Cyberswat vous propose une série de quatre articles entourant la Loi 25 au Qébec . Ces articles ne constituent pas un avis juridique, mais exposent plutôt notre avis d’expert du domaine de la cybersécurité. Nous y expliquons les grandes lignes de la Loi 25, ses enjeux pour les PME et les moyens que vous pouvez prendre pour confirmer à vos clients et à vos employés que vous la respectez.
Qu’est-ce que la Loi 25 et pourquoi en entendons-nous parler autant? Pourquoi avons-nous besoin d’une telle loi? C’est ce que nous démystifions dans cet article. Nous vous expliquons ici les raisons pour lesquelles ces renseignements personnels ont besoin d’être protégés et pourquoi le Québec a mis en vigueur cette loi.
Depuis quand est-elle appliquée?
La Loi 25 est entrée en vigueur au Québec en septembre 2022, question de protéger la vie privée des individus dans le contexte des activités des secteurs public et privé. Il importe de mentionner qu’il existait déjà au Québec, avant la Loi 25, des lois régissant la protection des renseignements personnels. Néanmoins, elles n’étaient pas aussi sévères qu’elles le sont aujourd’hui.
La Loi 25 impacte principalement deux lois : la Loi sur la protection des renseignements personnels dans le secteur privé et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels. Bien qu’il existe quelques différences entre elles, nous consacrerons nos efforts au secteur privé dans nos articles.
Qu’est-ce qu’un renseignement personnel?
Avant même d’aller plus loin, il est important de débuter par la compréhension de ce qu’est un renseignement personnel. Un renseignement personnel se définit par toute information qui concerne une personne physique et qui permet de l’identifier, et ce, directement ou indirectement. Cela peut inclure des données telles que le nom, l’adresse, le numéro de téléphone, l’adresse électronique, la date de naissance et le numéro d’assurance sociale ainsi que toute autre information qui, combinée, permettrait de déterminer l’identité d’une personne.
Est-ce que mon entreprise est concernée?
Que votre entreprise permette à vos clients de faire une réservation à l’hôtel, de passer des commandes en ligne, de réserver un rendez-vous dans votre clinique, d’ouvrir un compte client dans votre magasin ou de remplir un formulaire pour un tirage, elle traite probablement des renseignements personnels visés par la Loi 25.
Cela concerne non seulement les renseignements personnels de vos clients, mais également ceux collectés auprès de vos employés et des candidats postulant chez vous pour un emploi.
Le Québec a ainsi voulu se doter de lignes de conduite strictes sur le traitement réservé aux données; peu importe le type et la taille d’entreprise qui collecte les données, les règles sont les mêmes.
Est-ce qu’un renseignement personnel doit être sensible pour être concerné par la Loi?
Un élément clé à retenir : les renseignements personnels que vous collectez n’ont pas besoin d’être sensibles pour devoir être protégés en vertu de la Loi. En effet, même le prénom, le nom et une adresse courriel peuvent être considérés comme un renseignement personnel et se doivent d’être protégés adéquatement. Votre site Web collecte des données sur les personnes qui le consultent? Vous avez une infolettre? Vous êtes concernés!
Certains nous disent parfois : « oui, mais moi je récupère uniquement le nom, le prénom, et le numéro de téléphone… ce sont les mêmes informations que sur Canada411.com! ». Cependant, la raison de cette collecte et le contexte d’utilisation sont différents. Par exemple, pensez-vous que la publication du nom, du prénom et du numéro de téléphone sur Canada411 a le même impact qu’une exfiltration de données de la même liste associée à un cabinet de psychologues?
D’où vient ce besoin d’avoir une loi au Québec? Sommes-nous si distincts?
Ce qu’il faut savoir, c’est que de nombreux pays sur la planète se sont déjà dotés de lois similaires. C’est déjà le cas aux États-Unis, où plusieurs États ont défini leur propre loi, ainsi qu’en Australie et en Europe.
Avec la montée en flèche des piratages informatiques, qui sont combinés à l’industrialisation et à l’exploitation des données par les entreprises, ces lois visent notamment à :
- demander le consentement des personnes avant de recueillir leurs renseignements;
- renforcer les mesures de protection des renseignements personnels que les entreprises doivent mettre en place, et ce, de leur collecte à leur destruction;
- informer les personnes concernées lorsqu’une entreprise a subi une fuite de données.
Au Québec, le législateur s’est principalement inspiré de l’Europe pour la Loi 25, reprenant plusieurs principes du Règlement général sur la protection des données (RGPD). Attention cependant, il ne s’agit pas d’un simple « copier-coller » du RGPD; plusieurs adaptations ont été réalisées afin de mieux refléter le contexte nord-américain ainsi que les valeurs québécoises.
Au Québec, la Loi 25 vise à assurer que les renseignements personnels sont traités de manière juste, transparente et sécuritaire tout en donnant aux individus un certain contrôle sur leurs données personnelles. En somme, elle vise à établir des normes de protection des renseignements personnels en ligne avec les principes de respect de la vie privée et de protection des droits individuels.
Sans surprise, les entreprises prises en défaut s’exposent à des amendes, mais sont également sujettes à entacher leur image lorsque leurs manquements sont rendus publics.
Par où commencer?
Comme entreprise privée au Québec, de quoi la PME a-t-elle besoin pour établir sa conformité avec la Loi 25? Que devons-nous mettre en place? Quels sont les points à savoir? C’est facile pour une PME de se perdre à travers toutes ces lois, sans parler de la surcharge de travail que nous pouvons entrevoir!
Pour se conformer à la Loi 25, une PME au Québec doit commencer par afficher le nom de la personne responsable de la protection des données personnelles sur son site Web et doit mettre en place des politiques et des pratiques de protection des renseignements personnels qui garantissent le respect des droits des individus et la sécurité des données.
Au-delà des points précédents, il y a quand même plusieurs autres éléments à réaliser, et c’est pour cela que nous avons besoin de plusieurs articles! 😊
D’ici là, chez Cyberswat, nous avons des experts en la matière. Nous avons accompagné près d’une centaine de PME à répondre aux exigences de la Loi 25. Nous pouvons vous accompagner pour les dossiers les plus complexes comme pour les plus simples en réalisant une analyse complète de votre situation ou en vous aidant sur un ou plusieurs points.
N’attendez surtout pas une fuite de données, votre comptable et vos clients vous remercieront!
