En 2023, le concept de « vie privée » est légèrement galvaudé. Si l’hyper connectivité, les médias sociaux et Internet ont leurs avantages, elles sont aussi des mines d’or d’informations concernant leurs utilisateurs. Nos préférences, notre âge, notre situation géographique, nos données bancaires, tout est à la merci des marchands de données. Données qui, soit dit en passant, valent une fortune pour certaines entreprises et âmes malveillantes. Heureusement, on peut désormais compter sur la Loi 25 au Québec. Pour savoir de quoi il en retourne, et découvrir si votre site Internet est conforme, lisez ce qui suit.
Qu’est-ce que la loi 25?
Pour paraphraser le texte de loi, disons que la loi 25, la Loi visant à moderniser les mesures législatives en matière de protection des renseignements personnels dans le secteur privé, se résume ainsi : il s’agit d’une mesure adoptée pour protéger plus adéquatement les données personnelles des utilisateurs, en responsabilisant les entreprises quant aux informations personnelles qu’elles récoltent. Donc, si vous êtes le propriétaire d’un site Internet, vous êtes directement concerné.
L’application de la loi 25
La loi 25 est une loi relativement nouvelle qui a été adoptée en 2021. Pour laisser le temps aux entreprises de s’ajuster, son application et les sanctions qui en découlent ont été échelonnées dans le temps. Voilà donc qu’à partir du 22 septembre 2023, les pénalités entreront en vigueur.
Quelques mesures à prendre pour se conformer à cette loi
À l’heure actuelle, et ce depuis déjà une année, vous devriez avoir :
- une personne responsable de la protection des renseignements personnels (un gardien de la loi);
- un plan de gestion des incidents de confidentialité et des procédures à suivre le cas échéant;
- un registre des incidents de confidentialités;
- un processus pour divulguer tout incident de confidentialité à la Commission d’accès à l’information;
- etc.
À propos des nouvelles obligations, celles en vigueur à partir du 22 septembre 2023, voici quelques-unes des actions à entreprendre:
- avoir un cadre de gouvernance en matière de protection des renseignements personnels;
- utiliser un processus de traitement des plaintes;
- informer clairement les utilisateurs des informations personnelles recueillies, à qui elles sont livrées, pourquoi, etc.;
- détruire les renseignements sensibles de manière sécuritaire;
- permettre à l’utilisateur de refuser ou de retirer son consentement à la communication ou l’utilisation de données personnelles;
- demander le consentement des utilisateurs;
- etc.
L’application de la loi 25 sur un site Web
Pour éviter de contrevenir à la loi 25, les entreprises doivent se soumettre à l’obligation d’avoir une politique de confidentialité claire et facilement accessible sur leur site web, en plus d’utiliser le fameux formulaire de consentement lié aux cookies. Oui, vous savez, cette fenêtre qui apparaît systématiquement pour demander à l’utilisateur s’il accepte ou non la collecte de ses données personnelles, quitte à se voir refuser l’accès du site? Alors voilà, à partir du 22 septembre, chaque site Internet devra en avoir un.
En somme, si vous avez des inquiétudes relatives à la conformité de votre site Internet et si vous avez besoin d’un coup de main pour répondre aux obligations de la loi 25, notamment pour la mise en place du formulaire de consentement, contactez-nous.
*Attention, cet article est uniquement à titre informatif et ne constitue en aucun cas un fidèle résumé de la loi 25 dans son entièreté ni une recommandation juridique.
