Loi 25 : quoi savoir pour gérer les données de vos clients en toute légalité

Par Eliane Bourque

L’annonce est tombée l’automne dernier. Dès septembre 2024, la loi 25 demandant une modernisation de la protection des renseignements personnels sera appliquée dans son entièreté auprès des entreprises et des organismes québécois.

Favorisant la transparence et souhaitant donner plus de pouvoir aux gens sur leurs renseignements personnels, cette loi affecte la collecte et l’archivage des données. Avec un peu plus de deux ans avant sa mise en place, les organismes publics et autres organisations commerciales doivent se préparer convenablement. 

Votre entreprise est-elle déjà prête pour faire face à ce nouveau défi ?

 

Qu’est-ce que la loi 25 ?

 

Voulant se positionner comme une province à l’avant-garde avec la loi 25, le Québec désire implanter une culture de protection des renseignements personnels, fortement inspirée du Règlement général sur la protection des données de l’UE. 

Selon le site du gouvernement du Québec, cela permettra entre autres aux citoyens de bénéficier de ces droits :

  1. De bonifier des informations reçues lors d’une collecte de renseignements personnels et d’une décision automatisée ;
  2. De recevoir plus d’informations concernant l’utilisation de leurs renseignements personnels pour rendre une décision fondée exclusivement sur un traitement automatisé et d’un droit de présenter leurs observations à un membre du personnel en mesure de réviser la décision ;
  3. D’être avisés lors d’un incident de confidentialité concernant leurs renseignements personnels lorsque cet incident présente un risque qu’un préjudice sérieux soit causé ;
  4. D’effacer et de déréférencer ;
  5. D’avoir accès à des consentements demandés en termes simples et clairs.

Qu’est-ce que cela signifie pour votre organisation ou bien votre entreprise ?

 

En plus des exigences légales comme l’évaluation des facteurs relatifs à la vie privée, la bonification des informations transmises à vos clients et l’obtention de consentement clair pour une utilisation commerciale de renseignements personnels, vous devez catégoriser et protéger vos actifs informationnels. C’est un changement qui requiert, entre autres, des solutions technologiques, une réorganisation de la gestion de l’information et la mise en place de nouveaux processus. Bien que cela peut sembler exhaustif, il est important de garder en tête qu’en assurant la sécurité de ces données, vous assurez également la sécurité de vos clients. 

La meilleure façon d’y arriver est de développer un plan de gestion des risques. Pourquoi ? Parce que vous aurez en tête toutes les mesures nécessaires au respect de la loi 25, vous pourrez organiser efficacement les renseignements en votre possession en plus d’être prêt à faire face à toute situation menaçant la disponibilité, l’intégrité, ou la confidentialité d’informations personnelles.

 

Par quoi commencer ?

 

Commencez par vous familiariser avec la loi 25. Plusieurs documents disponibles sur le web, par exemple cet aide-mémoire pour entreprise, vulgarisent les grandes lignes du projet. 

Identifier un responsable parmi votre organisation pour prendre en charge la mise en place de nouvelles mesures. Cette personne sera non seulement responsable de la protection des renseignements personnels, mais elle pourra aussi se charger de gérer toute formation pour le reste de votre équipe. 

Prenez le temps d’analyser les critères de sécurité de l’information à prendre en compte, et évaluez les différentes valeurs des données possédées dans votre entreprise.  

Développez une grille permettant de définir les critères de sécurité que vous devrez mettre en place, mais surtout l’impact possible selon la valeur de votre information.  

Le plus important ? Ne pas s’inquiéter ! Cette nouvelle loi est un pas de plus dans la bonne direction pour assurer la sécurité de tous dans l’univers numérique. S’il est sage de planifier dès maintenant les étapes pour respecter les nouvelles normes de la loi 25, rappelez-vous qu’il vous reste encore plus de deux ans pour tout régulariser.

Si vous souhaitez explorer plus en profondeur la catégorisation et la protection de vos actifs informationnels, Chuck & Co offre une formation virtuelle d’une journée afin de vous accompagner dans l’élaboration d’une ébauche de plan de gestion des risques.

Pour vous inscrire, c’est ici !