Vous avez sans doute entendu parler de la Loi 25, précédemment appelée Projet de loi numéro 64, « Loi sur la protection des renseignements personnels dans le secteur privé ». Acquérant la réputation d’être la loi de renseignements personnels la plus stricte du monde, il est évident que cette loi aura un effet profond sur la façon dont on collecte, protège, et autorise le partage des renseignements personnels.
La Loi 25 affecte toute compagnie qui collecte de l’information à propos des résidents du Québec, y compris celles qui sont basées hors de la province. Si vous êtes, par exemple, une compagnie ontarienne avec des contacts québécois dans votre base de données, la loi s’applique également à votre organisation.
Une tendance nationale croissante
Le Canada s'apprête à réorganiser ses lois sur la vie privée avec le Projet de loi C-27, présentement en discussion parlementaire. D’autres provinces sont en train de considérer la mise à jour de leurs lois sur la vie privée afin d’offrir une protection plus large des consommateurs. Quant à la Loi 25, les amendes pour non-conformité sont lourdes, variant d’un minimum de 1 000 $ CA à un maximum de 25 million $ CA ou quatre pourcent du chiffre d’affaires mondial pour l’année fiscale précédente.
Ne paniquez pas! Nous sommes ici avec un guide qui vous aidera à bien connaître la loi et être préparé pour tout.
Échéance et interventions avisées
Voici nos conseils pour assurer votre conformité face à la loi.
Exigences rentrées en vigueur le 22 septembre 2022
Même si la majorité des exigences de la Loi 25 prendront effet le 22 septembre 2023, une portion de la loi est déjà entrée en vigueur dès le 22 septembre 2022. Si vous n’avez toujours pas pris les actions suivantes, pensez à les prioriser au plus vite.
- Désignez un agent de protection de la vie privée. Par défaut, si un tel agent n’est pas désigné, le PDG ou le directeur le plus élevé sera attribué ce rôle.
- Informer la Commission d’accès à l’information (CAI) et les individus affectés de tout incident de confidentialité qui risque de causer un incident. Vous pouvez notifier le CAI en remplissant le formulaire de déclaration d’incident, directement sur leur site web et le soumettre par courriel, par fax, ou par courrier traditionnel.
- Rapportez tout incident de sécurité. Conservez les dossiers d’incidents pour cinq ans.
- Discutez avec votre équipe légale interne, avec votre département informatique, avec l’équipe de marketing, et avec tout autre partenaire pertinent pour développer un plan et vous assurer de la conformité.
Exigences rentrant en vigueur le 22 septembre 2023
Le cœur de la législation prend effet à cette date. Bien que ces exigences représentent plusieurs changements importants, il est dans votre intérêt d'introduire de nouvelles stratégies afin d’aider votre organisation à s’ajuster et s’assurer de la conformité avec la Loi 25.
- Établissez et mettez en œuvre une politique de confidentialité interne et protégez l’information confidentielle. Ceci comprend: réviser tout contrat avec des fournisseurs de services tierces et la manière dont ils gèrent les données personnelles. Il est également important d’assurer qu’ils communiqueront avec vous tout incident concernant les données personnelles.
- Publiez votre politique de confidentialité sur votre site web. Ceci doit être en format clair et simple, et doit comprendre: le nom, intitulé de poste, et coordonnées de l’agent de protection de la vie privée. Assurez-vous que vous incluez toute procédure de processus de décision automatisée ainsi que la meilleure manière avec laquelle l’utilisateur peut consulter ses renseignements personnels sur demande et le droit de recours et effacement de données.
- Révisez vos procédures existantes pour obtenir le consentement pour la collection de données personnelles. Le consentement doit être obtenu séparément pour chaque utilisation. Par exemple, si vous collectez des noms et des courriels pour un événement, il faut solliciter séparément le consentement pour envoyer un bulletin d’information. Les stipulations de consentement doivent être rédigées en langage simple et clair.
- Mettez à date vos formulaires de souscription afin d’inclure la raison spécifique pour laquelle vous collectez les données personnelles et le droit de l’utilisateur de modifier ou révoquer le consentement en tout temps.
- Désactivez tout mécanisme qui collecte les données personnelles par défaut.
- Obtenez le consentement explicite pour tout mécanisme qui collecte des données personnelles qui sont actifs sur votre site, tels qu’une notification de cookies, et donnez l’option de retirer le consentement.
- Assurez le stockage des consentements obtenus.
- Réalisez une étude d’impact de confidentialité pour tout projet qui comprend des données personnelles. Ceci s’applique à tout projet qui nécessitera le procurement, le développement, ou la réorganisation d’un système d’information ou d’un service de livraison électronique.
- Réalisez une étude d’impact de confidentialité pour tout transfert de données destiné hors du Québec. Ceci nécessite que vous identifiez premièrement chaque transfert de données personnelles hors de la province qui prend place. Ensuite, il va falloir que vous classifiez les différents types de transferts de données transfrontaliers, ce qui veut dire identifier les types de données personnelles concernés et la destination de ces données. Chaque type de transfert transfrontalier doit ensuite être soumis à une évaluation d’impact afin de déterminer si les données recevront le même niveau de protection dans la juridiction réceptrice et identifier l’ampleur des risques. Veuillez consulter le Guide d’accompagnement pour information additionnelle.
- Facilitez le droit d’effacement. Vos clients possèdent le droit d'être oubliés. Assurez-vous que vous soyez capable d’identifier toute donnée personnelle que vous possédez à propos de vos clients et vérifiez que vous avez des procédures en place pour effacer la totalité de leur données s’ils le demandent.
Note supplémentaire: Il existe certaines exceptions en ce qui concerne le procurement du consentement pour les transactions commerciales et les objectifs de recherche. Si ceci s'adresse à vous, veuillez consulter votre département légal afin de comprendre comment ces exceptions s'appliquent.
Exigences rentrant en vigueur le 22 septembre 2024
Ceci peut sembler loin dans l’avenir, mais il est préférable de ne pas être pris au dépourvu. Préparez-vous d’avance.
- Facilitez la portabilité des données. Vous devrez être capable de générer un rapport sur toutes les données personnelles que vous possédez sur un client à la requête du client en question. Assurez-vous que vous avez des procédures en place pour exécuter ceci d’une manière efficace.
Cette nouvelle législation est très exigente, dépassant même les exigences du Règlement général sur la protection des données (RGPD) de l’Union européenne. Néanmoins, elle fait partie d’une tendance globale vers un environnement législatif plus strict envers les données personnelles. Mettre en place les bons mécanismes dès maintenant vous aidera davantage à assurer votre succès et votre conformité avec la loi à long terme.
Avez-vous besoin d’aide?
Des changements tels que ceux-ci peuvent être bouleversants pour beaucoup d’organisations. Ici à Evolving Web, nous avons des spécialistes qui peuvent vous assister. Contactez-nous et discutons ensemble comment cette loi impactera vos activités de marketing.