Tout savoir sur la loi 25 et comment s’y adapter

Messages clés à retenir

De nouvelles obligations pour les entreprises
Toutes les entreprises privées qui collectent, traitent ou partagent des renseignements personnels doivent suivre les obligations en matière de gestion du consentement.
Amendes prévues pour non-conformité
Les pénalités peuvent atteindre un montant maximal de 25 millions de dollars ou équivalant à 4 % du chiffre d’affaires mondial.
Actions à entreprendre pour vous conformer à la loi 25
Pour assurer une gestion rigoureuse des données personnelles, vous devrez, entre autres, désigner un responsable de la protection des renseignements personnels, établir un cadre de gouvernance dédié et mettre en place des procédures de destruction ou d'anonymisation des données.

Dans un monde de plus en plus numérisé et où la vie privée est devenue une préoccupation majeure, la loi 25 au Québec représente une nouvelle étape dans la protection de la vie privée et la régulation de la gestion des données personnelles.

Pour les entreprises et organisations opérant au Québec, il est essentiel de comprendre les implications de cette loi et d’adopter les mesures nécessaires pour s’y conformer.

Dans cet article, nous explorerons en détail la loi 25, démystifiant ses principaux points et ses impacts, tout en vous fournissant des pistes de solutions pour vous y conformer. De la collecte de données à la confidentialité en ligne, en passant par les droits des individus, découvrez tout ce que vous devez savoir sur ces nouvelles obligations pour les entreprises.

Besoin de conseils et d’accompagnement pour vous conformer à la loi 25 ?

*Il est important de noter que nous ne sommes pas des avocats, par conséquent, nous ne sommes pas habilités à fournir des conseils juridiques.

Qu’est-ce que la loi 25 au Québec ?

Au Québec, la loi 25 désigne une série de nouvelles dispositions visant à renforcer la protection de la vie privée des citoyens. En vigueur depuis le 22 septembre, elles ont pour objectif de mieux encadrer la collecte, l’utilisation et la conservation des données personnelles. Cette loi touche non seulement l’activité en ligne, mais également toutes les activités de l’entreprise, y compris les fiches clients et les données des anciens employés.

La loi 25 vise ainsi à garantir une protection accrue des renseignements personnels des Québécois et Québécoises en imposant de nouvelles obligations pour les entreprises et les organisations opérant au Québec.

Pour plus d’informations, nous vous invitons à vous référer directement au communiqué officiel du Gouvernement du Québec.

Pourquoi cette loi a-t-elle été instaurée ?

  • Protection des droits individuels : La loi vise à garantir que les droits fondamentaux à la vie privée et à la protection des données personnelles soient respectés.
  • Adaptation aux nouvelles technologies : Elle vise à mettre à jour les réglementations pour s’adapter aux nouvelles réalités numériques.
  • Prévention des abus : Elle cherche à prévenir les abus potentiels en matière de collecte, d’utilisation et de divulgation des données personnelles par les entreprises et les organisations.
  • Transparence et responsabilité : La loi exige davantage de transparence de la part des entités qui collectent des données personnelles ainsi qu’une plus grande responsabilité dans leur gestion et leur protection.
  • Renforcement de la confiance : En sécurisant les données personnelles des citoyens, elle renforce la confiance du public dans l’utilisation des services en ligne et des technologies.
  • Conformité aux normes internationales : Elle harmonise aussi la législation québécoise avec les normes internationales de protection des données, notamment le Règlement général sur la protection des données (RGPD) de l’Union européenne.

Qu’est-ce qu’un renseignement personnel ?

Les renseignements personnels sont les données qui concernent un « individu identifiable ». Il s’agit de renseignements qui, seuls ou jumelés à d’autres données, permettent de vous identifier en tant qu’individu.

