Guide facile pour se conformer à la Loi 25 sur la protection des renseignements personnels

La Loi 25 est une loi québécoise, mise en place en septembre 2022. Elle vise à protéger nos renseignements personnels et assurer que nos informations soient traitées de manière sécurisée et respectueuse de notre vie privée.

On s’entend que c’est pas amusant pour personne de lire des textes de loi avec des termes trop compliqués pour savoir si oui ou non, on est concerné par la loi et que faire?
Et bien pour vous éviter une bonne migraine et plusieurs heures de lecture interminables, nous avons fait le travail pour vous!
Cet article condense tous les principes de la loi 25, ainsi que des exemples concrets d’actions à mettre en place.
Découvrons donc ensemble les impacts concrets de la loi 25 sur les petites et grandes entreprises.

⚠️ Si vous vous apprêtez à fermer cet article et que vous êtes travailleur autonome, vous pourriez rapidement regretter votre décision. L’amende minimale pour non-conformité à la loi 25 est de 5000$.  Un bon moyen de dire adieu à vos prochaines vacances!🥲

➡️ Mise en garde / disclaimer :
Cet article, bien que longuement étudié et vulgarisé, ne remplace pas un avis juridique. Nous recommandons à chaque entreprise de contacter une personne compétente en la matière pour vous assurer de la totale conformité de votre entreprise avec cette Loi.

Avant toute chose, suis-je concerné(e) par la loi 25?

Fort probablement! En effet, la loi 25 s’applique à tout individu ou organisation faisant du commerce avec les Québécois.
L’emplacement, la taille et les activités de votre entreprise n’y changeront rien.

Autrement dit, la législation peut s’adresser aux:

• Travailleurs autonomes (même si vous avez un faible revenu)
• Organismes à but non lucratif
• Entreprises et compagnies
• Associations, regroupements et coopératives

Plus précisément, vous devez vous y conformer si vous collectez, utilisez ou partagez des renseignements personnels.

Même si je suis sûr de ne pas collecter de données ?

Avez-vous une comptabilité? Prenez-vous des paiements sur une carte de crédit ou débit? Avez-vous des fiches client? Si vous avez répondu oui à une de ces questions, alors vous collectez des données.
Sinon, il se peut tout de même que vous collectez des renseignements personnels sous d’autres formes, soyez prudent.

Que vous ayez ou non un site web, que vous utilisiez ou non des systèmes d’infolettre, un CRM ou autre, la loi 25 pourrait fort certainement vous concerner.

Mais… C’est quoi des « renseignements personnels »?

Les renseignements personnels, ce sont toutes informations permettant d’identifier une personne. Voici quelques exemples courants :

• Son nom;
• Son adresse postale;
• Son adresse électronique;
• Son âge, sa taille, son poids, ses infos médicales;
• Son genre, son ethnie, sa religion, son niveau d’instruction, son état matrimonial;
• Ses identifiants en ligne;
• Son mot de passe;
• Son numéro d’assurance sociale, de permis, d’assurance-maladie;
• Ses informations bancaires (carte de crédit ou autre);
• Son adresse IP (suite de chiffres, unique et attribué à un réseau internet);

Ces renseignements peuvent être ceux de vos clients, mais pas seulement! Cela peut être de vos fournisseurs, prospects, visiteurs et plus.

Sur le web, il est courant de collecter certaines de ces informations lorsqu’on offre ou vend un service avec paiement en ligne, on traque les informations des visiteurs à travers des outils tels que Google Analytics ou Facebook Pixel, dans un formulaire de contact ou un espace membre. Il est donc important de vérifier si votre site web collecte certains de ces renseignements personnels, le plus rapidement possible.

Les sanctions en cas de non-conformité

Si vous pensez qu’un site web coûte cher, attendez de voir les amendes liées au non-respect de cette loi! Ce n’est pas que pour son aspect éthique qu’on insiste sur son importance.

