26 Août Phase 3 de la loi 25 le 22 septembre 2024 : êtes-vous prêts ?
À l’été 2023, Q14 vous rappelait l’importance de vous conformer à la Loi 25, notamment en ce qui concerne l’intégration d’une politique de confidentialité et l’acceptation des témoins (cookies) sur vos sites Web. La plupart des organisations ont pris les mesures nécessaires, mais si ce n’est pas encore votre cas, contactez-nous sans délais, car il est essentiel de régulariser la situation rapidement.
À l’approche du 22 septembre 2024, nous souhaitons attirer votre attention sur les nouvelles exigences de la Loi 25, qui renforce encore davantage la protection des renseignements personnels au Québec. Bien que notre agence ne fournisse pas de services de mise en conformité, nous tenons, par souci de diligence, à vous informer de l’importance de vous préparer à la Phase 3 de cette loi.
Cette phase introduit des obligations supplémentaires, telles que la portabilité des données et la sécurité des informations en transit, qui demandent une vigilance accrue. Pour vous assurer que votre organisation respecte ces nouvelles régulations, nous vous recommandons vivement de consulter des experts spécialisés en conformité légale.
Phase 3 de la loi 25 le 22 septembre 2024 : êtes-vous prêts ?
Bon, encore un article sur la Loi 25! Oui, vous avez raison, mais celui-ci est différent. Pourquoi ? Parce qu’il vous offre des solutions pratiques, une consultation gratuite et il est facile à lire!
La Loi 25 (qui est en fait le chapitre 25 de la Loi 64, qui existe depuis 1994) apporte avec elle de nombreuses obligations pour les organisations de toutes tailles faisant affaires avec des gens qui habitent au Québec. L’objectif de cette loi est simple : protéger la vie privée et les renseignements personnels de tous. Pour les organisations, elle demande un investissement en temps et en ressources, un peu comme devoir assembler un meuble IKEA… sauf que là, je suis là pour vous guider !
Dans quelques semaines, la Phase 3 de la Loi 25 entrera en vigueur, apportant avec elle son lot de nouvelles obligations. Mais avant de plonger dans ce qui vous attend, petit retour sur les deux premières phases, qui sont entrées en vigueur dans les dernières années :
Phase 1 : depuis le 22 septembre 2022
1. Nommer une personne responsable de la protection des renseignements personnels
Toutes les organisations doivent nommer une personne responsable de la protection des renseignements personnels (PRP). Par défaut, c’est la personne avec la plus haute autorité. C’est essentiel de clarifier ses rôles et responsabilités, de la désigner par écrit, et de rendre ses coordonnées publiques sur le site web de l’organisation (ou par tout autre moyen accessible si vous n’avez pas de site web).
2. Inventaire des renseignements personnels
Imaginez que vous faites le grand ménage du printemps dans votre bureau. Vous devez passer en revue tout ce que vous avez accumulé : documents, dossiers, et autres éléments, pour voir ce qui est encore utile et ce qui doit être jeté. De la même manière, vous devez créer un document qui répertorie tout ce que votre organisation recueille, conserve et utilise comme renseignements personnels, pourquoi vous les gardez, où ils sont stockés, qui peut les consulter, avec qui vous les partagez, si vous avez l’autorisation pour les conserver et comment vous les détruisez lorsqu’ils ne sont plus nécessaires.
3. Création d’un registre d’incident
C’est la première chose que les auditeurs regarderont. Depuis le 22 septembre 2022, ce registre doit être à jour, avec une mention des mesures mises en place pour éviter que les incidents ne se reproduisent.
Phase 2 : depuis le 22 septembre 2023
1. Publication de votre politique de confidentialité sur votre site Web
Votre politique de confidentialité doit être claire, simple, et accessible à tous. Elle doit se trouver facilement sur votre site Web, généralement au bas de la page (footer).
2. Plateforme de consentement
Imaginez ce fameux « Pop-Up » comme le portier de votre site web. Si vous recueillez des témoins (cookies en anglais) ou des données de localisation, ce pop-up est obligatoire. Aucun choix ne doit être présélectionné ou mis en évidence, car cela pourrait être perçu comme un acte de mauvaise foi par la Commission d’accès à l’information.
