Travaillons ensemble 450-529-1186
La stratégie d'abord!
Loi 25 au Québec : ce que tu dois savoir en tant que PME
Retour au haut de la page
Retour aux articles

La loi 25 en quelques mots

As-tu déjà entendu parler de la Loi 25? Elle débarque au Québec le 22 septembre 2023 et elle est là pour muscler la sécurité autour des données personnelles. En gros, elle veut s'assurer que les infos de tes clients soient entre de bonnes mains. Tu te grattes sûrement la tête en te demandant ce que ça veut dire pour ta PME, et quelles étapes tu dois franchir, n'est-ce pas? Pas de stress, on n'est pas des avocats, mais on va te démêler tout ça dans cet article!

Les entreprises concernées par la loi 25

Si ton entreprise est basée au Québec, la Loi 25 impose à ton entreprise des responsabilités et des obligations spécifiques. Plusieurs mesures doivent être instaurées dans toutes les entreprises, et bon nombre d'entre elles ne le savent pas encore. Heureusement, il n'est pas encore trop tard pour agir, car les sanctions ne seront appliquées qu'à partir de septembre 2023.

loi 25

Les données personnelles, c’est quoi?

Tout d’abord, pour éviter que tu ne te sentes perdu dans les explications qui suivent, il faut savoir ce que sont les données personnelles.

La liste n'est pas exhaustive, mais parmi les données personnelles les plus courantes, on retrouve:

  • Le nom et prénom
  • Le courriel
  • Le numéro de téléphone
  • L’adresse du domicile
  • Les informations démographiques de la personne (âge, profession, etc.)

Les sanctions en cas de non-respect de la loi 25

Les obligations de la loi 25 pour les PME: ce qu’il faut retenir!

La Loi 25 place la transparence et la responsabilité au cœur de la gestion des données personnelles, que ce soit celles de tes clients ou même de tes fournisseurs. Voici quelques obligations clés que les PME doivent respecter, mais bonne nouvelle, c'est loin d'être insurmontable.

Voici un petit résumé si tu es plus du style à lire en diagonale:

  • Ajoute une page de politique de confidentialité claire et accessible dans le menu de bas de page.
  • Pense à réaliser un audit des données collectées sur ton site web.
  • Explique bien comment tu collectes ces données, que ce soit avec des logiciels spécifiques, des plateformes, ou d’autres outils en ligne, et offre des options pour que les utilisateurs préservent leur vie privée s’ils le souhaitent.
  • Sois transparent sur les raisons pour lesquelles tu as besoin des infos des gens et respecte leur accord initial en ne les utilisant pas pour autre chose.
  • Utilise une bannière de consentement sous forme de pop-up pour informer sur l’usage des cookies.
  • N’oublie pas d’obtenir un consentement explicite avant de collecter des données, en expliquant clairement pourquoi et comment tu vas les utiliser, et laisse les gens refuser à tout moment.
  • Assure-toi de bien connaître qui a accès à quoi, que ce soit en interne ou en externe, notamment en ce qui concerne les administrateurs, les développeurs, les employés et tes anciens collègues.
  • Pense à réviser régulièrement les autorisations d’accès pour t’assurer qu’elles sont toujours valables.
  • N’oublie pas d’utiliser un gestionnaire de mots de passe et de mettre en place la double authentification, c’est vraiment sécuritaire! Chez nous, on utilise 1Password.
  • Structurer un plan d’action pour gérer les incidents de confidentialité

Maintenant, rentrons un peu plus dans les détails sur les choses importantes à mettre en place?

1. Nommer un responsable de la protection des renseignements personnels

Pour te conformer à la Loi 25, il est essentiel de nommer un responsable de la protection des renseignements personnels (RPRP) au sein de ton entreprise. Imagine-le comme le gardien de la confidentialité. Il est là pour s'assurer que les règles sont suivies et que les données sont traitées de manière responsable.

2. Repérer les informations personnelles que vous avez collectées

Tu as un site web et tu collectes des données sur tes visiteurs? C'est super important de leur dire clairement ce que tu fais avec ces infos, du moment où tu les collectes jusqu'à leur suppression. C'est un peu comme un contrat de confiance entre toi et eux. Que ce soit pour un formulaire de contact, une demande de soumission, une nouvelle inscription client, une prise de rendez-vous, une commande, ou même un abonnement, sois hyper vigilant! Ces formulaires collectent souvent des infos sensibles et personnelles.

