Qu’est-ce que la Loi 25 du Québec et comment affecte-t-elle votre site web ?
Le 22 septembre 2022 marque le début de l’entrée en vigueur sur trois ans de la nouvelle loi québécoise sur la protection de la vie privée, la Loi 25 (anciennement le projet de loi 64). La loi resserre les cadres existants en accordant aux citoyens des droits plus robustes en matière de protection des données tout en imposant des obligations plus rigoureuses aux organisations qui traitent les informations personnelles.
Si vous possédez un site Web et que vous utilisez divers canaux numériques pour communiquer et recueillir des informations à leur sujet, cette loi aura certainement un impact sur votre entreprise.
Pour relever les défis de la Loi 25, nous vous invitons à lire l’information ci-dessous afin de mieux comprendre les répercussions et les effets de la loi sur votre entreprise.
Qu’est-ce que la loi 25 ?
L’objectif principal de la loi 25 est d’exiger des entreprises qu’elles obtiennent un consentement explicite avant d’utiliser les renseignements personnels d’une personne. La loi donne aux gens le droit automatique à la confidentialité et à une plus grande transparence quant au moment où les organisations collectent des données personnelles.
Les renseignements personnels, comme l’explique la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), comprennent « tout renseignement factuel ou subjectif, consigné ou non, concernant une personne identifiable », comme :
- âge, nom, numéros d’identification, revenu, origine ethnique ou groupe sanguin
- opinions, évaluations, commentaires, statut social ou mesures disciplinaires
- dossiers des employés, dossiers de crédit, dossiers de prêt, dossiers médicaux, l’existence d’un différend entre un consommateur et un commerçant, ou des intentions telles que l’achat de biens ou de services ou la demande d’un nouvel emploi
Que signifie la loi 25 pour votre entreprise ?
Les entreprises doivent ajuster les procédures de gestion des données des clients et créer des politiques pour maintenir la confidentialité afin d’être en conformité d’ici la fin de 2024. Consultez l’article de la FCEI sur la conformité à la loi 25 pour les entreprises privées.
Gestion de la confidentialité
La confidentialité automatique prévue par la Loi 25 signifie que les entreprises devront désactiver les technologies de profilage, d’identification ou de suivi. Les organisations doivent donner aux gens la possibilité d’opter (ou non) clairement pour de telles fonctionnalités.
La loi 25 prévoit des exceptions à la confidentialité par défaut, donnant aux entreprises le pouvoir de recueillir des renseignements personnels dans des situations particulières, telles que :
- lorsque les informations sont nécessaires pour détecter une fraude ou pour améliorer la sécurité.
- lorsque cela est nécessaire pour livrer un produit ou un service demandé par une personne.
Obtenir le consentement
L’obtention de l’autorisation de collecter les données d’un individu implique plus qu’un bouton « j’accepte ». Les entreprises doivent dire aux gens dans un langage clair et simple :
- pourquoi ils recueillent de l’information
- comment ils le rassemblent
- comment les gens peuvent accéder ou modifier les détails recueillis
- comment révoquer l’autorisation.
Vous devez également identifier les personnes au sein de l’entreprise ou tout tiers qui peuvent accéder aux données. Si une organisation transfère des renseignements à l’extérieur du Québec, la personne doit en être consciente. Les entreprises auront besoin du consentement parental pour recueillir des données pour les enfants de moins de 14 ans.
Si les gens veulent révoquer l’autorisation d’utiliser leurs données, vous devez expliquer comment l’entreprise supprimera des détails des systèmes d’entreprise. En vertu de la nouvelle loi, les gens ont maintenant le droit de recevoir une copie numérique de tous les renseignements personnels recueillis auprès d’eux par toute organisation.
Établissement de politiques de confidentialité
Les sites Web d’entreprise doivent afficher une politique de confidentialité pour les visiteurs, rédigée dans un langage clair et facile à comprendre. En outre, votre organisation aura besoin de politiques internes et de cadres complets pour gérer efficacement les données personnelles utilisées pendant les opérations commerciales.
Les programmes de protection de la vie privée établissent des lignes directrices pour :
- Les rôles et les responsabilités des membres de l’équipe qui gèrent les informations privées
- Les plans d’action pour la gestion des plaintes relatives à la protection de la vie privée
- Les audits de la conformité des tiers aux politiques de confidentialité
- Les lignes directrices sur la conservation et l’élimination des renseignements personnels
Si votre site Web n’affiche pas actuellement une politique de confidentialité détaillée, assurez-vous de fournir à votre agence web une politique de confidentialité claire qui comprend les nouvelles exigences pertinentes à la Loi 25.
Réalisation d’évaluations des facteurs relatifs à la vie privée (EFVP)
L’évaluation de la conformité aux exigences établies par la loi 25 doit se faire dans les circonstances suivantes :
- Lorsque les entreprises achètent, construisent ou réorganisent des systèmes d’information
- Avant qu’un service électronique n’implique des détails personnels
- Avant la divulgation de toute information à l’extérieur du Québec
Nomination de délégués à la protection des données (DPD)
La loi 25 exige que les organisations désignent une personne chargée d’assurer la conformité à la nouvelle loi. Le PDG d’une entreprise est responsable de la surveillance, mais peut nommer quelqu’un d’autre comme DPD avec le nom, le titre et les coordonnées disponibles sur le site Web de l’entreprise.
