 22 septembre 2024
- Garantir le droit à la portabilité des données, c’est-à-dire la possibilité pour les internautes de récupérer dans un format accessible une partie de leurs renseignements recueillis.
- Respecter les lois québécoises qui imposent plusieurs obligations aux employeurs en matière de renseignement biométriques qui identifient une personne de manière unique.*
Les sanctions en cas de non-conformité peuvent être des pénalités financières allant jusqu’à 4% des ventes ou des montants allant jusqu’à 25 000 000$. La Loi 25 s’applique non seulement aux entreprises situées au Québec mais également à celles traitant des renseignements personnels de personnes résidant dans la province.
Voici quelques raisons pour lesquelles votre site web devrait se conformer à la Loi 25
- Protéger la vie privée des utilisateurs en respectant les règles énoncées dans la loi.
- Assurer la transparence en informant les utilisateurs sur la collecte et l’utilisation de leurs données.
- Établir la confiance des utilisateurs en assurant un traitement transparent et sécurisé de leurs renseignements personnels.
- Améliorer la réputation de l’entreprise en démontrant un engagement envers la vie privée des utilisateurs.
- Éviter les plaintes liées à la mauvaise utilisation des renseignements personnels.
- Respecter les normes de l’industrie concernant la protection des données.
- Répondre aux exigences des partenaires commerciaux qui peuvent exiger la conformité à la loi.
- Réduire les risques juridiques associés à la collecte et l’utilisation des renseignements personnels.
- Éviter les sanctions financières et les poursuites judiciaires en cas de non-conformité.
N’hésitez pas à nous contacter pour obtenir des conseils et installer les outils nécessaires pour gérer le consentement des internautes sur votre site web. Notre équipe est disponible pour discuter avec vous à tout moment.
Notez que cet article est informatif et ne constitue pas un avis juridique. Veuillez consulter les sites web du Gouvernement du Québec et de la Commission d’accès à l’information du Québec afin de vous conformer à la loi.
Références et liens utiles
- Gouvernement du Québec
- Commission d’accès à l’information du Québec
- Le Barreau du Québec publie un aide-mémoire pour aider à respecter la Loi 25
*Renseignement biométriques
Les renseignements biométriques sont des renseignements personnels sensibles et intimes, qui identifient une personne de manière unique. Ces lois sont les suivantes :
- Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (secteur public)
- Loi sur la protection des renseignements personnels dans le secteur privé (secteur privé)
- Loi concernant le cadre juridique des technologies de l’information