Categories : Web et technologie - Temps de lecture : 3 minutes, 57 seconds

Données personnelles en ligne : la loi 25

Que se passe-t-il?

Il y a une mise à jour dans les dispositions législatives de protection des renseignements personnels en ligne! Ouf! (Je reprends mon souffle).

« Cette importante réforme touche chaque entreprise, chaque organisme public et chaque citoyen. Une protection accrue des renseignements personnels et de nouveaux droits pour le citoyen, une gestion des renseignements personnels plus responsable et transparente par les organismes publics et les entreprises : voilà les principales promesses de ces changements. » — Me Diane Poitras, présidente de la Commission d’accès à l’information de Québec.

Bref, cette mise à jour de la loi touche toutes les entreprises et demande d’apporter certains changements sur votre site Web. Vous avez jusqu’au 22 septembre 2024 pour vous y conformer progressivement.

Aller au TLPL

Qu’est-ce que la loi 25?

C’est une loi qui modernise les articles de loi sur la protection des données personnelles en ligne. En gros, elle apporte des modifications sur la façon d’intégrer, de recueillir, de stocker et de diffuser les informations personnelles de vos usagers.

VOTRE ENTREPRISE est désormais légalement responsable des fuites de données personnelles en ligne. Ces données sont toutes les informations que vous pouvez recueillir numériquement :

 

Adresse courriel;

Noms;

Prénoms,

Âge;

Sexe;

Numéros de téléphone;

Adresse;

Informations bancaires;

Localisation;

Numéro d’entreprise;

Données biométriques (reconnaissance vocale ou faciale, empreintes digitales, etc. …);

Etc.

 

Comment vous conformer à la nouvelle loi?


En plus de respecter les obligations actuelles de la loi, voici les nouvelles obligations :

 

1. Vous devez nommer une personne responsable (cadre, dirigeant, gestionnaire ou propriétaire) de la protection des renseignements personnels et publier son titre et ses coordonnées sur votre site Web (sur la page « Politique de confidentialité », « Conditions générales » ou dans le pied de page). Cette personne devient responsable de faire appliquer les points suivants.

 

2. Vous devez tenir un registre de toutes les informations personnelles de vos clients. En cas de fuite de données, vous devez fournir cette liste à la Commission d’accès à l’information du Québec.

 

3. En cas de faille, vous devez prendre toutes les mesures nécessaires afin de diminuer les risques de préjudice aux personnes concernées. Ex. : les aviser, régler la faille, faire l’entretien fréquent de votre site, etc.

 

4. Vous devez initier des pratiques de gestion des données personnelles qui soient claires, sécuritaires et transparentes : obtenir le consentement des personnes sur la prise de leurs données, informer la personne avant d’utiliser un moyen de la géolocaliser ou de suivre ses déplacements en ligne, publier une politique de confidentialité complète et claire, traiter les demandes d’informations quant à votre gestion, sauvegarde et utilisation des données personnelles.

 

5. Si vous prévoyez utiliser une technique biométrique, informez-vous au préalable de vos obligations en la matière.

 

6. Vous devez maintenant tenir un historique des incidents de fuites de données. Ces incidents peuvent être :

  • Attaque informatique;
  • Arnaque par courriel;
  • Vol ou perte d’un appareil physique (appareil mobile de la compagnie, clé USB, disque dur externe, ordinateur, tablette);
  • Une personne non autorisée a accédé aux données;
  • Envoi d’un courriel à la mauvaise personne;
  • Hameçonnage de données;
  • Transfert de données dans un appareil personnel non autorisé;

 

Pour aviser la Commission d’accès à l’information du Québec d’un incident cliquez ici.

 

7. Il vous faut entretenir des barèmes de sécurité adéquats sur votre site.

Celui-ci se doit d’avoir à la base certaines protections pour prévenir les attaques et failles de sécurité. Pour être sûr que votre site est sécuritaire, faites affaire avec un expert!

 

8. Les personnes concernées en cas de fuite de données doivent être avisées avec un rapport de vulnérabilité. Celui-ci doit contenir :

– Les données susceptibles d’avoir été divulguées;

– Les circonstances de la fuite;

– Les mesures qui ont été déployées pour régler la faute;

– La personne-ressource en cas de faille pour que la victime puisse accéder à l’information et poser des questions.

 

Comment prévenir les failles de données?

 

– Faites les mises à jour nécessaires sur votre site Web;

– Utilisez un gestionnaire de mots de passe;

– Faites des sauvegardes fréquentes de vos bases de données et de votre site;

– Faites l’entretien requis au bon moment;

– Ne partagez pas de données sensibles;

– Lisez notre article sur les arnaques Google My business pour plus de conseils.

 

 

En conclusion, vous devez prévenir le plus possible les failles de données personnelles, car vous en êtes maintenant légalement responsable. Les conséquences peuvent être grandes alors, il faut rester informé. C’est une situation complexe dans laquelle on peut vous aider.

 

 

Autres liens utiles :

https://www.cai.gouv.qc.ca/entreprises/

https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf

https://www.quebec.ca/gouvernement/ministeres-et-organismes/institutions-democratique-acces-information-laicite/acces-documents-protection-renseignements-personnels/pl64-modernisation-de-la-protection-des-renseignements-personnels

https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212#:~:text=Une%20protection%20accrue%20des%20renseignements,principales%20promesses%20de%20ces%20changements.%20%C2%BB

Données personnelles en ligne : la loi 25
Vous avez aimé cet article? Faites-le découvrir!

TLPL? (trop long, pas lu?)

Si vous êtes une entreprise et que vous avez un site Web :

Vous avez jusqu’au 22 septembre 2024 pour vous conformer à une nouvelle loi sur la protection des données personnelles en ligne.

Comment se conformer :

  1. Nommez une personne responsable et mettez ses coordonnées visibles sur votre site (personne haut placée dans l’entreprise).
  2. Tenez un registre de toutes les informations personnelles que vous détenez.
  3. Évitez l’aggravation de la situation en cas de faille.
  4. Initiez des pratiques de sécurité adéquates.
  5. Tenez un historique des incidents de fuite de données.
  6. Avisez la Commission d’accès à l’information du Québec en cas de fuite.

 

Avisez les personnes concernées en cas de fuite.

Auteur : Alexandre Poirier-Brin - 2 février 2023