Type d’organisation	Infraction	Pénalités
Entreprises individuelles ou personne physique	Infractions	Entre $5 000 et $100 000
Entreprises et organismes	Sanctions pénales (faute lourde ou mauvaise intentions)   Non-respect de la réglementation	4% des ventes ou entre $15 000 et $25 M   $10 M ou 2% du chiffre d’affaires mondial de l’exercice précédent
Institutions publiques	Non-respect de la réglementation (Catégorie 1)   Non-respect de la réglementation (Catégorie 2)	Entre $3 000 et $30 000   Entre $15 000 et $150 000

Si vous pensez « Je suis une petite entreprise et j’ai un faible revenu, ils ne le sauront pas si je ne respecte pas mes obligations », vous prenez de gros risques. Il ne faut pas sous-estimer le pouvoir de dénonciation des consommateurs, qui peuvent signaler les entreprises non conformes.

Vos clients seront ravis de constater que vous êtes une entreprise éthique, à leur écoute et respectueuse de leur intimité. Vous vous assurez un retour sur investissement.

Bon, ça marche, je veux me conformer. Que dois-je faire? 

La loi 25 ressemble énormément au Règlement général sur la protection des données (RGPD), loi mise en application en 2016 dans toute l’Union européenne.

Elle est mise en application selon les 4 phases suivantes :

Règlements en vigueur depuis automne 2022

Déjà plusieurs mesures sont à mettre en place dans chaque entreprise quelle qu’elle soit et beaucoup l’ignorent. Il n’est cependant pas trop tard pour les mettre en œuvre, car les sanctions sont prévues être mises en place dès septembre 2023. ⏱

1- Nommer à l’interne une personne responsable de la protection des renseignements personnels, qui doit être identifiée comme telle sur votre site web (où ses coordonnées doivent être accessibles).

Le responsable de la protection des données pourrait être votre développeur web, votre responsable des communications, votre belle-mère ou vous-même. Le choix du responsable est totalement à votre discrétion.
Si vous n’avez pas de site web, vous devez communiquer l’information par tout autre moyen accessible publiquement, tels un document en ligne ou votre page Facebook par ex.

2- Identifier les renseignements personnels collectés

Sortez le Sherlock Holmes en vous, car une recherche approfondie sera requise ici. 🕵

Référez vous à la section sur les renseignements personnels précédemment dans cet article et traquer tout ce que votre site collecte sur vos visiteurs.
Ces informations peuvent être capturées par des formulaires, système de commentaires, espace client, achat sur site web et notamment la passerelle de paiement, application de traçage et de statistiques (Google, Facebook…), application tierce type YouTube, Zoho, Google Sheet, Microsoft Excel, formulaire externe, application de prise de rendez-vous et j’en passe. Soyez donc bien vigilant!

Un professionnel du web peut vous assister à cette tâche afin de vous aider à cerner quelles informations sont collectées.

3- Élaborer un plan de gestion des incidents à suivre en cas de bris de confidentialité 

Imaginons deux minutes que vous gérez une petite boutique en ligne. Le site web a un problème technique et vous voudriez faire affaire avec un développeur web.
Une chance, sur Facebook, un développeur web répond à l’appel et vous demande les accès administrateurs au site web pour vérifier le bogue avant de vous produire une estimation. Vous acceptez.
Et bien juste ainsi, vous venez de briser la confidentialité des données et seriez passible d’une amende. En effet, une personne externe à l’entreprise vient d’avoir accès à la liste de vos clients, leurs coordonnées personnelles, certaines informations bancaires partielles et probablement plus.

Que vous soyez solopreneur ou gestionnaire d’une grande entreprise, il est important de bien établir des procédures à l’interne permettant l’octroi d’accès aux informations de votre site web.

Voici quelques conseils si vous souhaitez être conforme à ce règlement :

