Loi 25 au Québec : 3 étapes clés pour assurer votre conformité

En vigueur depuis septembre 2022, la loi 25 est peu connue et très peu de PME ont pris les mesures requises jusqu’à présent. La Loi 25 a été mise en place au Québec pour moderniser les lois en matière de protection des renseignements personnels de tes employés et de tes clients.

Est-ce que tu te souviens du scandale du vol de données chez Desjardins ? Eh bien, cette loi a été créée justement pour éviter que ce genre de catastrophe se produise dans ton entreprise. En effet, les entreprises doivent maintenant assumer une plus grande responsabilité en ce qui concerne la gestion des renseignements personnels qu’elles détiennent soit la collecte et le stockage des données personnelles.

Cette loi s’applique donc à toutes les entreprises, petites, moyennes ou grosses, qui possèdent, collectent, traitent ou diffusent des informations personnelles.

Le gouvernement laissait 3 ans à toute entreprise de s’y conformer et ce, jusqu’en septembre 2024.

Comme tu pourras le voir, plusieurs mesures dévaient être mises en œuvre depuis septembre pour que ton entreprise soit conforme.

Si tu ne l’as pas déjà fait, ne perds surtout pas de temps ! Voici les quelques-unes obligations en lien avec la loi 25 :

1) Mise en place d’une politique concernant la cueillette, l’utilisation et la communication des renseignements personnels

Dans cette politique tu dois inclure le nom du responsable de la protection des renseignements et ces coordonnées.  La personne ayant la plus grande autorité est nommée par défaut (propriétaire, président, directeur).

  Attention ! Il est également nécessaire d’afficher le titre et les coordonnées de la personne que vous avez nommé à l’interne sur ton site web ou de les rendre accessibles à ta clientèle par tout autre moyen public. D’ailleurs, dans cette politique, tu dois inclure tout le processus de protection des données incluant la conservation et la destruction de ceux-ci.

Finalement, tu devras laisser une place au traitement des plaintes qui doit expliquer tout le processus complet jusqu’à la notification des incidents de confidentialité.

⇒ (À télécharger) Politique de protection des renseignements personnels;

⇒ (À télécharger) Entente de confidentialité

2) Registre des incidents de confidentialité

Personne n’est protégé à 100%. Tu dois donc prendre des dispositions pour être alerté en cas d’incident de confidentialité qui peut survenir malgré tes mesures de prévention.

⇒ (À télécharger) Registre des incidents de confidentialité

⇒ (À télécharger) Lettre d’avis d’incident de confidentialité

3) Consentement concernant la cueillette, l’utilisation et la communication des renseignements personnels

Il est essentiel d’obtenir au préalable le consentement de tes employés et/ou clients pour pouvoir utiliser leurs informations personnelles. Par exemple, demander des renseignements de nature :

• D’identification : Adresse, âge, sexe, numéro d’assurance sociale, etc.
• Médicale : Dossier médical, médicament, etc.
• Biométrique
• Orientation sexuelle
• Groupe ethnique
• Croyances religieuses
• L’état des finances : Revenu d’une personne, numéro de compte bancaire, cartes de crédit, etc.
• Familiale : État civil, avoir des enfants ou non, etc.
• Au travail : dossier disciplinaire, salaire, dates de vacances, etc.
• D’éducation : Diplômes, curriculum vitae, choix de cours, etc

⇒ (À télécharger) Consentement à la cueillette des renseignements personnels

Tu te demandes toujours quelle est l’importance de conformer ton entreprise à la loi 25 ?

Eh bien, personne ne veut se faire voler son identité ou bien que sa vie privée soit menacée. Par conséquent, l’organisme chargé de la surveillance s’assure que tu respectes cette notion et peut t’imposer des sanctions assez salées. En effet, les entreprises qui ne respectent pas la Loi 25 pourraient subir des pénalités en fonction de leur taille.

Une petite entreprise qui aurait commis une infraction pourrait être passible de sanctions allant de 15 000$ à 25 000$, voir de payer 4% de ses ventes annuelles. Elle possède également un délai pouvant aller jusqu’à 5 ans après l’infraction pour engager des poursuites. 

Sois donc attentif et anticipe en mettant en place, bien avant la date limite, des dispositions qui assureront la sécurité des informations personnelles de tes employés, de tes clients et fournisseurs.

Besoin d’un coupe de pouce ?

Rassurez-vous, nous sommes là pour vous guider à chaque étape, tout en préservant votre énergie ! 

Pas encore membre ? Rejoignez la communauté InfoRH dès aujourd’hui et profitez de tous nos avantages !

Des questions ou des commentaires ? Écrivez-nous, nous sommes à votre écoute.