La Loi 25 est une loi québécoise, mise en place en septembre 2022. Elle vise à protéger nos renseignements personnels et assurer que nos informations soient traitées de manière sécurisée et respectueuse de notre vie privée.
On s’entend que c’est pas amusant pour personne de lire des textes de loi avec des termes trop compliqués pour savoir si oui ou non, on est concerné par la loi et que faire?
Et bien pour vous éviter une bonne migraine et plusieurs heures de lecture interminables, nous avons fait le travail pour vous!
Cet article condense tous les principes de la loi 25, ainsi que des exemples concrets d’actions à mettre en place.
Découvrons donc ensemble les impacts concrets de la loi 25 sur les petites et grandes entreprises.
⚠️ Si vous vous apprêtez à fermer cet article et que vous êtes travailleur autonome, vous pourriez rapidement regretter votre décision. L’amende minimale pour non-conformité à la loi 25 est de 5000$. Un bon moyen de dire adieu à vos prochaines vacances!🥲
Sommaire
➡️ Mise en garde / disclaimer :
Cet article, bien que longuement étudié et vulgarisé, ne remplace pas un avis juridique. Nous recommandons à chaque entreprise de contacter une personne compétente en la matière pour vous assurer de la totale conformité de votre entreprise avec cette Loi.
Avant toute chose, suis-je concerné(e) par la loi 25?
Fort probablement! En effet, la loi 25 s’applique à tout individu ou organisation faisant du commerce avec les Québécois.
L’emplacement, la taille et les activités de votre entreprise n’y changeront rien.
Autrement dit, la législation peut s’adresser aux:
- Travailleurs autonomes (même si vous avez un faible revenu)
- Organismes à but non lucratif
- Entreprises et compagnies
- Associations, regroupements et coopératives
Et depuis 2024, même les partis politiques doivent maintenant respecter certaines règles de la Loi 25. Alors si vous organisez des campagnes électorales, vous n’y échappez pas non plus !
Et pour être bien clair : les organismes publics (gouvernement, municipalités, etc.) ont leurs propres règles sous la Loi sur l’accès à l’information.
Donc en gros, vous devez vous y conformer si vous collectez, utilisez ou partagez des renseignements personnels.
Même si je suis sûr de ne pas collecter de données ?
Avez-vous une comptabilité? Prenez-vous des paiements sur une carte de crédit ou débit? Avez-vous des fiches client? Si vous avez répondu oui à une de ces questions, alors vous collectez des données.
Sinon, il se peut tout de même que vous collectez des renseignements personnels sous d’autres formes, soyez prudent.
Que vous ayez ou non un site web, que vous utilisiez ou non des systèmes d’infolettre, un CRM ou autre, la loi 25 pourrait fort certainement vous concerner.
Mais… C’est quoi des « renseignements personnels »?
Les renseignements personnels, ce sont toutes informations permettant d’identifier une personne. Voici quelques exemples courants :
- Son nom;
- Son adresse postale;
- Son adresse électronique;
- Son âge, sa taille, son poids, ses infos médicales;
- Son genre, son ethnie, sa religion, son niveau d’instruction, son état matrimonial;
- Ses identifiants en ligne;
- Son mot de passe;
- Son numéro d’assurance sociale, de permis, d’assurance-maladie;
- Ses informations bancaires (carte de crédit ou autre);
- Son adresse IP (suite de chiffres, unique et attribué à un réseau internet);
Ces renseignements peuvent être ceux de vos clients, mais pas seulement! Cela peut être de vos fournisseurs, prospects, visiteurs et plus.
Sur le web, il est courant de collecter certaines de ces informations lorsqu’on offre ou vend un service avec paiement en ligne, on traque les informations des visiteurs à travers des outils tels que Google Analytics ou Facebook Pixel, dans un formulaire de contact ou un espace membre. Il est donc important de vérifier si votre site web collecte certains de ces renseignements personnels, le plus rapidement possible.
Les sanctions en cas de non-conformité
Si vous pensez qu’un site web coûte cher, attendez de voir les amendes liées au non-respect de cette loi! Ce n’est pas que pour son aspect éthique qu’on insiste sur son importance.
| Type d’organisation | Infraction | Pénalités |
|---|---|---|
| Entreprises individuelles ou personne physique | Infractions | Entre $5 000 et $100 000 |
| Entreprises et organismes | Sanctions pénales (faute lourde ou mauvaise intentions) Sanctions administratives | 4% des ventes ou entre $15 000 et $25 M $10 M ou 2% du chiffre d’affaires de l’exercice précédent |
| Institutions publiques | Non-respect de la réglementation (Catégorie 1) Non-respect de la réglementation (Catégorie 2) | Entre $3 000 et $30 000 Entre $15 000 et $150 000 |
Nouveauté importante : La CAI peut maintenant imposer des sanctions administratives directement, sans passer par les tribunaux. C’est plus rapide et ça fait plus mal ! La bonne nouvelle ? Si vous collaborez et vous engagez à corriger, ils peuvent être cléments.
Alors, si vous pensez « Je suis une petite entreprise et j’ai un faible revenu, ils ne le sauront pas si je ne respecte pas mes obligations », vous prenez de gros risques. Il ne faut pas sous-estimer le pouvoir de dénonciation des consommateurs, qui peuvent signaler les entreprises non conformes.
Vos clients seront ravis de constater que vous êtes une entreprise éthique, à leur écoute et respectueuse de leur intimité. Vous vous assurez un retour sur investissement.
Bon, ça marche, je veux me conformer. Que dois-je faire?
La loi 25 ressemble énormément au Règlement général sur la protection des données (RGPD), loi mise en application en 2016 dans toute l’Union européenne.
Elle est mise en application selon les 4 phases suivantes :
22 septembre 2021
Adoption de la loi
22 septembre 2022
Mise en place des premières mesures
22 septembre 2023
Mise en place de mesures complémentaires et entrée en vigueur des pénalités
22 septembre 2024
Mise en place d’une
dernière mesure
Aujourd’hui, nous pouvons considérer que nous ne sommes plus dans la période de transition – la loi est maintenant pleinement opérationnelle et la Commission d’accès à l’information (CAI) a tous ses pouvoirs pour faire respecter les règles.