Gestion des incidents de confidentialité
La loi 25 exige que les organisations signalent les incidents ou les atteintes à la protection de la vie privée à la Commission d’accès à l’information (CAI) du Québec et aux personnes touchées. Les entreprises doivent assurer un suivi des violations de la confidentialité et montrer les mesures prises pour réduire le risque que des incidents similaires se reproduisent.
Une violation comprend l’utilisation illégale de données personnelles, des avis de confidentialité inadéquats et le défaut d’informer les gens des décisions automatisées ou des violations de confidentialité.
Cliquez pour notre résumé des impacts sur votre entreprise numérique
Quelles sont les pénalités en cas de non-respect du projet de la loi 25 ?
L’impact financier du non-respect des règles établies par la loi 25 peut être important.
- Les particuliers pourraient payer entre 5 000 $ et 100 000 $ pour avoir violé la loi.
- Les institutions publiques sont passibles d’amendes allant de 3 000 $ à 30 000 $, les grandes organisations étant passibles de pénalités de 15 000 $ à 150 000 $.
- Les entreprises privées risquent jusqu’à 4 % des ventes, soit entre 15 000 $ et 25 000 000 $ (selon le montant le plus élevé).
Les entreprises peuvent faire face à une responsabilité supplémentaire en vertu du Code civil du Québec.
Les renseignements sommaires de la loi 25 du Québec révèlent également que les gens peuvent intenter des poursuites judiciaires privées ou collectives lorsque des atteintes à la vie privée se produisent ou que des entreprises portent atteinte à leur vie privée intentionnellement ou par erreur. Les réclamations individuelles peuvent être d’au moins 1 000 $.
La loi 25 affecte les entreprises au-delà du Québec
Si votre entreprise opère en dehors du Québec, vous pensez peut-être que vous n’êtes pas touché par la loi 25. Mais les organisations qui interagissent avec les données personnelles des clients basés au Québec doivent avoir des politiques et des procédures en place pour se conformer à la loi et adopter toutes les évaluations des facteurs relatifs à la vie privée menées par les entreprises québécoises.
De plus, les législateurs canadiens ont récemment présenté le projet de loi C-27, une compilation de la Loi sur la protection de la vie privée des consommateurs et de la Loi sur le Tribunal de la protection des renseignements personnels et des données. S’il est adopté, le projet de loi C-27 remplacerait la LPRPDE par un cadre juridique plus moderne et plus robuste en matière de protection de la vie privée et des données. Les pénalités en cas de non-respect du projet de loi C-27 sont plus sévères que les amendes associées à la loi 25.
Préparer votre entreprise pour la loi 25
La loi 25 et les lois émergentes reflètent la lassitude et les préoccupations des consommateurs à l’égard de l’utilisation des données personnelles par les entreprises. Pour vous conformer aux exigences immédiates de la loi, vous devrez :
- nommer un DPD si vous souhaitez séparer la supervision des responsabilités de votre PDG
- commencer à signaler les incidents d’atteinte à la vie privée à la CAI et aux personnes affectées.
Ensuite, prenez les mesures suivantes pour répondre aux attentes réglementaires à l’approche de 2023 :
- Effectuez un examen interne des processus que votre entreprise utilise actuellement pour collecter, utiliser, conserver et divulguer des informations personnelles.
- Passez en revue les règles commerciales pour identifier les marchés à l’extérieur du Québec où votre entreprise pourrait transférer des renseignements personnels.
- Discutez avec le DPD des rôles, des responsabilités et du protocole de délégation pour la gestion de la confidentialité.
- Mettez à jour les politiques de confidentialité actuelles pour les aligner avec les lignes directrices de la loi 25.
- Examinez les relations ou les contrats avec des tiers pour vous assurer que le traitement des informations personnelles est géré correctement et de manière cohérente tout au long de votre chaîne d’approvisionnement.
- Ajustez les pratiques actuelles de votre entreprise en matière de consentement aux données pour fournir les messages simples, clairs et faciles à trouver décrits dans la loi 25.
- Restructurez les rapports d’incident de votre organisation pour vous conformer à la nouvelle loi.
- Améliorez la transparence des demandes individuelles d’accès ou de droits de données en rendant les formulaires faciles à trouver, à remplir et à envoyer à votre entreprise.
- Établissez le processus du « droit à l’oubli » qui supprime les personnes des systèmes de données sur demande.
- Établissez un calendrier pour la finalisation des politiques de confidentialité, des programmes et des EFVP.
- Une barre de consentement aux témoins (cookies) doit être intégrée à votre site Web.
Bien que le cheminement vers la conformité à la loi 25 du Québec comporte quelques rebondissements, l’effort est essentiel pour établir et conserver la confiance avec les gens qui achètent vos produits ou services. La confiance mène à la loyauté et au succès à long terme de votre entreprise.
En tant que votre agence de marketing numérique à Montréal, WSI peut vous aider à vous assurer que votre entreprise respecte les diverses obligations de la Loi 25 qui affectent votre site Web et votre présence en ligne. Cependant, nous vous recommandons fortement de contacter votre avocat ou votre conseiller juridique pour plus de détails sur les nouvelles dispositions de cette loi et sur la façon de vous y préparer.
Consultez notre page Ressources pour en savoir plus sur ce sujet et télécharger une proposition de politique de confidentialité à inclure sur votre site Web. Cette politique doit être examinée par votre conseiller juridique pour s’assurer qu’elle est adaptée à vos besoins.
Note : Cet article fournit de l’information à titre indicatif seulement et ne doit aucunement être considéré comme un avis juridique. Veuillez consulter votre avocat pour plus d’informations sur les exigences du nouveau projet de loi 25.
wsisme-control