• Ayez en tout temps l’information sur qui a quelle information personnelle à l’interne et à l’externe de votre entreprise. Ex: tel prestataire a accès admin au site web, tel autre a accès aux données analytiques, etc. ;
• Révisez les accès octroyés de manière périodique, afin de vous assurer que les accès octroyés à chacun sont bel et bien légitimes ;
• Retirez tout accès octroyé à un ancien employé ou prestataire pour lequel votre relation professionnelle termine ;
• Notez précisément les mesures que vous pourriez prendre en cas de fuite de données. Si vous ne savez pas quoi faire, faites-vous accompagner par un professionnel du web qui saura vous proposer des solutions en ce sens ;
• Utilisez un gestionnaire de mots de passe pour faciliter l’octroi, le retrait et la gestion des mots de passe (ainsi que leur sécurité par le fait même). Nous utilisons Keeper Security au Collectif WEB ;
• Forcez l’usage de mots de passe complexes et protégés par le système de double authentification (2fa). Plusieurs gestionnaires de mots de passe, comme Keeper, possèdent ce système géré à l’interne. Cela évite ainsi l’usage de 36 applications à cette fin, ou de textos.
  Le plugin iTheme Security sur WordPress permet également d’installer le 2FA à chaque utilisateur du site web (même vos clients!) ;
• Assurez vous de donner des accès spécifiques à chaque individu en ayant besoin, plutôt que de partager un à plusieurs ou le vôtre.
  Ex : donner son accès admin WordPress ou son accès à son courriel Gmail à un prestataire du web est une mauvaise pratique en soi.

Vous avez vécu une fuite de données récente? Voici ce que vous devez faire (peu importe la taille de l’entreprise, je le rappelle!) :

• Inscrivez en détail la fuite en question dans un registre tenu (papier ou en ligne), et prêt à être présenté en cas de vérification. Ce registre doit également contenir les actions que vous avez entreprises pour combler la fuite ;
• Lors d’une fuite de données, vous devez aviser la Commission d’accès à l’information ainsi que les personnes touchées par la fuite. Pour rester positif dans votre message, vous pouvez montrer que vous avez été proactif dans la détection de la fuite, ainsi qu’indiquer les actions entreprises pour protéger leurs renseignements personnels.
• Vous serez amené à réaliser une évaluation des facteurs relatifs à la vie privée (EFVP), une procédure gouvernementale visant l’identification préventive des risques et la mise en place de stratégies minimisant ou évitant ces risques.

Règlements en vigueur dès septembre 2023

1- Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels, qui doivent être facilement accessibles et compréhensibles par les internautes.

En d’autres termes plus simples, mettre à disposition du grand public vos méthodes utilisées pour le traitement des renseignements personnels collectés sur votre site web.
Cela se fait notamment par le biais d’une politique de confidentialité écrit en termes clairs et simples pour le grand public.
Ce document indiquera notamment :

• Les coordonnées pour joindre votre personne-ressource à l’interne ;
• Les renseignements collectés sur votre site web, avec la sensibilité de ces renseignements ;
• À quelle(s) fin(s) ces données sont-elles collectées ;
• La durée de conservation des données ;
• Comment la sécurité de ces données est-elle assurée ;
• D’autres termes peuvent être prévus surtout si vous souhaitez être conforme aux règles en vigueur dès septembre 2024, voir plus loin.

Il existe des générateurs de politique de confidentialité comme celui interne à WordPress ou celui-ci. Ils peuvent vous donner un premier jet de votre document à produire.
Par contre, il ne remplacera pas l’avis d’un avocat ou juriste compétent en la matière.

2- Mettre en place des règles de consentement pour la collecte, la communication et l’usage des informations personnelles

La collecte des données doit être clairement établie par l’utilisateur de votre site web à chaque étape de leur cycle de vie : de leur collecte à leur utilisation et communication jusqu’à leur conservation et destruction.

Petit cas de figure : un visiteur vient sur votre site web. Direct en partant, votre tracker Google Analytics ou Facebook pixel va collecter un tas d’information sur lui (appareil utilisé, temps passé sur le site web, pages visitées, lieu de provenance, réseau internet utilisé, compte Facebook rattaché, compte Google rattaché, préférences sociales et bien plus).

Il serait donc normal d’aviser vos visiteurs qu’en visitant le site web, ils consentent à donner ces informations (même s’ils ne lisent même pas la politique de confidentialité!).
Il serait aussi normal de permettre à vos visiteurs de ne pas autoriser la collecte de ces données et poursuivre la visite.
Enfin, il serait normal de ne rien collecter tant qu’ils n’ont pas fait de choix concernant ce consentement.

Votre site web collecte un tas de données sur vos visiteurs sans qu’ils sachent. Ces données sont stockées dans ce que nous appelons des cookies. Un beau petit fichier de données stockées sur les ordinateurs de chacun, mémorisant des préférences et informations sur le visiteur, afin de renseigner le site web à chaque fois qu’il le visite.