➡️ Faire le processus soi-même ou le faire par des experts❔
Vous êtes sûrement tentés de faire le processus par des experts, histoire de gagner du temps? L’idée est bonne, mais gardez à l’esprit que vous devrez tout de même mettre la main à la pâte. Le processus de conformité avec la loi 25 induit des actions internes, dont la mise en place de processus, la formation d’employés et de gestionnaires, et bien plus.
Notre équipe peut vous accompagner. Découvrez notre service de mise en conformité du site web avec la loi 25.
Voici les étapes à considérer pour conformer son organisation avec cette loi.
1- Nommer à l’interne une personne responsable de la protection des renseignements personnels, qui doit être identifiée comme telle sur votre site web avec ses coordonnées clairement visibles.
Le responsable de la protection des données pourrait être votre développeur web, votre responsable des communications, votre belle-mère ou vous-même. Le choix du responsable est totalement à votre discrétion.
Si vous n’avez pas de site web, vous devez communiquer l’information par tout autre moyen accessible publiquement.
2- Identifier les renseignements personnels collectés
Sortez le Sherlock Holmes en vous, car une recherche approfondie sera requise ici. 🕵
Référez vous à la section sur les renseignements personnels précédemment dans cet article et traquer tout ce que votre site collecte sur vos visiteurs.
Ces informations peuvent être capturées par des formulaires, système de commentaires, espace client, achat sur site web et notamment la passerelle de paiement, application de traçage et de statistiques (Google, Facebook…), application tierce type YouTube, Zoho, Google Sheet, Microsoft Excel, formulaire externe, application de prise de rendez-vous et j’en passe. Soyez donc bien vigilant!
Un professionnel du web peut vous assister à cette tâche afin de vous aider à cerner quelles informations sont collectées.
3- Élaborer un plan de gestion des incidents à suivre en cas de bris de confidentialité
Imaginons deux minutes que vous gérez une petite boutique en ligne. Le site web a un problème technique et vous voudriez faire affaire avec un développeur web.
Une chance, sur Facebook, un développeur web répond à l’appel et vous demande les accès administrateurs au site web pour vérifier le bogue avant de vous produire une estimation. Vous acceptez.
Et bien juste ainsi, vous venez de briser la confidentialité des données et seriez passible d’une amende. En effet, une personne externe à l’entreprise vient d’avoir accès à la liste de vos clients, leurs coordonnées personnelles, certaines informations bancaires partielles et probablement plus.
Que vous soyez solopreneur ou gestionnaire d’une grande entreprise, il est important de bien établir des procédures à l’interne permettant l’octroi d’accès aux informations de votre site web.
Voici quelques conseils si vous souhaitez être conforme à ce règlement :
- Ayez en tout temps l’information sur qui a quelle information personnelle à l’interne et à l’externe de votre entreprise. Ex: tel prestataire a accès admin au site web, tel autre a accès aux données analytiques, etc. ;
- Révisez les accès octroyés de manière périodique, afin de vous assurer que les accès octroyés à chacun sont bel et bien légitimes ;
- Retirez tout accès octroyé à un ancien employé ou prestataire pour lequel votre relation professionnelle termine ;
- Notez précisément les mesures que vous pourriez prendre en cas de fuite de données. Si vous ne savez pas quoi faire, faites-vous accompagner par un professionnel du web qui saura vous proposer des solutions en ce sens ;
- Utilisez un gestionnaire de mots de passe pour faciliter l’octroi, le retrait et la gestion des mots de passe (ainsi que leur sécurité par le fait même). Nous suggérons soit Proton Pass (suisse) ou 1Password (canadien).
- Forcez l’usage de mots de passe complexes et protégés par le système de double authentification (2fa). Plusieurs gestionnaires de mots de passe, comme Keeper, possèdent ce système géré à l’interne. Cela évite ainsi l’usage de 36 applications à cette fin, ou de textos.
Le plugin iTheme Security sur WordPress permet également d’installer le 2FA à chaque utilisateur du site web (même vos clients!) ; - Assurez vous de donner des accès spécifiques à chaque individu en ayant besoin, plutôt que de partager un à plusieurs ou le vôtre.
Ex : donner son accès admin WordPress ou son accès à son courriel Gmail à un prestataire du web est une mauvaise pratique en soi.
Vous avez vécu une fuite de données récente? Voici ce que vous devez faire (peu importe la taille de l’entreprise, je le rappelle!) :
- Inscrivez en détail la fuite en question dans un registre tenu (papier ou en ligne), et prêt à être présenté en cas de vérification. Ce registre doit également contenir les actions que vous avez entreprises pour combler la fuite ;
- Lors d’une fuite de données, vous devez aviser la Commission d’accès à l’information ainsi que les personnes touchées par la fuite. Pour rester positif dans votre message, vous pouvez montrer que vous avez été proactif dans la détection de la fuite, ainsi qu’indiquer les actions entreprises pour protéger leurs renseignements personnels.
- Vous serez amené à réaliser une évaluation des facteurs relatifs à la vie privée (EFVP), une procédure gouvernementale visant l’identification préventive des risques et la mise en place de stratégies minimisant ou évitant ces risques.
Notez que vous devez tenir un registre de TOUS les incidents de confidentialité (même les petits) et le garder pendant 5 ans. La CAI peut vous le demander en tout temps. Watch out !
4- Politique de confidentialité obligatoire si vous collectez des renseignements par un moyen technologique (site web, app, formulaire en ligne, etc.)
En d’autres termes plus simples, mettre à disposition du grand public vos méthodes utilisées pour le traitement des renseignements personnels collectés sur votre site web.
Cela se fait notamment par le biais d’une politique de confidentialité écrit en termes clairs et simples pour le grand public.
Cette politique doit être :
- Publiée sur votre site web (pas cachée dans un menu !)
- Rédigée en termes simples que madame Tremblay peut comprendre
- Mise à jour quand vous changez vos pratiques (et vous devez aviser vos clients)
- Accessible, sans avoir besoin de quoique ce soit pour la lire (exit les politiques en PDF ou format Word!)
Ce document indiquera notamment :
- Les coordonnées pour joindre votre personne-ressource à l’interne ;
- Les renseignements collectés sur votre site web, avec la sensibilité de ces renseignements ;
- Avec qui vous partagez ces renseignements ;
- À quelle(s) fin(s) ces données sont-elles collectées ;
- La durée de conservation des données ;
- Comment la sécurité de ces données est-elle assurée ;
- D’autres termes peuvent être prévus surtout si vous souhaitez être conforme aux règles en vigueur dès septembre 2024, voir plus loin.