De manière générale, ces renseignements peuvent correspondre, sans toutefois s’y limiter, à :

  • Le nom;
  • L’adresse postale;
  • Le numéro de téléphone;
  • La race, la nationalité ou l’origine ethnique;
  • La religion;
  • L’âge ou l’état civil;
  • Les antécédents médicaux, scolaires ou professionnels;
  • Les transactions financières;
  • L’ADN;
  • Les numéros permettant d’identifier une personne (p. ex. numéro d’assurance sociale ou numéro de permis de conduire);
  • Les données de localisation;
  • L’adresse IP;
  • Les identifiants électroniques.

Pour en savoir plus, consultez l’Aperçu des lois sur la protection des renseignements personnels au Canada – Commissariat à la protection de la vie privée du Canada

Quels impacts la loi 25 a-t-elle sur les cookies ?

Bien entendu, la loi 25 a des impacts significatifs sur l’utilisation des cookies sur les sites web. Voici quelques-uns des impacts les plus importants :

  • Un consentement explicite est désormais exigé. Cela signifie que les sites web doivent obtenir une autorisation claire et informée de l’utilisateur avant de collecter des données via des cookies.
  • Les sites web sont tenus de fournir des informations claires et compréhensibles sur l’utilisation des cookies. Cela inclut la divulgation des types de cookies utilisés, de leurs finalités et de la manière dont les données seront traitées
  • La loi 25 encourage la mise en place de mécanismes permettant aux utilisateurs de contrôler les cookies. Cela peut inclure des options pour les accepter, les refuser ou les gérer selon leurs préférences.
  • Certains cookies peuvent avoir des durées de conservation limitées. Cela signifie que les données collectées par le biais de ces cookies ne peuvent être conservées que pendant une période déterminée.
  • Les entreprises sont tenues de prendre des mesures pour protéger les données collectées et de mettre en place des politiques de confidentialité. Elles sont également responsables de veiller à ce que les prestataires de services tiers respectent les réglementations sur les cookies.
  • La loi 25 prévoit des sanctions en cas de non-conformité, ce qui signifie que les organisations qui ne respectent pas les règles sur les cookies peuvent être soumises à des amendes et à d’autres mesures coercitives (voir ci-bas).

Quand entre en vigueur la loi 25 ?

Depuis le 22 septembre 2022, la loi 25 apporte des changements significatifs en matière de gestion du consentement des utilisateurs, imposant de nouvelles obligations aux entreprises par année.

Obligations en vigueur depuis le 22 septembre 2022
  • Désigner un responsable de la protection des renseignements personnels au sein de l’entreprise et publier son titre et ses coordonnées sur le site internet;
  • Mettre en place un système de notifications des incidents de confidentialité;
  • Préalablement à la Commission, soumettre l’attestation ou la validation de l’identité obtenue grâce à l’utilisation de caractéristiques ou de dispositifs biométriques;
  • Se conformer aux règles régissant la divulgation de données personnelles sans le consentement de l’individu concerné dans le contexte d’une transaction commerciale ou dans le cadre d’activités liées à des études, à la recherche ou à la production de statistiques.
Obligations en vigueur depuis le 22 septembre 2023
  • Adopter et diffuser des règles de gouvernance;
  • Mettre en place une politique de confidentialité au sujet de la collecte des renseignements personnels;
  • Mener une évaluation des éléments liés à la protection de la vie privée;
  • Obtenir le consentement de manière manifeste, éclairée et libre.

Les entreprises sont sujettes à des sanctions pénales pour le non-respect de la loi 25.

Obligations en vigueur depuis le 22 septembre 2024

Pour 2024, la loi 25 mettra en place le droit à la portabilité. Ce droit donne aux individus vivant au Québec le contrôle sur leurs données personnelles informatisées, leur permettant de les obtenir dans un format adapté et de les partager conformément à la loi.

Pour plus d’informations sur les obligations, consultez la Planification de l’entrée en vigueur du projet de loi 64 modernisant des dispositions législatives en matière de protection des renseignements personnels.

À qui s’applique la loi 25 ?

La loi 25 concerne toutes les entreprises privées qui collectent, traitent ou partagent des renseignements personnels. En d’autres termes, elle s’applique à tout organisme privé opérant au Québec qui manipule des données personnelles dans le cadre de ses activités.

Il est ainsi très possible qu’elle vous concerne!

