La loi 25 vous obligera à faire beaucoup
Note de l’éditeur : Je ne suis pas avocat et rien de ce qui écrit ici peut servir comme conseil légal
Dans cet article, je vous présenterai les demandes du gouvernement et les implications pour votre entreprise. En cas de doute, référez-vous à ce que le Gouvernement dit. Je vous présente aussi ce que ça veut dire dans un language plus simple et plus marketing.
Depuis le 22 septembre 2022
| Demande du gouvernement | Ce que ça veut dire |
|---|---|
| Vous devez établir une personne qui est responsable de la gestion des dispositions législatives en matière de protection des renseignements personnels | Vous devez inclure dans la politique de vie privée qui est de gérer la protection des données, sinon le Président de l’entreprise sera la personne par défaut. |
Au 22 septembre 2023
| Demande du gouvernement | Lien du gouvernement pour expliquer | Ce que ça veut dire |
|---|---|---|
| Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié; | https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/gouvernance-en-matiere-de-protection-des-renseignements-personnels/regles-encadrant-gouvernance https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/gouvernance-en-matiere-de-protection-des-renseignements-personnels/politique-de-confidentialite | Vous devez informer l’utilisateur sur comment la donnée sera protégée lorsque celui-ci vous envoie de la donnée. Votre politique de vie privée doit être disponible sur votre site web, utiliser des termes que le commun des mortels peut comprendre et détailler la façon dont la donnée sera traitée. |
| Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels; | https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/consentement/validite-dun-consentement https://cdn-contenu.quebec.ca/cdn-contenu/adm/min/conseil-executif/publications-adm/acces-information/protection_des_renseignements_personnels/Napperon_consentement.pdf | Le consentement doit être manifeste, libre, éclairé, donné à des fins spécifiques et à durée variable. C’est probablement le morceau le plus important de la nouvelle loi. Vous devez avoir le consentement de l’utilisateur pour le suivre, pour communiquer avec lui ou pour toute action en lien avec les données. Tout ça en plus d’expliquer ce qui est possible pour lui de désactiver. La majorité des entreprises décident d’opter pour diviser le consentement en plusieurs catégories afin de pouvoir continuer de suivre l’utilisateur, mais peut-être pas de le recibler. On parlera par exemple de cookies de suivi VS Cookie de marketing. Cela veut aussi dire que le consentement n’est pas donné pour la vie. Vous devez spécifier dans les détails du consentement combien de temps l’entreprise aura le consentement d’enregistré. |
| Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes | https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/anonymisation | Ici, il y a une zone grise importante. Il ne semble pas avoir de durée prévue pour obliger l’entreprise à détruire. Par exemple, une entreprise pourrait dire qu’elle a besoin des données de l’utilisateur pendant 20 ans. Dans le cadre d’une entreprise de service, ça peut facilement être justifiable. |
| Respecter vos nouvelles obligations d’information et de transparence envers les citoyens | Vous ne devez pas cacher dans des termes trop scientifiques les informations communiquées à l’utilisateur. | |
| Respecter les nouvelles règles de communication des renseignements personnels à l’extérieur du Québec; | https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/communication-de-renseignements-personnels/communication-realisation-tache-exterieur-quebec https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/evaluation-facteurs-relatifs-vie-privee | Il faut surveiller ce qu’on envoie comme donnée à l’extérieur du Québec et s’assurer que tout est dans les règles de l’art. Si vous hésitez, vous devez faire une évaluation des facteurs relatifs à la vie privée. |
| Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public; | https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/technologie-et-droit-a-la-protection-des-renseignements-personnels/protection-defaut | Par défaut, vous appliquez les paramètres de confidentialité les plus élevé, prenez pour acquis que vous ne devez faire AUCUN suivi sur la personne. Vous prenez pour acquis que la personne ne veut pas que vous ayez la moindre donnée sur elle. |
| Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur; | Vous devez demander au tuteur légal pour récolter de l’information d’un utilisateur de moins de 14 ans. | |
| Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli); | Un utilisateur peut désirer être désindexé de vos services. Cela oblige donc d’avoir le gestionnaire des cookies à la vue de l’utilisateur. | |
| Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil. | https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/acces-aux-renseignements-personnels/communication-dans-un-contexte-de-processus-de-deuil | Dans le cas d’un deuil, il doit être facile de pouvoir transférer les données. |
Au 22 septembre 2024
| Demande du gouvernement | Lien du gouvernement pour expliquer | Ce que ça veut dire |
|---|---|---|
| Répondre aux demandes de portabilité des renseignements personnels. | https://www.quebec.ca/gouvernement/travailler-gouvernement/travailler-fonction-publique/services-employes-etat/conformite/protection-des-renseignements-personnels/acces-aux-renseignements-personnels/titre-par-defaut | Un utilisateur doit pouvoir exiger que vous lui fournissiez le dossier des informations que vous avez sur l’utilisateur. |