Plusieurs utilisent des générateurs de politique de confidentialité comme celui interne à WordPress ou celui-ci. Ils peuvent vous donner un premier jet de votre document à produire, mais sont à notre sens très insuffisants. Certaines applications permettent de construire une politique de confidentialité en vous posant une série de questions. Ce serait à notre avis un bon début. Vous trouverez des recommandations en fin d’article, à ce sujet.
Notez toutefois que ces générateurs de politiques ne remplaceront pas l’avis d’un avocat ou juriste compétent en la matière.
🕵🏼 Nous sommes experts pour déceler les renseignements personnels que vous collectez
Nous savons que ce processus est fastidieux et il n’est pas toujours facile de savoir si tel ou tel renseignement est considéré personnel ou non. C’est pourquoi nous avons développé une expertise dans ce domaine.
Épaulez-vous de spécialistes pour faire le tour de vos renseignements personnels collectés, sans plus attendre.
5- Mettre en place des règles de consentement pour la collecte, la communication et l’usage des informations personnelles
Fini le temps du consentement “à peu près” ! Maintenant, votre consentement doit être :
- Manifeste : Clair comme de l’eau de roche, pas de “peut-être”
- Libre : Pas de chantage (“acceptez ou pas de service”)
- Éclairé : En français, pas en jargon d’avocat
- Spécifique : Une demande par utilisation, pas un fourre-tout
- Distinct : Si c’est écrit, séparé du reste du texte
- Granulaire : Pour chaque fin précise
Renseignements sensibles = consentement CLAIR
Pour les infos vraiment personnelles (santé, biométrie, finances), vous devez obtenir un “OUI” actif, pas juste une case pré-cochée.
Mineurs de moins de 14 ans : Il faut l’accord des parents (sauf si c’est clairement pour aider l’enfant).
La collecte des données doit être clairement établie par l’utilisateur de votre site web à chaque étape de leur cycle de vie : de leur collecte à leur utilisation et communication jusqu’à leur conservation et destruction.
Voici quelques éléments d’un site web qui requièrent souvent un consentement à la collecte de données :
- un formulaire de contact
- un formulaire de soumission
- la page commande d’une boutique en ligne
- un formulaire d’inscription à l’infolettre
- un formulaire pour postuler à un poste ou une candidature spontanée
- l’affiche d’un module provenant de réseaux sociaux ou applications externes (YouTube, Instagram feed, Google Maps, Google ReCAPTCHA,…)
- un module de commentaires sur un article de blog
- un formulaire d’inscription à un espace privé
La liste est bien plus longue, mais nous vous partageons les cas de figures fréquents.
5(bis) – la gestion du consentement dans le cadre de la collecte des cookies
Votre site web collecte un tas de données sur vos visiteurs sans qu’ils sachent. Ces données sont stockées dans ce que nous appelons des cookies. Un beau petit fichier de données stockées sur les ordinateurs de chacun, mémorisant des préférences et informations sur le visiteur, afin de renseigner le site web à chaque fois qu’il le visite.
Petit cas de figure : un visiteur vient sur votre site web. Direct en partant, votre tracker Google Analytics ou Facebook pixel va collecter un tas d’information sur lui (appareil utilisé, temps passé sur le site web, pages visitées, lieu de provenance, réseau internet utilisé, compte Facebook rattaché, compte Google rattaché, préférences sociales et bien plus).
Il serait donc normal d’aviser vos visiteurs qu’en visitant le site web, ils consentent à donner ces informations (même s’ils ne lisent même pas la politique de confidentialité!).
Il serait aussi normal de permettre à vos visiteurs de ne pas autoriser la collecte de ces données et poursuivre la visite.
Enfin, il serait normal de ne rien collecter tant qu’ils n’ont pas fait de choix concernant ce consentement.
Nos recommandations d’actions à entreprendre :
- Évaluer tous les cookies collectés par le site web et les catégoriser selon qu’ils sont :
- Essentiels : permettent d’accéder à toutes les fonctionnalités de notre site et de naviguer de manière optimale et sécurisée. Ils nous permettent également de vous demander votre avis et de mesurer votre satisfaction sur un sujet spécifique ;
- Performance : permettent d’analyser la façon dont vous naviguez sur nos sites afin d’y apporter des améliorations ;
- Personnalisation : permettent de mémoriser vos préférences et de personnaliser le contenu que vous voyez, en fonction de votre comportement de navigation et de vos choix antérieurs ;
- Publicitaires : aident à limiter le nombre de fois que vous voyez une publicité, à personnaliser nos offres et nos services en fonction de vos intérêts et à mesurer l’efficacité d’une campagne publicitaire, entre autres fonctions. Ils peuvent être partagés avec nos partenaires.
- Installer ce qu’on appelle un cookie bar, soit une fonction permettant d’afficher un avis à l’utilisateur que des cookies sont collectés ;
- Le cookie bar permet notamment d’accepter ou refuser tout ou partie des cookies selon leur catégorie ;
- Le cookie bar ne doit collecter des données qu’après que l’utilisateur a consenti à cela et non avant ;
- L’usage d’un plugin ou une application externe peut être fait. Assurez-vous cependant de sa conformité en vous entourant de professionnels du web et d’ordre légal (avocat, juriste) ;
- Le consentement des utilisateurs doit être consigné dans un registre numérique ;
- Évaluer toutes les informations collectées autrement : formulaires, commentaires sur site, achat sur site et autres… Et vous assurer que chaque personne donnant ces informations consent d’une manière ou d’une autre à vous fournir ces informations.
- Essayez autant que possible d’anonymiser les données que vous collectez, si cela n’est pas nécessaire.
Par exemple, vous pourriez vous assurer que les messages envoyés dans les formulaires de contact ne soient pas conservés sur le site web. Ou d’éviter de collecter l’adresse IP de vos utilisateurs sur vos divers outils (c’est une donnée sensible en plus). - Établissez une durée de conservation maximale de toute information personnelle (commande clients, comptes inactifs, commentaires sur site, etc..).