Quelles sont les amendes prévues si on ne se conforme par à la loi 25 ?

S’il advenait que vous soyez pris en faute concernant la loi 25, des sanctions ont été prévues et seront appliquées par la Commission d’accès à l’information. Ces pénalités significatives peuvent atteindre un montant maximal de 25 millions de dollars ou équivalant à 4 % du chiffre d’affaires mondial.

Le montant de cette sanction sera évalué en proportion de divers facteurs, notamment la gravité de la violation et la capacité financière de l’entreprise concernée.

Voilà pourquoi il est essentiel de mettre tout en œuvre pour se conformer à cette loi.

Pour plus d’informations sur les sanctions prévues, consultez la Commission d’accès à l’information du Québec.

Quelles sont les différences entre la loi 25 et la loi 64 ?

La loi 25 est une loi résultant du projet de loi 64, qui a été adopté par l’Assemblée nationale du Québec.

La loi 25, également connue sous le nom de loi modernisant des dispositions législatives en matière de protection des renseignements personnels, est une mise à jour des règles de protection des renseignements personnels au Québec. Elle renforce la protection des données personnelles et harmonise les lois québécoises avec les normes internationales, y compris le Règlement général sur la protection des données (RGPD) de l’Union européenne.

Cela en fait une évolution significative par rapport à la loi 64 précédente.

Comment se conformer à la loi 25 ?

À travers toutes ces obligations et ces phases de mises en application, il peut s’avérer complexe de décortiquer ce qu’il y a à faire concrètement en tant qu’entreprise. C’est pourquoi nous vous avons répertorié les actions à entreprendre pour vous conformer à la loi 25.

Désigner un responsable de la protection des renseignements personnels au sein de l’entreprise

La désignation d’un responsable de la protection des renseignements personnels au sein d’une entreprise est une démarche essentielle pour garantir la conformité aux lois sur la protection des données, notamment la loi 25 au Québec. Cette personne joue un rôle central dans la gestion des données personnelles collectées et traitées par l’entreprise.

Les obligations du responsable de la protection des renseignements personnels incluent généralement :

  • Surveillance de la conformité : Il s’assure que l’entreprise respecte toutes les lois et réglementations relatives à la protection des données personnelles.
  • Élaboration de politiques et de procédures : Il travaille à l’élaboration de politiques internes et de procédures pour la collecte, le traitement et la conservation des données personnelles. Ces politiques visent à garantir que les pratiques de l’entreprise sont conformes aux exigences légales.
  • Gestion des demandes d’accès : Il traite les demandes d’accès aux données personnelles de la part des individus concernés et veille à ce que ces demandes soient traitées conformément à la loi.
  • Réponse aux violations de données : En cas de violation de données personnelles, il coordonne la réponse de l’entreprise, notamment en informant les autorités compétentes et en prenant les mesures nécessaires pour atténuer les dommages.
  • Communication avec les autorités : Il est le point de contact principal entre l’entreprise et les autorités de protection des données.

Les coordonnées et le titre de la personne responsable de la protection des renseignements personnels doivent être publiés sur le site internet de votre entreprise, idéalement dans la politique de confidentialité.

Établir un cadre de gouvernance pour la protection des données personnelles

Établir un cadre de gouvernance pour la protection des données personnelles revient à mettre en place une structure organisationnelle et des processus spécifiques au sein d’une entreprise ou d’une organisation afin de garantir la gestion adéquate et la protection des informations personnelles collectées, traitées et stockées.

Ainsi, c’est se doter d’une politique de confidentialité claire et simple qui doit être publiée sur le site internet de votre entreprise.

Vous avez besoin d’aide avec la mise en place d’une politique de confidentialité ? Code Marketing peut vous donner un coup de main.

Détruire ou anonymiser les renseignements personnels

La destruction ou l’anonymisation des renseignements personnels visent à rendre les renseignements personnels recueillis inutilisables ou non identifiables après qu’elles ont été collectées et traitées par votre entreprise.

Destruction

La destruction des données personnelles implique leur suppression complète et permanente des systèmes de votre entreprise.