C'est crucial de leur expliquer en toute transparence ce que tu fais avec ces données, de la collecte jusqu'à leur effacement. Pense à ça comme un pacte de confiance entre toi et tes visiteurs. Tu es maintenant légalement responsable des données sensibles que tu collectes, c'est la loi!

C’est sans parler de toute l’information que tu collectes sans le savoir! Imagine un visiteur qui arrive sur ton site, en quelques secondes, ton tracker Google Analytics ou Facebook Pixel commence à collecter tout un tas d'infos sur lui. On parle de son appareil, du temps passé sur ton site, des pages qu'il visite, et même de ses comptes réseau sociaux.

En général, on devrait classer les cookies dans les catégories suivantes:

  • Essentiels: Ceux-là, c'est la base pour que ton site roule bien et en toute sécu.
  • Personnalisation: Pour se rappeler des préférences des visiteurs et leur montrer du contenu qui leur parle.
  • Analytiques: Ces cookies t'aident à saisir comment les gens naviguent sur ton site, pour que tu puisses l'optimiser.
  • Publicitaires: Pour gérer la pub et faire en sorte qu'elle soit pertinente. Attention, ces cookies-là peuvent être partagés avec d'autres.

C'est pas mal d'infos, hein? Il faut donc que tu t’assures de dire à tes visiteurs que, en naviguant sur ton site, ils te donnent ces infos. Et même s'ils ne lisent pas ta politique de confidentialité, ils devraient savoir ce qui se passe.

Mais attends, ce n'est pas tout. Tu devrais aussi leur donner le choix de ne pas partager ces infos et de continuer à visiter ton site. C'est-à-dire, tant qu'ils n'ont pas dit oui ou non, tu ne collectes rien. Ah, et parlons des cookies. Ce sont des petits fichiers stockés sur l'ordinateur de chacun, qui gardent en mémoire des préférences et des infos sur le visiteur. Par exemple, quand tu te connectes à Facebook, le site envoie un fichier avec les infos de ton profil et une date d'expiration. La prochaine fois que tu reviens, Facebook lit ce cookie et sait qui tu es. Pratique, mais encore une fois, c'est mieux quand c'est transparent.

Alors, es-tu prêt à faire les choses bien et à instaurer cette belle relation de confiance avec tes visiteurs?

Tu n’es pas sûr s’il y a des cookies qui collectent automatiquement les données sur ton site web? Pas de problème, il existe des outils pour cela!Wappalyzer est un outil gratuit qui agit comme un détective qui peut repérer les technologies utilisées sur ton site, les cookies, et d'autres éléments qui peuvent être liés à la conformité à la Loi 25. Il te donnera une meilleure visibilité sur ce qui se passe en coulisses et t'aidera à prendre les mesures nécessaires.

Voici un exemple de ce que cela a donné lorsqu’on a lancé Wappalyzer sur notre site web:

cookies loi 25

Tu peux télécharger son extension directement sur Google Chrome.

3.Créer une Politique de confidentialité pour la protection des données personnelles accessibles à tous

Il est essentiel de mettre en place des règles claires pour gérer les infos personnelles que tu collectes sur ton site. L'idée, c'est de créer une politique de confidentialité que tout le monde peut comprendre facilement.

  • Dans ce document, tu vas indiquer quelques trucs essentiels:
  • Le titre et les coordonnées du responsable de la protection des renseignements personnels.
  • Comment tu gères la collecte, l'utilisation, le partage, la conservation et même la suppression des données sur ton site.
  • Ton plan d'action pour gérer les plaintes et les incidents en matière de confidentialité.

4. Assure-toi de la conformité de ton site web:

Voici quelques points essentiels à considérer, cela revient à faire une petite mise à jour pour ta boutique en ligne ou ton site web:

Politique de confidentialité:

Tu dois avoir une page avec une politique de confidentialité claire et accessible sur ton site web, de notre côté, nous aimons l'ajouter au menu de bas de page. Cette politique devrait expliquer quelles données sont collectées, comment elles sont utilisées, et comment les individus peuvent exercer leurs droits en matière de protection des données. Pense à ça comme le mode d'emploi de ton site web.

Bannière de consentement:

Une bannière de consentement (ou pop-up) est indispensable pour éclairer les visiteurs de ton site web sur l’usage des témoins (cookies). C’est comme si tu devais demander la permission avant de rentrer chez quelqu’un: tu ne commences à collecter des données que lorsque le visiteur a dit ‘oui’. Assure-toi que le système que tu utilises puisse enregistrer ce consentement express dans un registre numérique. Mais avant tout, fais le ménage dans tes types de cookies.