Certains plugins peuvent aider en ce sens, bien qu’il faille – selon notre expérience – souvent recourir à des solutions custom pas bien dispendieuses.
Par ailleurs, les extensions de type formulaires de contact ou Woocommerce peuvent souvent posséder ce genre de fonctionnalité de manière native. Vérifiez donc.
Pour la gestion des cookies, nous vous fournissons nos recommandations d’applications en fin d’article. Allez voir !
🤔 Vous vous demandez si vous avez bien identifié et catégorisé les cookies sur votre site web?
Nous offrons une analyse sans frais. Profitez-en et contactez-nous pour avoir un rendez-vous gratuit avec un de nos spécialistes.
6- Réaliser une évaluation de facteurs relatifs à la vie privée (ÉFVP)
L’Évaluation des facteurs relatifs à la vie privée (ÉFVP) est un processus obligatoire, permettant d’évaluer la conformité à la loi 25 au Québec, d’identifier les risques potentiels pour la vie privée et de définir des stratégies pour les éviter ou les réduire, concernant certains “projets”, dont les données sont stockées hors de la province du Québec.
Qu’est-ce qu’un “projet” selon la Loi 25? Un projet peut se définir de bien des manières, et la création d’un outil numérique en fait partie. On y compte tout nouveau système d’information (CRM/ERP, intranet, extranet…), l’acquisition de clientèle ou nouveau marché, l’usage d’un système d’algorithme ou d’intelligence artificielle, l’ajout d’un système de vidéosurveillance, l’usage d’empreintes digitales, géolocalisation, reconnaissance faciale, objets connectés, capteurs, systèmes biométriques, etc.
Qui est concerné par l’ÉFVP? L’ÉFVP vise techniquement tout type d’organisation : de la petite ou grande entreprise, organisme ou organisation du secteur public. Elle vise à garantir la protection de la vie privée dans la conception et la mise en œuvre des projets.
Le processus de l’ÉFVP: L’ÉFVP se déroule en plusieurs étapes, impliquant la rédaction d’un rapport basé sur les instructions contenues dans le guide publié par la commission d’accès à l’information du Québec (CAI) – un outil précieux pour orienter votre démarche.
D’ailleurs le CAI met à disposition un gabarit à remplir permettant de faire cela.
Les étapes clés de l’ÉFVP comprennent notamment :
- Identification du projet et de son impact potentiel sur la vie privée.
- Analyse des risques et des mesures de protection existantes.
- Détermination des actions à entreprendre pour minimiser les risques identifiés.
- Suivi continu et évaluation des mesures mises en place.
En réalisant une ÉFVP, vous vous assurez de respecter les exigences légales en matière de protection de la vie privée et vous démontrez votre engagement envers la confidentialité des données de vos clients ou utilisateurs. Le guide de l’ÉFVP fourni par la commission d’accès à l’information du Québec vous accompagne pas à pas dans cette démarche cruciale pour votre entreprise ou organisation.
7– Permettre le droit à l’oubli
Vous devez mettre à disposition des moyens que les visiteurs pourront prendre pour cesser la diffusion ou retirer leurs informations personnelles.
Si vous vous sentez “wild”, vous pouvez tout simplement mettre à disposition un formulaire que le visiteur pourra remplir, puis une personne à l’interne ou votre développeur web préféré se chargera de tracker toute les informations du visiteur afin de tout supprimer. Le responsable de la protection des renseignements personnels aura ainsi 30 jours pour répondre à la demande par écrit.
Et si vous vous sentez “wise”, vous pouvez toujours demander à votre développeur web préféré d’automatiser le processus pour que tout se supprime lors de la demande d’oubli du visiteur. Un processus certes plus long à mettre en place, mais bien plus économique en temps à long terme.
8- Gros ménage d’automne en vue, on retire les données superflues
La mise en application de cette loi est l’occasion parfaite pour faire un gros nettoyage des données que vous avez collectées avec le temps, puis de les supprimer.
9- Paramètres de confidentialité par défaut
Vos outils techno doivent être réglés au maximum de confidentialité dès le départ, sans que les utilisateurs de votre site web aient à faire quoi que ce soit.
Exemples :
- Votre app ne partage pas la localisation par défaut
- Votre site ne track pas automatiquement
- Les notifications marketing sont désactivées au départ
- Les vidéos YouTube et Google Maps ne sont pas activées par défaut
Si quelqu’un veut partager plus, il peut choisir de le faire. Mais par défaut, vous protégez au max !
10- Décisions automatisées et IA : transparence obligatoire
Vous utilisez un logiciel qui approuve des crédits ? Une IA qui trie des CV ?
Voici de nouvelles règles à respecter :
- Vous devrez informer la personne qu’une machine a pris une décision à son sujet (au plus tard quand vous annoncez la décision)
- Expliquer le processus utilisé, si demandé (quelles données, pourquoi cette décision)
- Offrir une révision humaine – personne n’aime se faire dire non par un robot !
11- Fournisseurs hors Québec
Vous utilisez un hébergeur web américain ? Votre comptable est en Ontario ?
Si vos fournisseurs ne sont pas au Québec, voici le processus à suivre :
- Rédiger l’EFVP avant d’envoyer des données hors Québec
- Établir une entente écrite avec le fournisseur externe
- Informez vos clients que leurs données pourraient sortir du Québec
- Assurez-vous que les données seront bien protégées ailleurs
Conseil : Privilégiez les fournisseurs québécois/canadiens quand possible !
12- Garantir le droit à la portabilité des données
Vos clients peuvent maintenant vous demander leurs données dans un format structuré et couramment utilisé (Excel, CSV, JSON, etc.).
Conditions :
• Seulement les données informatisées
• Qui ont été collectées directement auprès d’eux (pas les données créées par vos algorithmes)
• Délai de 30 jours pour répondre
• Vous pouvez refuser si ça cause des “difficultés pratiques sérieuses”
Bonus : Ils peuvent aussi demander que vous envoyiez leurs données directement à un autre fournisseur (si ce dernier a le droit de les recevoir).
Règlements prévus pour septembre 2025
Attention, il reste encore une phase à venir ! Gardez l’œil ouvert pour les dernières obligations qui pourraient entrer en vigueur cette année.
Nous nous assurerons de mettre à jour ce guide avec toute nouveauté concernant cette loi.
