Tout ce que vous devez savoir sur la loi 25

Avec l’accessibilité aux informations personnelles depuis les réseaux sociaux, les sites Web et autres, la sécurité de la présence en ligne de tout un chacun est importante, voire capitale. En ce sens, le Québec a récemment fait un pas en avant pour tout mettre en œuvre afin de moderniser sa législation quant à la protection des données personnelles de ses citoyens et citoyennes. Depuis déjà septembre 2021, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) régit mieux la protection des renseignements personnels au Québec.

Cette loi vient modifier et ajouter plusieurs droits et obligations au niveau de la protection des données personnelles pour les internautes et les organismes. Dorénavant, toutes personnes distribuant leurs renseignements personnels sur le Web pourront faire appel à plusieurs droits afin de prendre le contrôle de leurs données vis-à-vis des organismes avec lesquels ils ou elles ont communiqué. De ce fait, les organisations doivent développer les outils nécessaires pour respecter ces droits tout en s’assurant de la sécurité de l’information qu’elles ont en leur possession.

CÔTÉ UTILISATEUR

Premièrement, sachez que le terme « renseignements personnels » n’est pas seulement associé aux informations reliées à votre identité sur le Web (nom, prénom, courriels, numéro de téléphone, etc.). Bien que celles-ci soient des informations, le terme désigne également les traces que vous laissez en naviguant sur la toile. Cela peut comprendre votre adresse IP, votre historique de navigation (l’ensemble des sites que vous avez consultés) et voire même votre comportement interactif sur un site (ex. le fait que vous avez cliqué sur un bouton).

N’ayez crainte, tout n’est pas enregistré et archivé dans les bases de données des sites que vous visitez. En revanche, il existe des logiciels, qui utilisent ces données en particulier pour en extraire des statistiques, à l’image du logiciel bien connu de Google, Google Analytics.

Jusqu’à présent, en tant qu’utilisateurs du Web, nous n’avions que très peu de contrôle quant à l’accès à ces données. Nous laissions des traces de notre présence en ligne un peu partout sur le Web. L’arrivée de la Loi 25 a donc permis de faire changer cette facette peu attrayante du Web.

Désormais, nous sommes en mesure d’accepter ou non l’utilisation de témoins sur les sites que nous visitons. Nous pouvons aussi refuser plus facilement l’utilisation de nos données ou demander aux organismes la désindexation d’informations que nous ne souhaitons plus faire apparaître dans les bases de données de quiconque.

La Loi 25, apporte trois droits que vous pouvez invoquer : le droit à la portabilité, le droit à la désindexation et le droit à l’effacement.

1. Le droit à la portabilité se définit comme étant la possibilité de recevoir toutes les données qu’un organisme possède à votre sujet sous forme de fichier exporté.
2. Le droit à la désindexation s’entend comme étant la possibilité offerte aux utilisateurs d’un site de refuser que leurs renseignements personnels soient utilisés à certaines fins mentionnées lors de la collecte (voir la section « Collecte des renseignements personnels »).
3. Le droit à l’effacement est la possibilité offerte aux utilisateurs d’un site Web de demander à ce que leurs renseignements personnels ne figurent plus dans leur base de données.
4. Pour faire appel à ces droits, consultez les politiques présentes sur les sites Web que vous visitez.

CÔTÉ ENTREPRISE

Vous l’aurez compris, avec l’arrivé de la Loi 25, les organismes possédant un site Web ont plusieurs actions à prendre afin de respecter les droits, obligations et enjeux que souligne cette loi. Pour ce faire : 

SUR VOTRE SITE WEB

• Vous devez avoir la mention claire et précise que votre entreprise est en règle avec la Cela se traduit généralement par l’intégration de deux politiques présentes sur les sites : la politique de confidentialité et protection des renseignements personnels ainsi que la politique des témoins.
• Vous devez également posséder un module permettant à ces utilisateurs de choisir les paramètres des témoins dont ils autorisent l’utilisation. Ce module est principalement nommé « module de vérificateurs de “cookies” ».
• Enfin, vous devez indiquer un moyen clair pour vous joindre pour qu’un utilisateur puisse exercer l’un de ses droits liés à la Loi 25. Il est recommandé de mettre ces indications dans la politique de protection des renseignements personnels via soit la mention du numéro de téléphone ou du courriel de la personne responsable de votre site ou à travers un formulaire intégré.

DANS VOTRE ORGANISME

Bien que la Loi 25 s’applique sur le Web, celle-ci vient avec quelques procédures qui devront être mises en place au sein de votre organisation dans le cas où la Commission d’accès à l’information du Québec vous demande de fournir de l’information sur la sécurité des renseignements personnels qui sont en votre possession.

• Vous devez donc avoir en votre possession un registre de toutes les technologies qui traitent les renseignements personnels prélevés depuis votre site Web.
• Vous devez également posséder un registre archivant tous les signalements d’incidents de confidentialité de vos systèmes qui traitent ou hébergent les données personnelles de vos utilisateurs.
• Vous devez aussi nommer une personne responsable de la protection des renseignements personnels. Cette personne s’occupe de mettre en place des mesures et pratiques pour protéger les personnes contre le vol d’identité et la fraude financière. Le nom et les coordonnées de cette personne doivent être communiqués dans les politiques de votre site Web. Sachez que par défaut, cette responsabilité est attribuée à la personne ayant la plus haute autorité au sein de votre organisation, cependant cette fonction peut être déléguée par écrit, en tout ou en partie.
• Enfin, vous devez avoir des procédures internes dans l’objectif d’une meilleure pratique dans la protection et gestion des renseignements personnels.

En résumé, avec l’arrivée de la Loi 25, quelques modifications non négligeables de vos plateformes Web de votre organisation doivent être prises en considération.

Depuis le 22 septembre dernier, la loi est officiellement en vigueur. En effet, sans adaptation, les organismes peuvent faire face à plusieurs répercussions, dont des sanctions importantes qui pourraient s’élever jusqu’à 25 M$ ou à 4 % du chiffre d’affaires mondial. Cette sanction sera proportionnelle, notamment, à la gravité du manquement et à la capacité de payer de l’entreprise.

Si vous souhaitez en lire plus à ce sujet, vous pouvez directement consulter le site de la Commission d’accès à l’information du Québec : https://www.cai.gouv.qc.ca/lois- et-reglements/.

Si vous avez des questions sur cette nouvelle loi ou besoin de plus amples explications quant aux mesures à prendre, L’ASSOCIÉ sera heureux d’y répondre.