3. Conformité des fournisseurs et tiers partis
C’est un peu comme s’assurer que tous vos sous-traitants respectent les mêmes règles que vous. La Loi 25 exige que vous ayez un contrat écrit qui précise les mesures de protection des données. En particulier pour les fournisseurs hors Québec, cela peut impliquer une évaluation des facteurs relatifs à la vie privée (EFVP), pour vous assurer que tout est en ordre.
4. Formulaires de consentement
Le consentement doit être explicite et sans ambiguïté. Dans un contrat de travail, il faut inclure une clause qui confirme l’adhésion à la protection des renseignements personnels (PRP) et obtenir le consentement des employés pour l’utilisation de leurs données personnelles, en précisant exactement pourquoi et comment ces données seront utilisées.
5. Politiques et procédures
C’est votre manuel de bord. Vous devez rédiger un ensemble de politiques et procédures, couvrant des sujets comme la gouvernance des renseignements personnels, la sauvegarde des données, le calendrier de conservation des données, la politique d’accès à l’information, entre autres.
6. Formation
Tous les employés doivent suivre une formation pour être sensibilisés à la protection des renseignements personnels. C’est essentiel pour s’assurer que tout le monde est à jour et sait quoi faire pour protéger les données.
Phase 3 : En vigueur à partir du 22 septembre 2024
Voici un aperçu des principales exigences qui entreront en vigueur :
1. Politique et procédure de portabilité des données
Imaginez que vous devez organiser un déménagement. Vous avez 30 jours (ou 20 pour le secteur public) pour préparer les cartons et vous assurer que tout arrive à bon port, en toute sécurité. Ici, il s’agit de transférer des données et il est essentiel de définir qui fait quoi pour que tout se passe sans accroc.
2. Formulaire/ registre d’analyse des demandes de portabilité ou demandes d’accès
Ce registre vous permet de vérifier que chaque demande est légitime et conforme, un peu comme s’assurer que tout est en règle avant de prendre la route.
3. Vérification de l’identité des demandeurs
Établir des étapes claires pour valider l’identité des demandeurs.
4. Sécurité des données en transit
Vous devez mettre en place des mesures de sécurité pour que rien ne soit perdu ou volé en cours de route, assurant que les données arrivent à destination en toute sécurité.
5. Formation des employés
Tous les employés doivent être formés sur la protection des données, la portabilité, et la sécurité, pour que tout le monde soit prêt à gérer ces processus de manière efficace et sécurisée.
6. Plan de réponse en cas d’incident
En cas de problème avec le transfert de données, vous devez savoir exactement quoi faire : qui prévenir, comment minimiser les dégâts, et comment éviter que cela ne se reproduise, comme dans un plan de prévention requis par la CNESST.
7. Mise à jour de la politique de confidentialité
Votre politique de confidentialité doit refléter les nouveaux droits à la portabilité des données, et vous devez informer vos clients et parties prenantes des changements et de la façon dont ils peuvent faire leurs demandes.
Pourquoi vous devriez agir dès maintenant
Le 23 septembre arrive vite! Il est essentiel de vous préparer dès maintenant pour éviter les risques de non-conformité. Les conséquences peuvent être lourdes : des amendes substantielles, une atteinte à votre réputation et des interruptions de vos opérations qui pourraient sérieusement nuire à votre activité.
Pour vous aider à naviguer ces nouvelles exigences et à vous préparer efficacement, nous vous proposons une évaluation de conformité à la Loi 25 gratuitement. Cette évaluation vous permettra de:
- Identifier les lacunes dans vos pratiques actuelles.
- Obtenir des recommandations spécifiques pour vous mettre en conformité.
- Développer un plan d’action pour adapter vos politiques et procédures.
N’attendez pas que la date limite soit passée pour agir. Prenez rendez-vous dès aujourd’hui pour votre évaluation gratuite et assurez-vous que votre organisation est prête pour la troisième phase de la Loi 25.
Profitez d’une consultation gratuite avec Catherine
Catherine Lancelot, CRHA
Courriel : [email protected]
Sorry, the comment form is closed at this time.