La méga récap’ de la fin 🔥
Avez-vous eu le temps de tout lire l’article? Si oui, je vous applaudis! 🙌
Sinon j’ai le regret de vous informer qu’il n’existe pas de microrésumé d’une loi aussi vaste que celle-ci. La bonne nouvelle cependant est que nous avons vulgarisé au plus possible la loi pour la rendre plus digeste (en combinaison avec un petit Perrier, et ça, passe tout seul!).
Cependant pour résumer rapidement, avec cette loi en vigueur, vous devez :
- Comprendre que vous êtes concerné et que ne rien faire = sanction au piment de cayenne 🌶️
- Identifier tous les renseignements personnels collectés sur votre site web et applications
- Nommer un “big boss du data” (DPO) et publier ses coordonnées sur votre site
- Créer une politique de confidentialité claire et accessible
- Implémenter des paramètres de confidentialité par défaut
- Obtenir un consentement béton pour toute collecte de données
- Prévoir un plan anti-fuite de données et tenir un registre des incidents
- Faire une EFVP pour vos projets techno et communications hors Québec
- Permettre l’exercice des nouveaux droits (portabilité, effacement, révision des décisions IA)
- Paramétrer la conservation et destruction sécuritaire des données
- Vous entourer d’une ressource juridique pour valider votre conformité
Vous devinez bien entendu que d’avoir mâchouillé cette loi dans tous les sens, puis de l’avoir mise en application pour de nombreuses entreprises et organismes, nous donne une bonne expertise pour vous aider en ce sens.
Nous vous recommanderions bien d’essayer de tout faire vous-mêmes, mais honnêtement, c’est un processus complexe, nécessitant de solides connaissances en web, et avec les outils de traçage type Google Tag Manager ou GA4.
Découvrez notre service de mise en conformité et obtenez une estimation concernant votre cher et tendre site web. Nous avons des solutions adaptables pour vous au besoin.
Références et sources
Références
Application Termageddon : cette application permet de gérer la conformité à la loi 25 de manière quasi-complète. Requiert un niveau un peu technique pour l’implémentation. Offre la gestion de cookies et la génération de politiques, basées sur des questions très spécifiques. Entreprise américaine.
Obtenez 30% de rabais sur le prix proposé en ajoutant le code promo COLLECTIF au checkout.
Application Axeptio : cette application est spécialisée dans la gestion du consentement des cookies. Son usage est très facile, application multilingue. Conforme aux exigences de la loi 25 vis-à-vis des cookies. Entreprise québécoise.
Obtenez 20% de rabais sur le prix proposé en ajoutant le code promo COLLECTIF20 au checkout.
Artylaw : merveilleuse juriste spécialisée en numérique
Sources
- Commission d’accès à l’information du Québec (ce guide est surtout basé sur les informations dans ce site web)
- Gouvernement du Québec + aide-mémoire
- Projet de loi à l’Assemblée nationale
Super bon Article, merci beaucoup Alexandre!
Avec grand plaisir André. N’hésite pas à nous faire savoir si tu as des questions 🙂
Excellent travail de vulgarisation! Je vous lève mon chapeau.
Grand merci Luc, c’est fort apprécié! 🙂
À noter qu’il ne faut pas se limiter à l’information collectée sur le site Web, mais à TOUTE information collectée à travers TOUTES nos interactions commerciales, que ce soit avec des clients, fournisseurs, collaborateurs, employés, sous-traitants, etc. Le site Web n’est qu’une PORTION de ce qui est collecté et la Politique de confidentialité à afficher sur le site Web doit inclure la totalité de l’information collectée (pas juste celle sur le Web). Votre excellent article gagnerait en clarté si cette nuance y était ajoutée. 🙂
Merci pour ton très bon point Nathalie. En effet, notre interprétation est la même que la tienne. Il nous a été demandé récemment si une entreprise qui N’A PAS DE SITE WEB était sujet à la loi 25. Et notre compréhension de la chose est que OUI elle est sujette car elle est collecte fort probablement des données personnelles d’utilisateurs, ne serait-ce juste avec sa comptabilité par exemple.
Nous avons édité l’article en insistant sur ce point. Merci.
Merci pour le résumé bien apprécié
Merci de ces explications claires et précises. Excellent travail qui nous aide grandement.
Effectivement la loi est agnostique de la technologie et donc des moyens de collecter et traiter les données personnelles.
Elle couvrent donc aussi les documents papiers. 🙂
bonjour,
est-ce aussi applicable à une entreprise qui ne fait pas affaire avec des particuliers?
Nous avons que des renseignements professionnels.
Salut Danny, loi stipule que la loi 25 s’applique à tout individu ou organisation faisant du commerce avec les Québécois.
Alors si les entreprises avec qui elle fait affaire sont établies au QC, ca vous concerne. 🙂
Bonjour, puis-je savoir qui pourrait me rédiger un texte de vie privée en fonction des principes de collecte de données en français et conforme à la loi 25? Un peu comme FreePrivacyPolicy? Ou connaissez vous une firme d’avocat qui le ferait? Merci!
Croyez-vous aussi qu’un texte rédigé en français en fonction du GDPR est valide pour la loi 25?
Salut Éric, Illow en fournit un gabarit par défaut. Mais nous recommandons de faire ce document par une firme comme celle que nous recommandons dans l’article : Artylaw.
Et je pense que le texte pour la GPDR diffère un tout petit peu de celle de la loi 25 si je me fie à celle générée par Illow qui stipule les deux lois.
Qu’est-ce que l’on entend par “commerce”???????
Merci
Techniquement cela semble toucher toute entreprise ou organisme quel qu’elle soit. But lucratif ou non. Peu importe son activité.
Le B2B est nuancé, votre fardeau est moindre qu’une entreprise B2C, car la loi 25 ne considère pas comme renseignement personnel (RP) les informations qui concernent l’exercice d’une fonction au sein d’une entreprise. Ainsi les informations professionnelles telles que prénom, nom, titre, courriel, adresse et numéro de téléphone ne sont pas des RP. Or dès qu’on sort de ça, alors là ça devient un RP (Si vous avez envoyé des fleurs aux domiciles de vos meilleurs clients à Noël passé et que vous avez stocké ces adresses quelque part, c’est un RP régit par la loi). Ensuite si vous avez des employés, vous avez nécessairement des RP à leurs sujets, si vous avez un site web avec des outils d’analyses vous récoltez des RP, ça prend une gestion des cookies, etc., etc. donc oui la loi s’applique à vous.
