La conformité de la Loi 25

la conformité et la loi 25

LA LOI 25 et ses obligations

 

Ça faite un an en septembre dernier, que la première phase de la loi 25 est née.

C’est quoi la Loi 25 ?

Celle-ci sert à améliorer la protection des données personnelles des citoyens.

 

En 2022, plusieurs balises ont été mises en place, dont l’imposition d’avoir des méthodes pour sécuriser les données ainsi qu’une déclaration obligatoire de tout vol de données potentiel aux gens affectés et à la Commission d’accès à l’information.

Qui doit se conformer à la Loi 25 ?

Tout entreprise, que tu sois seule ou que tu as 10 000 employés. Il n’y a pas de barême de grosseur quand on parle de la Loi 25. Tant et aussi longtemps que tu as une entreprise, tu es concernée par cette conformité.

C’est quoi une information confidentielle ?

La loi, définit une information qui peut identifier une personne directement.

 

Est-ce qu’une adresse IP collectée par Google Analytics est une information personnelle ? Techniquement non, car cette adresse est dynamique (Une adresse IP qui est attribuée à un ordi, smartphone, tablette ou autre et ce pour un temps limité) et seulement le fournisseur internet (qui est également régi par la loi 25) peut identifier l’utilisateur.

Quelles sont les nouveautés en 2023 concernant la Loi 25 et ton site Web ?

Les nouveautés de 2023 pour la conformité sur le site web sont

 

les témoins, ou plus souvent appelés les cookies. Ils peuvent collecter plusieurs informations, tel que le nom, l’adresse courriel, l’emplacement physique et plusieurs autres informations.

Qu’est-ce qui est obligatoire en 2023 ?

Il est maintenant obligatoire de protéger les informations collectées sur ton site web.

 

Il faut également fournir aux gens une option pour bloquer les cookies du site web.

 

Si jamais tu utilises un gestionnaire de contenu tel que WordPress ou Joomla ou Wix ou toute autre plateforme pour ton site web, des modules d’extension sont disponibles afin d’ajouter la gestion des cookies.  Sinon, je t’invite à parler à ton développeur, ou à la firme de développement de ton site web, afin de s’assurer d’avoir une bannière qui permet de gérer les cookies.

 

Tu dois également, sur ton site web, identifier la personne qui gère les données personnelles dans ton entreprise et mettre la façon de faire pour la rejoindre.

 

Voici un exemple : Voir exemple en cliquant ici 

 

Prendre note que les informations de la personne responsables de la protection des renseignements personnels, ne doivent pas être cachées dans la politique des cookies, ou dans les politiques confidentielles. Bien au contraire, les coordonnées du responsable des données personnelles doivent être bien affichées dans la page contact ou une autre page ou dans le footer ou autre.

Je n’ai pas de site web, je n’ai pas besoin de me conformer ?

Ceci est complètement faux, puisqu’une donnée personnelle peut se retrouver dans tes dossiers de partage de fichier comme google drive, one drive, dropbox, ou autres, il faut quand même que tu protèges les données personnelles de tes clients.

 

Je te partage un exemple, disons que tu as des données personnelles dans un cartable. En cas de perte de ce cartable, en théorie il y a une fuite des données personnelles de tes clients.

 

Il faudra donc que tu prouves à la Commission d’accès à l’information que tu as tout fait pour protéger les données personnelles de tes clients.

Comment prouver à la Commission d’accès à l’information que j’ai tout mis en œuvre ?

Premièrement, ne part pas en peur ! Si jamais tu es confrontée à une vérification ou à une enquête de la CAI, coopère pleinement avec eux. La transparence est essentielle pour démontrer ta bonne foi et ton engagement à protéger les données de tes clients.

Pour prouver à la Commission d’accès à l’information (CAI) que tu as tout mis en œuvre pour protéger les données personnelles de tes clients, tu devrais suivre ces étapes et tenir compte de ces recommandations :

  1. Politique de confidentialité: Mets en place une politique de confidentialité détaillée qui explique clairement comment tu collectes, utilises, stockes et protèges les données de tes clients. Cette politique devrait être facilement accessible.
  1. Formation du personnel : Assure-toi que ton équipe est régulièrement formée sur les meilleures pratiques en matière de protection des données. Garde une trace de toutes les formations avec des certificats ou des attestations.
  1. Mesures de sécurité : Utilise des mesures techniques appropriées pour protéger les données. Cela inclut des pare-feu, l’encryption, des logiciels antivirus et anti-malware à jour, ainsi que d’autres outils de sécurité. Puisque tu offres des services en cybersécurité, tu es probablement déjà bien outillée à ce niveau.
  1. Protocoles en cas de violation : Élabore un plan d’action pour réagir en cas de violation des données. Cela inclut la façon dont tu informerais les parties concernées et les mesures que tu prendrais pour remédier à la situation.
  1. Audits et évaluations : Pense à effectuer régulièrement des audits de sécurité pour identifier et rectifier les vulnérabilités potentielles. Garde des dossiers de ces audits.
  1. Contrats avec des tiers : Si tu travailles avec des fournisseurs tiers qui ont accès aux données de tes clients, assure-toi d’avoir des accords contractuels en place qui les obligent également à protéger ces données.
  1. Consentement éclairé : Assure-toi d’obtenir le consentement éclairé de tes clients avant de collecter leurs données. Le consentement doit être clairement exprimé et ne peut pas être présumé.
  1. Journalisation et suivi : Utilise des systèmes pour suivre l’accès et les modifications apportées aux données. Cela peut aider à identifier toute activité suspecte.
  1. Accès et rectification : Donne aux clients le droit d’accéder à leurs données et de les rectifier si nécessaire.
  1. Destruction sécurisée : Lorsque les données ne sont plus nécessaires, assure-toi qu’elles sont détruites de manière sécurisée.
  1. Documentation : Conserve tous les documents, protocoles, politiques, et formations à jour. Ces documents peuvent servir de preuve devant la CAI.
 
N’oublie pas que protéger les données de tes clients, surtout dans ton secteur, est non seulement une obligation légale, mais aussi un gage de confiance que tu établis avec eux.

J’aimerais avoir des modèles de document qui va m’aider à me conformer ?

Je t’invite à télécharger le ebook de l’avocate Jennifer Guay en cliquant ici.

Il existe de tonnes de formulaires mais qu’il est toujours important de passer par des gens ayant de bonnes connaissances de la loi.

Partager cet article