Qu’est-ce que la loi 25?
C’est une loi qui modernise les articles de loi sur la protection des données personnelles en ligne. En gros, elle apporte des modifications sur la façon d’intégrer, de recueillir, de stocker et de diffuser les informations personnelles de vos usagers.
VOTRE ENTREPRISE est désormais légalement responsable des fuites de données personnelles en ligne. Ces données sont toutes les informations que vous pouvez recueillir numériquement :
Adresse courriel;
Noms;
Prénoms,
Âge;
Sexe;
Numéros de téléphone;
Adresse;
Informations bancaires;
Localisation;
Numéro d’entreprise;
Données biométriques (reconnaissance vocale ou faciale, empreintes digitales, etc. …);
Etc.
Comment vous conformer à la nouvelle loi?
En plus de respecter les obligations actuelles de la loi, voici les nouvelles obligations :
1. Vous devez nommer une personne responsable (cadre, dirigeant, gestionnaire ou propriétaire) de la protection des renseignements personnels et publier son titre et ses coordonnées sur votre site Web (sur la page « Politique de confidentialité », « Conditions générales » ou dans le pied de page). Cette personne devient responsable de faire appliquer les points suivants.
2. Vous devez tenir un registre de toutes les informations personnelles de vos clients. En cas de fuite de données, vous devez fournir cette liste à la Commission d’accès à l’information du Québec.
3. En cas de faille, vous devez prendre toutes les mesures nécessaires afin de diminuer les risques de préjudice aux personnes concernées. Ex. : les aviser, régler la faille, faire l’entretien fréquent de votre site, etc.
4. Vous devez initier des pratiques de gestion des données personnelles qui soient claires, sécuritaires et transparentes : obtenir le consentement des personnes sur la prise de leurs données, informer la personne avant d’utiliser un moyen de la géolocaliser ou de suivre ses déplacements en ligne, publier une politique de confidentialité complète et claire, traiter les demandes d’informations quant à votre gestion, sauvegarde et utilisation des données personnelles.
5. Si vous prévoyez utiliser une technique biométrique, informez-vous au préalable de vos obligations en la matière.
6. Vous devez maintenant tenir un historique des incidents de fuites de données. Ces incidents peuvent être :
- Attaque informatique;
- Arnaque par courriel;
- Vol ou perte d’un appareil physique (appareil mobile de la compagnie, clé USB, disque dur externe, ordinateur, tablette);
- Une personne non autorisée a accédé aux données;
- Envoi d’un courriel à la mauvaise personne;
- Hameçonnage de données;
- Transfert de données dans un appareil personnel non autorisé;
Pour aviser la Commission d’accès à l’information du Québec d’un incident cliquez ici.
7. Il vous faut entretenir des barèmes de sécurité adéquats sur votre site.
Celui-ci se doit d’avoir à la base certaines protections pour prévenir les attaques et failles de sécurité. Pour être sûr que votre site est sécuritaire, faites affaire avec un expert!
8. Les personnes concernées en cas de fuite de données doivent être avisées avec un rapport de vulnérabilité. Celui-ci doit contenir :
– Les données susceptibles d’avoir été divulguées;
– Les circonstances de la fuite;
– Les mesures qui ont été déployées pour régler la faute;
– La personne-ressource en cas de faille pour que la victime puisse accéder à l’information et poser des questions.
Comment prévenir les failles de données?
– Faites les mises à jour nécessaires sur votre site Web;
– Utilisez un gestionnaire de mots de passe;
– Faites des sauvegardes fréquentes de vos bases de données et de votre site;
– Faites l’entretien requis au bon moment;
– Ne partagez pas de données sensibles;
– Lisez notre article sur les arnaques Google My business pour plus de conseils.
En conclusion, vous devez prévenir le plus possible les failles de données personnelles, car vous en êtes maintenant légalement responsable. Les conséquences peuvent être grandes alors, il faut rester informé. C’est une situation complexe dans laquelle on peut vous aider.
Autres liens utiles :
https://www.cai.gouv.qc.ca/entreprises/
https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf
https://www.quebec.ca/gouvernement/ministeres-et-organismes/institutions-democratique-acces-information-laicite/acces-documents-protection-renseignements-personnels/pl64-modernisation-de-la-protection-des-renseignements-personnels
https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212#:~:text=Une%20protection%20accrue%20des%20renseignements,principales%20promesses%20de%20ces%20changements.%20%C2%BB