Merci pour ton partage Mathieu! Fort pertinent.
Après vérification, mon site web ne récupère aucune données. Malgré cela je dois faire apparaitre un pop-up pour avertir mes clients(entreprise et non personne physique) que j’ai leurs informations pour leur facturation et comptabilité sur mon site web et que je suis le responsable de leurs données avec mes informations personnelles et lieu de résidence sur mon site? Ai-je bien compris?
C’est aussi notre interprétation de la loi, Dominik.
Il faut être aux aguets pour savoir ce qu’on collecte. Ca peut être parfois des cookies, des courriels, des reçus, etc…
Je crois que le popup n’est pas requis si le site ne collecte vraiment aucun cookie. Mais j’estime que c’est mieux de le mettre pour ne pas attirer l’attention de ceux qui pourraient penser que tu n’as pas fais le nécessaire pour la conformité à la loi 25.
Hésite pas à nous écrire au livechat ou dans notre formulaire de contact si tu as d’autres questions.
Bonjour,
Est ce qu’on est obligé d’héberger ses données personnels au Canada ou bien ils peuvent être sur des serveurs d’autres pays?
Merci
Salut Hamid,
je n’ai pas vu ce volet abordé dans le cadre de la loi 25. Mais j’ai déjà vu certains organismes mentionner une autre loi qui les obligeait à conserver leurs données personnelles au Canada plutôt qu’ailleurs. Un juriste ou avocat pourrait te conseiller à ce sujet.
Sur un plan sécurité/confidentialité, je recommanderai de garder tes données au Canada histoire de garder un meilleur contrôle sur elles.
Bonjour, article très éclairant merci
Est-ce que les plugin Tarmadeddon et Illow sont adaptés à la loi 25, sont-ils en version française et anglaise et finalement quel est vôtre recommandation entre les deux.
Daniel
Salut Daniel,
Nous avons fais de longues recherches avant d’adjuger ces fonctionnalités. Le processus incluait une recherche approfondie de la documentation et une rencontre avec le service technique afin de compléter notre compréhension.
De mon point de vue, Termageddon est une coche au-dessus d’Illow avec sa politique de confidentialité personnalisée notamment.
Illow a la traduction FR/EN selon le navigateur du client.
Termageddon est en anglais only, mais facilement traduisible (au pire ca se traduit via ChatGPT).
Je suis pro-Termageddon à 100%.
Au plaisir
Pour les formations en ligne et enregistrement de zoom ! Le fait de voir les visages des gens qui ont payé pour ce programme contrevient il à la loi?
Salut Lucie,
En tant que non-juriste, je ne peux affirmer ou infirmer. Ceci étant dit je peux te partager mon avis considérant ce que je sais de la loi.
Formations en ligne : oui ils sont à considérer car chaque formation requiert à ce que ton entreprise/organisme collecte des infos sur ces personnes (minimalement nom, prénom, courriel). Ils doivent suivre les mêmes procédés qu’une boutique en ligne. Pour les enregistrement zoom, à quelque part OUI ils sont à considérer si votre compte Zoom collecte nom/prénom ou autre information. Je ne saurai par contre dire pour le visage des gens, je n’ai pas vu nul part que cela était considéré comme considéré un “renseignement personnel”. Par contre j’ose présumer que vous faites signer des accords pour vous autoriser à enregistrer la session et utiliser aux fins que vous prévoyez le faire (diffusion, promotion, autre).
J’espère que cela t’aide.
Au plaisir
Est-ce que je suis obligé à arreter de stocker nos fichiers sur Google Workplace car les donnés ne sont pas stockés au Canada?
À ma connaissance, la loi 25 ne stipule rien concernant la localisation des données collectées. Si tu as des informations collectées aux US, ou en Irlande, le mieux est de le stipuler dans la politique de confidentialité au moins.
Malheureusement beaucoup d’entreprises conservent leurs données dans bien des pays sans le savoir. Juste à avoir la gestion de son infolettre chez Mailchimp, ou son CRM chez Zoho fait d’office que ses données sont aux US. Google Drive same-same. Les outils que nous suggérons en bas de guide t’aideront à produire ta politique de confidentialité et demandent justement ou sont les données, puis stipulera cela dans la politique.
Bonjour!
Tout d’abord, merci pour ces explications!
J’aimerai savoir dans quelle source vous avez trouvé que l’EFVP est facultatif pour les entreprises privées? Je n’arrive pas à trouver d’information précise et officielle pour ce détail (qui a une importance majeure, vue l’ampleur de la tâche!).
J’avais compris que, dès lors qu’un projet touche des données personnelles, l’analyse de risque doit être faite et documentée. Dans le guide de la CAI concernant l’EFVP, il est noté: “Ce guide s’adresse principalement aux responsables de la protection des renseignements personnels dans toutes les organisations et aux membres d’un comité sur l’accès à l’information et la protection des renseignements personnels dans le secteur public”. Sachant qu’il est obligatoire de nommer un RPRP, j’en déduis donc que l’EFVP doit être fait au moins 1 fois en partant, et pour chaque nouveau projet ayant des conséquences sur ou utilisant des données personnelles.
D’ailleurs, aux pages 11 et 12 du guide pour l’EVFP, au paragraphe concernant les “Situations prévues à la Loi sur l’accès et à la Loi sur le privé”, 2 colonnes sont bien mentionnées (public et privé) pour savoir dans quelles circonstances il est obligatoire de faire une EFVP.
Ça m’intrigue! Merci beaucoup 🙂
Bonjour Carole, merci de ton partage concernant l’EFVP. C’est un point qui a été longtemps ambigu de notre point de vue. Avant le guide d’accompagnement d’ÉFVP produit en septembre 2023, la loi laissait interpréter que les entreprises privées n’avaient pas à la produire obligatoirement mais que cela était conseillé. Suite à une relecture du document et des lois associées, le discours semble avoir changé.
J’ai analysé les exceptions qu’ils mettent à disposition.