Gestion des cookie avec Google Tag Manager:

Google Tag Manager, c'est un peu comme le chef d'orchestre de tous les cookies et balises de suivi qui circulent sur notre site. Il les gère tous d'un seul endroit, ce qui nous permet d'avoir un contrôle total sur ce qui se passe. Mais le plus cool dans tout ça, c'est que grâce à cet outil, on peut s'assurer que rien, absolument rien, n'est collecté sans le consentement express.

Fais attention aux autres infos que tu collectes:

Que ce soit via des formulaires, des commentaires ou des achats, assure-toi que les gens sont d'accord pour te donner ces infos.

Anonymise quand c'est possible:

Si tu n’as pas besoin de savoir qui c'est, garde les données anonymes. Par exemple, évite de stocker les messages des formulaires de contact ou les adresses IP. Collecte uniquement ce qui est nécessaire.

Voici une bannière de consentement qui respecte bien la loi 25:

bannière perssonalisée de consentement

Voici un exemple de bannière de consentement personnalisée:

bannière de consentement exemple

Une bannière de consentement n'est pas simplement un ajout requis, c'est aussi une opportunité de montrer que ton entreprise fait preuve de transparence et respecte la vie privée des internautes. Il est possible de la personnaliser afin de faire refléter l'identité de ta marque tout en informant clairement les visiteurs sur l'utilisation des cookies. Tu peux dire quelque chose comme : «Les cookies sont nos alliés pour améliorer ton expérience. Si tu es partant, clique simplement sur 'J'accepte'. Sinon, tu peux continuer à explorer en tout anonymat!»

L'idée, c'est aussi de maximiser tes chances d'obtenir un 'oui' de la part des visiteurs, surtout si tu veux garder des stats et suivre des tendances sur le comportement des utilisateurs et les analyses démographiques.

5. Structurer un plan d'action pour gérer les incidents de confidentialité

L'entrée en vigueur de cette loi est le moment idéal pour faire un grand tri dans les données que vous avez accumulées et, ensuite, de les éliminer.

Il vaut mieux prévenir que guérir, comme on dit! Élaborer un plan d'action en cas de fuite de données est une sage décision. Cela te permettra de réagir rapidement et efficacement, renforçant ainsi la sécurité des informations et la confiance de tes clients. Alors, prends le temps d'y réfléchir, car cela peut s'avérer très précieux en cas de besoin. Un de tes employés vient de quitter l'entreprise? Attention! Si tu n'as pas retiré ses accès admin, tu viens peut-être de mettre en péril la confidentialité des données de tes clients. Et ça, c'est un gros drapeau rouge selon la nouvelle loi sur la protection des renseignements personnels.

Si jamais tu rencontres un incident de confidentialité susceptible de créer des problèmes, il est important d'en informer la commission d'accès à l'information (CAI) ainsi que les individus concernés. Consigne minutieusement tous les détails de la fuite dans un registre, qu'il soit physique ou numérique, prêt à être consulté en cas de contrôle. Ce registre devrait également lister les mesures que tu as prises pour colmater la brèche. En plus de prendre des mesures bien pensées pour limiter les dégâts pour les gens touchés et éviter que ça se reproduise, il est aussi important de faire une évaluation des facteurs relatifs à la vie privée (EFVP). C'est une démarche officielle qui t'aide à voir venir les risques et à trouver des moyens de les réduire.

La loi 25: Une bonne nouvelle pour les consommateurs

En fin de compte, la Loi 25 est une excellente nouvelle pour tout le monde, y compris toi en tant que consommateur. Les données personnelles sont importantes. Cette loi renforce leur protection et leur confidentialité. Tu as maintenant davantage de contrôle sur qui peut accéder à tes données, ce qui signifie que tu peux naviguer en ligne en toute confiance, sachant que tes informations personnelles sont entre de bonnes mains.

Alors, prêt à passer à l'action?

Tu te sens un peu perdu avec la nouvelle Loi 25? Pas de stress! Chez PropulC, on s'est adapté pour être conforme et on est là pour t'aider. Tu peux faire affaire avec le juriste de ton choix ou même avec ton propre avocat, mais pour te simplifier la vie, on a établi un partenariat avec le cabinet Arseneault & de Munck Avocates Inc. En remplissant le formulaire, ils se chargeront de la rédaction de ta politique de confidentialité ainsi que du formulaire de consentement à la collecte de renseignements personnels et prendront contact avec toi pour les étapes suivantes. Et ne t'inquiète pas pour le volet web! Ça c'est notre spécialité et on s'en occupe!

Partager
Kaven | Président

Article rédigé par

Kaven

Président