Tout savoir sur la loi 25 au Québec sur la protection des données

 

Qu’est ce que la loi 25 ? Quels sont les avantages de la loi 25 pour mon entreprise ? Que dois-je faire pour que mon entreprise soit conforme à la loi 25 ? Quelles sont les subventions PCAN ? Suis-je éligible ? Dans cet article, vous trouverez toutes les réponses à vos questions concernant la nouvelle loi 25 et les subventions PCAN.

 Qu’est ce que la loi 25 ?

La Loi 25, ou loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est une loi québécoise qui est entrée en vigueur le 1er janvier 2023. Cette loi a pour objectif de protéger les renseignements personnels des citoyens québécois.

Les principales dispositions de la Loi 25 pour les citoyens sont les suivantes :

  • Obligation de consentement: Les entreprises et les organisations doivent obtenir le consentement libre et éclairé des personnes avant de collecter, utiliser ou divulguer leurs renseignements personnels.
  • Droit d’accès: Les personnes ont le droit d’accéder à leurs renseignements personnels et de demander qu’ils soient corrigés ou supprimés.
  • Droit à la portabilité: Les personnes ont le droit de recevoir une copie de leurs renseignements personnels dans un format structuré et lisible.
  • Droit à l’opposition: Les personnes ont le droit de s’opposer à la collecte, à l’utilisation ou à la divulgation de leurs renseignements personnels.

Une partie des nouvelles dispositions législatives de la loi 25 sont également entrées en vigueur le 22 septembre 2022. Cette réforme modernise les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel. 

Les entreprises doivent en plus :

  • Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l’entreprise;
  • En cas d’incident de confidentialité, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice;
  • Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite au moyen de caractéristiques ou de mesures biométriques;
  • Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée dans le cadre d’une transaction commerciale ou encore à des fins d’étude, de recherche ou de productions de statistiques.
  • En plus de ces obligations, les organismes publics devront aussi former un comité sur l’accès à l’information et la protection des renseignements personnels.

 Quels sont les avantages de la loi 25 pour mon entreprise ?

La gouvernance de l’information offre aux entreprises des avantages qui vont au-delà de la conformité réglementaire. Comment pouvez-vous tirer parti de la loi 25? Quelques exemples : 

  • Apporter plus de transparence à votre stratégie, donc plus de proximité avec vos clients
  • Démontrer que votre entreprise agit de manière responsable et éthique
  • Protection des informations de vos clients et vos employés
  • Réduction des risques

 Que dois-je faire pour que mon entreprise soit conforme à la loi 25 ? 

Les étapes essentielles

La protection des données personnelles est une préoccupation majeure pour les entreprises de toutes tailles. En effet, les données personnelles sont des informations qui peuvent être utilisées pour identifier ou contacter une personne. Elles peuvent être sensibles, telles que des informations de santé ou financières.

Pour protéger les données personnelles, les entreprises doivent mettre en place des mesures de sécurité appropriées. Ces mesures comprennent notamment un inventaire des données personnelles, un calendrier de conservation des données et un plan de gestion en cas d’incident.

  1. Faire l’inventaire des données personnelles

La première étape consiste à faire un inventaire des données personnelles que l’entreprise possède. Cela permet de connaître le type d’informations collectées, les activités pour lesquelles elles sont utilisées et les personnes qui y ont accès.

Il est par exemple important de documenter les rôles et les responsabilités du personnel en matière de protection des données personnelles. Cela permet également de garantir que tous les employés sont conscients de leurs obligations et de leurs responsabilités.

Pour réaliser cet inventaire, il est recommandé de schématiser la façon dont les données circulent dans l’organisation. Cela permettra d’identifier les données redondantes ou obsolètes qui peuvent être supprimées. 

  1. Prévoir un calendrier de conservation des données

Une fois que l’entreprise dispose d’un inventaire des données personnelles, elle doit prévoir un calendrier de conservation des données. Ce calendrier définit la durée pendant laquelle les données doivent être conservées avant d’être supprimées ou anonymisées et qui y a accès.

Le calendrier de conservation des données doit être adapté aux besoins de l’entreprise. Il doit tenir compte des exigences légales et réglementaires, ainsi que des besoins opérationnels.

Par exemple, les délais pour supprimer ou anonymiser les informations personnelles recueillies lors d’entretiens d’embauches.

  1. Mettre en place des mesures de surveillance et un plan de gestion en cas d’incident

Les entreprises doivent mettre en place des mesures de surveillance pour détecter les incidents de sécurité. Ces mesures comprennent notamment des systèmes de détection d’intrusion, des pare-feu et des antivirus.

Il est impératif de désigner la personne responsable de la protection des renseignements personnels et de publier son titre et ses coordonnées sur le site de l’entreprise. De plus, assurez-vous que vos clients et visiteurs de votre site aient connaissance de leurs droits (consentement, accès, portabilité et opposition).

En cas d’incident de sécurité, les entreprises doivent être en mesure de réagir rapidement et efficacement. Pour cela, elles doivent mettre en place un plan de gestion en cas d’incident.

Ce plan doit définir les procédures à suivre en cas de violation des données personnelles. Il doit également identifier les personnes responsables de la gestion de l’incident.

 Quelles sont les subventions PCAN ?

Les subventions PCAN sont des subventions offertes par le gouvernement du Québec aux entreprises et aux organisations qui investissent dans la protection des renseignements personnels. Ces subventions peuvent être utilisées pour financer des projets de sensibilisation, de formation ou d’amélioration des pratiques en matière de protection des renseignements personnels.

Voici quelques exemples de projets qui peuvent être financés par les subventions PCAN :

  • La création d’une politique de protection des renseignements personnels
  • La formation des employés aux pratiques de protection des renseignements personnels
  • L’installation d’une solution de sécurité des données
  • La réalisation d’une analyse de la conformité à la Loi 25

 Suis-je éligible aux subventions PCAN ?

Les subventions PCAN sont disponibles pour les entreprises et les organisations de toutes tailles, y compris les PME. Les critères d’admissibilité sont les suivants :

  • L’entreprise ou l’organisation doit être située au Québec.
  • Le projet doit viser à améliorer la protection des renseignements personnels.
  • Le projet doit être réalisé par une entreprise ou une organisation qualifiée.

Le montant des subventions PCAN varie en fonction du projet et de la taille de l’entreprise ou de l’organisation.

Conclusion

La Loi 25 et les subventions PCAN sont des outils importants pour protéger les renseignements personnels des citoyens québécois. Ces mesures contribuent à garantir que les personnes ont le contrôle de leurs données personnelles et qu’elles sont protégées contre les abus.

En tant qu’experts en Marketing Numérique, nous sommes à votre écoute pour toute demande de renseignement! Vous avez une question concernant la loi 25? Vous souhaitez un audit de votre site web pour savoir si vous êtes conforme aux nouvelles règles de protection des données? Vous souhaitez savoir comment utiliser la loi 25 en votre faveur pour augmenter vos ventes? Envoyez-nous un message ici.( lien interne)

Pour en savoir plus, voici quelques liens importants : 

Verifier votre eligibilite pour une subvention PCAN : www.subventionpcan.com

Informations supplémentaires sur la loi 25 et les bénéfices pour les citoyennes et les citoyens : https://www.quebec.ca/gouvernement/ministeres-et-organismes/institutions-democratique-acces-information-laicite/acces-documents-protection-renseignements-personnels/pl64-modernisation-de-la-protection-des-renseignements-personnels

Nouvelles dispositions pour la loi 25 : https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212