D’après ma compréhension des documents fournis, voici les situations dans lesquelles il n’est pas obligatoire de produire une Évaluation des facteurs relatifs à la vie privée (ÉFVP) selon la Loi 25 au Québec :
1) Pour les organismes publics : La Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès) prévoit certaines exceptions où la réalisation d’une ÉFVP n’est pas obligatoire. Ces exceptions comprennent notamment :
-Lorsque la collecte, l’utilisation ou la communication des renseignements personnels est autorisée par une autre loi québécoise ou une loi fédérale.
-Lorsque la collecte, l’utilisation ou la communication des renseignements personnels est nécessaire pour répondre à une obligation d’une convention internationale.
-Lorsque les renseignements personnels sont déjà disponibles dans le dossier de l’individu concerné et que la collecte, l’utilisation ou la communication ne vise qu’à les confirmer ou à les mettre à jour.
-Lorsque la collecte, l’utilisation ou la communication des renseignements personnels est faite dans le cadre d’une enquête ou d’une procédure en cours.
Ces exceptions sont détaillées dans la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès) et il est important de consulter cette loi pour obtenir une liste complète des situations où l’ÉFVP n’est pas obligatoire.
2)Pour les entreprises privées : La Loi sur la protection des renseignements personnels dans le secteur privé (Loi sur la protection) ne prévoit pas explicitement d’exceptions concernant l’obligation de produire une ÉFVP. Par conséquent, il semble que toutes les entreprises privées doivent réaliser une ÉFVP lors de la mise en place de nouveaux systèmes informatiques ou de modifications importantes.
Par conséquent, tu as raison d’émettre ce doute. Je vais donc de ce pas actualiser le guide avec cette information. Merci infiniment pour ton apport.
Bonjour,
Je me pose plusieurs questions également et je n’ai pas vraiment trouvé de réponses claires ou je suis passé à côté…
1) Conservation des données personnelles par les entreprises telles que Netflix :
Quelle est la période autorisée, légalement ou jugée raisonnable, pour qu’une entreprise conserve les données personnelles après la fin de l’utilisation de ses services ?
Par exemple, dans le cas d’une entreprise comme Netflix, je m’interroge sur la durée de conservation des données personnelles pour des motifs tels que la facturation, la comptabilité, ou les contrôles fiscaux.
2) Obligations de cryptage des données sous la loi 25 pour les sites utilisant WordPress : Dans le contexte de la loi 25, je m’interroge sur les obligations des entreprises utilisant des plateformes telles que WordPress pour la création de leurs sites web, notamment pour les boutiques en ligne. Sont-elles tenues de mettre en œuvre le cryptage des données personnelles des utilisateurs enregistrés ?
Si l’emploi de protocoles sécurisés comme SSL pour les connexions est désormais courant, qu’en est-il des mesures de protection pour les données enregistrées de manière claire dans les bases de données ?
En effet, sans un cryptage adéquat, ces données, si elles venaient à être dérobées, seraient aisément exploitables par des tiers. Cela soulève la question de la nécessité d’encrypter les données personnelles stockées, afin de renforcer la sécurité des informations au repos.
Bonjour Pierre,
Merci pour tes questions super pertinentes. Je vais tâcher d’y répondre au mieux de ma connaissance.
1) Netflix peut établir des durées fixes dans le temps pour chaque élément, selon ce que la loi requiert et leurs bonnes pratiques.
Exemple : ce qui est financier (facturation, etc…) peut être conservé 10 ans afin de respecter le 8 ans requis par les autorités gouvernementales. Évidemment ces périodes ne sont pas définies à la légère et devraient être établies avec l’aide d’une ressource légale et/ou de son ordre professionnel s’il y en a un.
La loi 25 ne propose pas de délai spécifique pour des données personnelles spécifiques. Je crois qu’elle veut surtout que les organisations en établisse une raisonnable au moins.
2) C’est de la responsabilité de chaque organisation de s’assurer que son site web et son serveur sont sécurisés. Il y a beaucoup d’options pour sécuriser son site WordPress, tout comme il y en a pour assurer la protection des données sensibles d’un serveur. Après la protection 100% n’existe pas. Mais déjà de faire son maximum pour sécuriser son serveur et sa base de données suffit à avoir un site web plus protégé que 95% des WordPress du monde entier.
C’est aussi pour cela que nous offrons le service de maintenance mise à jour & surveillance, et que nous sommes proactifs quant à certains critères de sécurité à établir.
Entre toi et moi, les hacks des WordPress se font surtout du fait que le site web est négligé et que des extensions ou thèmes sont utilisés à tort sans avoir pris le soin de vérifier qu’il est légitime ou non.
Quant à la base de données, un serveur sécurisé, des mots de passe longs et sécurisés pour la base de données, le cPanel, les FTP feront en sorte qu’aucune attaque ne rentre.
C’est également pour cela que nous avons dû créer notre service d’hébergement web à notre image : Collectif HUB.
J’espère que cela répond à tes questions.
N’hésite pas si tu en as d’autres.
“Merci pour ton très bon point Nathalie. En effet, notre interprétation est la même que la tienne. Il nous a été demandé récemment si une entreprise qui N’A PAS DE SITE WEB était sujet à la loi 25. Et notre compréhension de la chose est que OUI elle est sujette car elle est collecte fort probablement des données personnelles d’utilisateurs, ne serait-ce juste avec sa comptabilité par exemple.
”
En effet Alexandre, numérique ou physique, même le simple fait de regarder un permis de conduire, sans en faire de copie, constitue une collecte de renseignement personnel.
Il y a aussi les renseignements personnels des employés… donc même sans site web, ni collecte auprès de client, l’entreprise à la responsabilité des rp employés.
Donc pour toute collecte, utilisation ou communication de rp, une entreprise doit respecter la loi… pas facile surtout pour les PMEs
Exactement Dominic, nous avons le même avis sur le sujet. Merci de ton partage (et renfort).
“Bonjour, Est ce qu’on est obligé d’héberger ses données personnels au Canada ou bien ils peuvent être sur des serveurs d’autres pays? Merci, Amid ”
Pour répondre à ta question Amid, la seule obligation est de faire une EFVP si les renseignements personnels sortent du Québec.
Ah tu vois sur ce point, j’ai eu beau lire en long et en large les documents d’EFVP, tout projet numérique en requérait une, qu’elle soit basée au Québec ou ailleurs. Je serai curieux d’en savoir plus sur l’endroit où tu as pu voir que l’EFVP était requise si les données sortait du Canada.