Ainsi, quand vous ouvrez une session sur LinkedIn, le site web va intrinsèquement envoyer un fichier avec les informations de votre profil connecté, et une date d’expiration plus ou moins grande, selon si vous avez choisi de mémoriser la session ou non.
Une fois avoir quitté le site web, puis être revenu, LinkedIn lit le cookie et sait qui vous êtes et vous affiche la session en cours, ou non (dépendamment si votre cookie expire).

Nos recommandations d’actions à entreprendre : 

• Évaluer tous les cookies collectés par le site web et les catégoriser selon qu’ils sont :
  • Essentiels : permettent d’accéder à toutes les fonctionnalités de notre site et de naviguer de manière optimale et sécurisée. Ils nous permettent également de vous demander votre avis et de mesurer votre satisfaction sur un sujet spécifique ;
  • Performance : permettent d’analyser la façon dont vous naviguez sur nos sites afin d’y apporter des améliorations ;
  • Personnalisation : permettent de mémoriser vos préférences et de personnaliser le contenu que vous voyez, en fonction de votre comportement de navigation et de vos choix antérieurs ;
  • Publicitaires : aident à limiter le nombre de fois que vous voyez une publicité, à personnaliser nos offres et nos services en fonction de vos intérêts et à mesurer l’efficacité d’une campagne publicitaire, entre autres fonctions. Ils peuvent être partagés avec nos partenaires.
• Installer ce qu’on appelle un cookie bar, soit une fonction permettant d’afficher un avis à l’utilisateur que des cookies sont collectés ;
  • Le cookie bar permet notamment d’accepter ou refuser tout ou partie des cookies selon leur catégorie ;
  • Le cookie bar ne doit collecter des données qu’après que l’utilisateur a consenti à cela et non avant ;
  • L’usage d’un plugin ou une application externe peut être fait. Assurez-vous cependant de sa conformité en vous entourant de professionnels du web et d’ordre légal (avocat, juriste) ;
  • Le consentement des utilisateurs doit être consigné dans un registre numérique ;
• Évaluer toutes les informations collectées autrement : formulaires, commentaires sur site, achat sur site et autres… Et vous assurer que chaque personne donnant ces informations consent d’une manière ou d’une autre à vous fournir ces informations.
• Essayez autant que possible d’anonymiser les données que vous collectez, si cela n’est pas nécessaire.
  Par exemple, vous pourriez vous assurer que les messages envoyés dans les formulaires de contact ne soient pas conservés sur le site web. Ou d’éviter de collecter l’adresse IP de vos utilisateurs sur vos divers outils (c’est une donnée sensible en plus).
• Établissez une durée de conservation maximale de toute information personnelle (commande clients, comptes inactifs, commentaires sur site, etc..).
  Certains plugins peuvent aider en ce sens, bien qu’il faille – selon notre expérience – souvent recourir à des solutions custom pas bien dispendieuses.
  Par ailleurs, les extensions de type formulaires de contact ou Woocommerce peuvent souvent posséder ce genre de fonctionnalité de manière native. Vérifiez donc.

3- Réaliser une évaluation de facteurs relatifs à la vie privée (ÉFVP)

Il s’agit ici d’un processus qui consiste à évaluer si un projet est conforme à la loi 25, à identifier clairement les risques d’atteintes à la vie privée, ainsi que les stratégies pour éviter ces risques ou les réduire.

Un projet peut se définir de bien des manières, et la création d’un outil numérique en fait partie. On compte aussi tout nouveau système d’information, l’acquisition de clientèle ou nouveau marché, l’usage d’un système d’algorithme ou d’intelligence artificielle, l’ajout d’un système de vidéosurveillance, l’usage d’empreintes digitales, géolocalisation (fréquent!), reconnaissance faciale, objets connectés, capteurs, etc.

Elle vise techniquement toute petite ou grande entreprise, organisme ou organisation du secteur public.
Bonne nouvelle cependant, il s’agit ici d’un procédé obligatoire seulement pour les organismes du secteur public, et facultatif pour les autres.