Cela peut être réalisé par la suppression de fichiers, la désintégration physique de supports de stockage (comme des disques durs) ou d’autres méthodes de destruction appropriées. L’objectif est de s’assurer que les données ne peuvent plus être récupérées ni utilisées.

Anonymisation

L’anonymisation consiste à transformer les données personnelles de manière à ce qu’elles ne puissent plus être directement associées à une personne spécifique.

Cela peut être accompli en supprimant ou en cryptant des éléments d’identification. Une fois anonymisées, les données ne peuvent plus être utilisées pour identifier un individu en particulier.

Analyser les risques liés à la confidentialité lors de l’utilisation et de la transmission de données personnelles

Cette analyse est une démarche essentielle pour identifier et évaluer les menaces à la sécurité et à la vie privée.

Voici ces principales étapes :

  1. Déterminer quels renseignements personnels sont collectés, traités ou transmis par l’entreprise.
  2. Identifier les menaces qui pèsent sur la sécurité et la confidentialité des données. Les menaces peuvent être internes (comme des erreurs humaines) ou externes (comme des cyberattaques).
  3. Identifier les points faibles dans les systèmes, les processus ou les pratiques de l’entreprise qui pourraient être exploités ou entraîner des violations de données.
  4. Mesurer l’impact potentiel des menaces sur les renseignements personnels. Cela inclut l’examen des conséquences pour les individus concernés et les répercussions sur l’entreprise.
  5. Évaluer la probabilité que les menaces se matérialisent en fonction des vulnérabilités identifiées.
  6. Mettre en place de mesures pour atténuer les risques. Cela inclut la mise en œuvre de contrôles de sécurité, la formation du personnel, la révision des politiques de confidentialité, etc.
  7. Surveiller en permanence les risques et ajuster ses mesures d’atténuation en fonction de l’évolution des menaces et des risques.

Obtenir le consentement préalable d’un individu pour utiliser ses renseignements personnels dans le cadre de démarchage commercial

Il est essentiel d’obtenir le consentement préalable d’un individu pour utiliser ses renseignements personnels dans le cadre de prospection commerciale.

Tangiblement, cela signifie que votre entreprise doit recueillir l’accord explicite et volontaire des individus que vous souhaitez solliciter avant de pouvoir utiliser leurs informations personnelles.

Comment Code Marketing peut vou aider à vous adapter à la loi 25 ?

Face à ces exigences légales, la mise en place d’une plateforme de gestion du consentement ou Consent Management Platform (CMP) devient indispensable pour toute entreprise ou organisation qui collecte des données en ligne.

La CMP simplifie le processus de gestion du consentement en garantissant que les utilisateurs comprennent clairement les informations sur la collecte de données et en leur permettant de donner, de refuser ou de modifier leur consentement en toute simplicité.

Vous ne connaissez aucune plateforme de collecte de données ?

En voici quelques-unes :

  • CookieYes (version gratuite disponible sous certaines conditions)
    • Plateforme recommandée par Code Marketing.
  • Illow
  • MineOS

Code Marketing est là pour vous aider à procéder à l’installation de la plateforme sur votre site web. Nous pouvons également vous donner un coup de main avec la politique de confidentialité qui vise à informer des pratiques adoptées pour assurer la confidentialité de vos renseignements.

Marc-Olivier Raîche

Chef d’équipe en performance numérique

Fort de son expérience en gestion publicitaire et outils de mesure, Marc-Olivier explore les dernières tendances et innovations de la publicité en ligne. Vulgarisateur hors pair, il prend plaisir à transmettre et à expliquer son savoir-faire. Ses articles vous offrent un accompagnement éclairé, facilitant votre navigation à travers l’évolution dynamique du numérique.

Autres articles en lien avec celui-ci

Prêt à vous lancer?
Parlons-en!
Vous avez des besoins en marketing numérique ou en marketing 360? N’hésitez pas à nous contacter, nous serons en mesure de mieux évaluer votre besoin pour que notre équipe d’experts puisse y répondre adéquatement.