Une fuite de renseignements personnels par ici, une autre par là… Pas étonnant qu’une nouvelle loi modernisant la protection des renseignements personnels soit établie. Au Québec, on parle de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (la loi 25, autrefois le projet de loi 64), qui affectera tous les organismes, des entreprises privées aux organisations publiques, en passant par les OSBLs, dès le 22 septembre 2023. Vous exercerez donc bientôt de nouvelles responsabilités et obligations envers la sécurité des données de votre clientèle.
D’après Diane Poitras, présidente de la Commission d’accès à l’information du Québec (CAI), l’organisme chargé de l’application de cette loi, « cette importante réforme touche chaque entreprise, chaque organisme public et chaque citoyen. Une protection accrue des renseignements personnels et de nouveaux droits pour le citoyen, une gestion des renseignements personnels plus responsable et transparente par les organismes publics et les entreprises : voilà les principales promesses de ces changements. »
Avant d’aller plus loin, une petite note légale: Nous vous recommandons de faire appel à un·e spécialiste pour l’interprétation légale de la loi.
Et maintenant, mettons en lumière cette loi et les actions que votre organisme devra entreprendre pour y adhérer.
La CAI définit les renseignements personnels comme : « ceux qui portent sur une personne physique et permettent de l'identifier. Ils sont confidentiels. Sauf exceptions, ils ne peuvent être communiqués sans le consentement de la personne concernée. »
Il s’agit donc de toute information permettant de reconnaître une personne par son nom, son adresse, son numéro de téléphone, son adresse courriel, ses informations bancaires, son numéro d’assurance sociale ou tout autre moyen jugé confidentiel.
La loi vise principalement à encadrer comment ces renseignements sensibles sont manipulés, que ce soit lors de la collecte, du stockage ou du consentement pour collecter et partager celles-ci et s’applique à tous les organismes québécois ainsi qu’aux organismes établis à l’extérieur du Québec qui ont des client·e·s qui utilisent leurs services ou produits dans la province.
Si des gens s’inscrivent à vos activités, votre organisme est donc évidemment touché.
Depuis l’an dernier, votre organisation a déjà 2 grandes responsabilités :
Cette personne est responsable de bien documenter tout incident dans un registre et de prendre les mesures pour rapidement diminuer le risque d’un autre incident de confidentialité, comme un vol de disque dur ou un accès non autorisé malveillant.
Avoir un plan de communication aux personnes touchées, ainsi qu’à la CAI, en cas d’incident de confidentialité qui pourrait leur causer un préjudice sérieux.
Vous êtes responsable du registre ou des communications au sein de votre entreprise? Suivez ces conseils en matière de registre, de solutions et de réactions afin d’éviter et de minimiser les impacts d'un incident de confidentialité.
Bien que l’adoption de loi 25 ait été graduelle, les exigences pour septembre 2023 sont les plus complexes jusqu’à présent. Vous devrez effectuer une série d'actions qui demandera à votre organisation d'être plus transparente, systématique et proactive dans la gestion des renseignements personnels de votre clientèle.
Dans les mots du gouvernement du Québec, vous devrez :
Élaborer un cadre de gouvernance en matière de protection des renseignements personnels ;
Bonifier les informations transmises aux citoyennes et aux citoyens lors de la collecte de leurs renseignements personnels ;
Détruire ou rendre anonymes les renseignements personnels dans certaines circonstances ;
Évaluer les risques en matière de vie privée lors de certaines utilisations et communications de renseignements personnels ;
Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale.
Ça semble intimidant? Pour vous aider à y voir plus clair et pour mieux comprendre les étapes à suivre pour votre organisme, nous tiendrons un webinaire gratuit sur l’adoption de la Loi 25 le 4 mai prochain.
Réservez votre place!
Choisir un partenaire technologique de confiance est maintenant impératif puisqu’une fuite de données de votre clientèle deviendra votre responsabilité, que ce soit la faute du logiciel ou non.
En cas de non-respect de la loi, la CAI pourra imposer des sanctions importantes, qui pourraient s’élever jusqu’à 4 % du chiffre d’affaires de votre organisation. Cette sanction sera proportionnelle, notamment, à la gravité du manquement et à la capacité de payer de l’entreprise. Il est donc très important de se protéger autant que possible.
En tant que partenaire numérique et administratif de milliers de compagnies, nous avons déjà appliqué les procédures nécessaires à l’adoption de la loi 25, telles que mentionnées dans les paragraphes précédents. Nous avons également la certification PCI-DSS Level 1, soit le plus haut niveau de sécurité possible dans l’industrie des paiements.
De plus, pour répondre à la demande et aux règles du marché canadien et américain, nous avons déjà dû nous soumettre à un processus relativement similaire à celui de la loi 25. Ainsi, Amilia obtiendra prochainement deux certifications de sécurité importantes : Soc 2 et HIPAA, assurant ainsi que la gestion des données de votre clientèle soit extrêmement sécurisée. Et avec plus de 350 contrôles de sécurité certifiés par des firmes externes, inutile de vous dire que la sécurité informatique, on en mange!
Adopter ces bonnes pratiques nous permettra collectivement de rehausser la protection des renseignements personnels de nos usagers (ainsi que nos propres renseignements!) et d’augmenter la confiance des citoyen·ne·s envers les petites et moyennes entreprises.
L’entrée en vigueur de la loi 25 est aussi un excellent moment pour évaluer les partenaires numériques avec qui vous travaillez et vérifier comment ceux-ci restent à la fine pointe de la technologie en matière de sécurité afin de vous assurer d’avoir le moins de points de faiblesse possible. Comme l’a dit le PDG de la Fédération des chambres de commerce du Québec (FCCQ), Charles Milliard, les PME seront « soumises aux mêmes règlements, mais elles ont tellement moins de moyens pour mettre ça en place » - trouver les bons partenaires est donc primordial.
En septembre 2024, un seul point s’ajoutera à la liste des exigences reliées à la loi 25 : l’obligation de communiquer, à la demande de la personne concernée, les renseignements personnels qu’elle a fournis à une entreprise.
Le gouvernement fédéral du Canada adoptera aussi éventuellement le projet de Loi C-27, qui, d’après Milliard, sera « un peu moins contraignant que la loi québécoise. » Suivre les étapes reliées à la loi 25 à la lettre devrait ainsi vous assurer une conformité facile à la loi fédérale.
Mais avant tout, on vous donne rendez-vous le 4 mai prochain pour notre webinaire sur la loi 25, alors que nous discuterons des étapes à suivre, des enjeux et des solutions pour tous les organismes d’activités et de loisirs. Ne manquez pas ça, inscrivez-vous maintenant!
Webinaire gratuit. Le 4 mai, de 14h à 15h30
Réservez votre place!Articles reliés