L’ÉFVP se réalise en rédigeant un rapport écrit basé sur les instructions de ce « magnifique » guide de 34 pages, produit par la commission d’accès à l’information du Québec.

4- Permettre le droit à l’oubli

Vous devez mettre à disposition des moyens que les visiteurs pourront prendre pour cesser la diffusion ou retirer leurs informations personnelles.

Si vous vous sentez « wild », vous pouvez tout simplement mettre à disposition un formulaire que le visiteur pourra remplir, puis une personne à l’interne ou votre développeur web préféré se chargera de tracker toute les informations du visiteur afin de tout supprimer.

Et si vous vous sentez « wise », vous pouvez toujours demander à votre développeur web préféré d’automatiser le processus pour que tout se supprime lors de la demande d’oubli du visiteur. Un processus certes plus long à mettre en place, mais bien plus économique en temps à long terme.

5- Gros ménage d’automne en vue, on retire les données superflues

La mise en application de cette loi est l’occasion parfaite pour faire un gros nettoyage des données que vous avez collectées avec le temps, puis de les supprimer.

Règlements en vigueur dès septembre 2024

Tant qu’à faire, prévoyez également les actions prévues pour septembre 2024. Certaines se font facilement en parallèle à celles à appliquer pour septembre 2023.

1- Garantir le droit à la portabilité des données

Les utilisateurs de votre site web doivent avoir la possibilité d’exporter les renseignements personnels collectés sur lui, quelles qu’elles soient.

Cette fonctionnalité se combine bien avec celle permettant le droit à l’oubli, citée précédemment.

La méga récap’ de la fin 🔥

Avez-vous eu le temps de tout lire l’article? Si oui, je vous applaudis! 🙌
Sinon j’ai le regret de vous informer qu’il n’existe pas de microrésumé d’une loi aussi vaste que celle-ci. La bonne nouvelle cependant est que nous avons vulgarisé au plus possible la loi pour la rendre plus digeste (en combinaison avec un petit Perrier, et ça, passe tout seul!).

Cependant pour résumer rapidement, avant septembre 2023 vous devez :

• Comprendre que vous êtes concerné et que ne rien faire = sanction marinée au piment de cayenne et sel;
• Identifier tous les renseignements personnels collectés sur votre site web et applications;
• Nommer un « big boss du data » (DPO);
• Prévoir un plan en titane renforcé, en cas de fuite de données;
• Établir une politique de confidentialité, claire, lisible, publique et écrite par un professionnel compétent;
• Collecter tout renseignement personnel qu’avec le consentement éclairé du visiteur ou client visé;
• Paramétrer la conservation des renseignements personnels (durée de conservation, anonymisation, droit à l’oubli, portabilité);
• Produire un ÉFVP si vous êtes un organisme public ou une entreprise soucieuse de la vie privée de vos utilisateurs;
• Vous entourer d’une ressource juridique, ne serait-ce pour valider que vous êtes tip-top conforme avec la loi 25 pour un bon bout de temps.

Vous devinez bien entendu que d’avoir mâchouillé cette loi dans tous les sens, puis de l’avoir mise en application pour de nombreuses entreprises et organismes, nous donne une bonne expertise pour vous aider en ce sens.

Nous vous recommanderions bien d’essayer de tout faire vous-mêmes, mais honnêtement, c’est un processus complexe, nécessitant de solides connaissances en web, et avec les outils de traçage type Google Tag Manager ou GA4.

Contactez-nous pour que nous vous estimions le travail à effectuer. Nous avons des solutions adaptables pour vous au besoin.

Références et sources

Références

Application et plugin Illow : permet la conformité sur le plan du consentement sur les données, génère une politique de confidentialité et un cookie bar personnalisable.
Passez par Collectif WEB pour son achat! Nous sommes revendeur de licence Plus à seulement 100$/an.

Artylaw : merveilleuse juriste spécialisée en numérique

Sources

• Gouvernement du Québec + aide-mémoire
• Projet de loi à l’Assemblée nationale
• McCarthy Tetreault
• MNP
• Cabinet Langlois
• Espace CAIJ
• Commission d’accès à l’information du Québec
• Dentons
• Juridik
• Bang Marketing