Voici Alexandre : https://cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees/responsable-protection-renseignements-personnels-entreprise#EFVP
et ici https://cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees/utilisation-communication-renseignements-personnels#hors-quebec
Donc la CAI stipule : ” Communication d’un renseignement personnel à l’extérieur du Québec Votre entreprise doit procéder à une EFVP avant de : Communiquer un renseignement personnel à une entité située à l’extérieur du Québec; Confier à une personne ou à un organisme à l’extérieur du Québec la tâche de recueillir, d’utiliser, de communiquer ou de conserver, pour votre compte, un tel renseignement. ”
Donc dès que je collecte et communique à l’extérieur ou si un partenaire de l’extérieur le fait pour moi… 🙁 ouin ouff
OMG ils mettent des informations partout, c’est décourageant. J’avais lu les PDFs fournis par la CAI sur le sujet et sur leur site ils ajoutent ça. GROS MERCI Dominic. J’étudie ca et contacte tous nos clients pour aviser de cela. 🙂
complément… https://www.legisquebec.gouv.qc.ca/fr/pdf/lc/P-39.1.pdf
article 17 de la LPRPSP
Méga merci Dominic
bel article, félicitation!
j’ai un cas concret:
– J’ai des mini-sites ou il y a un formulaire de contact gérer par web3forms.com et un formulaire de paiement Stripe.
– L’API Stripe retourne les infos du client (nom, email, adresse, etc) sans le numéro de carte de crédit. Ainsi que sa transaction.
– J’ai une mini interface client pour ceux qui paie via stripe (projets, profil, etc).
– Je n’utilise pas Google Analytics.
– Mes clients sont à 90% a l’extérieur du Quebec/Canada.
Si je comprend bien, je dois permettre a mes clients de télécharger leurs infos via mon interface clients et de m’ajouter une procédure d’effacement de profil… Mais comment je fait pour les relancer si je n’ai plus leurs infos? Pas très bon pour les affaires!
Concernant les IP : Je m’en sert pour limiter l’accès au pays d’origine (accès a l’interface client)…. Comme par exemple, si un client Canadien se log via son VPN de Paris, ça ne passera pas. J’ai toujours besoin de son IP pour l’analyser… Ça ne sera plus permis? Pas très bon pour les affaires ça non plus !
merci d’avance
Hello David, je vais te répondre comme si j’étais dans ta situation et ce que je ferai à ta place. Ceci n’est évidemment pas un conseil juridique, il est recommandé d’en parler avec une ressource juridique afin de valider la bonne démarche à suivre.
Selon ce que je comprends de la loi et ce que j’en ai lu, le but de la loi n’est pas d’interdire l’usage d’un renseignement personnel (comme une adresse IP), mais de la cadrer. C’est-à-dire : savoir que nous la collectons, sa durée de collecte, l’événement qui permet sa suppression (automatique ou manuelle), avec qui cette données est partagée et dans quel but cette donnée est collectée.
Donc que tu collectes des IPs sembles correct, du moment où tu documentes dans ta ou tes politiques de confidentialité le cadre de cette collecte, comme indiqué précédemment.
Pour ta question sur la portabilité des renseignements personnels ou le droit à l’oubli, je mettrai à ta place un formulaire à disposition des clients leur permettant de demander la portabilité ou la suppression.
Après attention, il y a sûrement d’autres lois qui amènent des exceptions. Par exemple, je ne vais pas supprimer tes données Stripe parce que tu me le demandes. Car le gouvernement et mon bureau comptable en a besoin pendant au moins 8 ans. Par contre, les informations collectées par courriel, dans un cloud, dans ton formulaire web3forms, on supprime ou exporte.
Tu n’est pas obligé de faire comme Meta et offrir ce droit instantanément. Tu peux y répondre dans un délai fixé lui aussi dans ta politique (en règle générale c’est 7 jours environ) et faire le tout manuellement, dans la forme qui te convient (fichier csv, Excel, archive zip, etc…).
Petit NB : concernant les cookies, même si tu n’utilises pas Google Analytics, le site web peut comporter des cookies tout de même, notamment par l’usage d’apps externes comme YouTube, ReCAPTCHA, Cloudflare, etc…
En espérant que cela t’aide 🙂
Bonjour,
Est-ce que l’on doit obtenir une autorisation écrite avant d’envoyer une infolettre à une liste de courriel?
Salut Naomie, les infolettres tombent dans le domaine de la loi anti-pourriel en majorité. Au Québec, nous y sommes sujets. Tu peux consulter le site de la BDC si tu veux en savoir un peu plus.
En gros, de ce que je comprends, nous devons absolument avoir un consentement clair ou implicite selon les cas. Un des consentements qui est le plus connu est le double opt-in (désolé l’anglicisme). C’est un courriel envoyé à ceux qui souhaitent s’abonner afin de confirmer leur consentement à être inscrit. J’aime bien intégrer ce procédé autant que possible dans les infolettres, mêmes quand il s’agit de courriels administratifs.
En espérant que cela t’éclaire un peu.
Bonjour
est-ce que je peux continuer a envoyer des factures aux clients par courriel ? et des états de compte ?
Bonjour Marie-lou. Je crois que tout ce qui touche à la facturation est sujet à des exceptions, ou du moins à un cadre différent concernant la loi 25. Ce que nous faisons au Collectif WEB à ce sujet, c’est que nous utilisons une application de facturation, envoyons-les facture par ce biais, puis supprimons/archivons les informations de comptabilité – client, factures, paiements, etc – après 8-9 ans (délai imposé par le gouvernement canadien).
Si tu envoies les factures par courriel, je présume que tu pourrais ajouter à ta routine de nettoyage tes courriels datant de X années.
Bonjour,
Quelle devrait être notre référence pour confirmer la portée des informations à inclure? Par exemple, doit-on, dans un cabinet de médecin, partager toute l’historique de changement de poids / pression / raisons des visites / etc.? Jusqu’où doit-on légalement aller? Peut-on se limiter à un “snapshot” des données actuelles au moment de l’extraction? Comment trancher et vers quelle interprétation de la loi doit-on s’appuyer?
Merci à l’avance!
Salut Maxime, alors selon mon expérience et ma compréhension de la loi, il faut en premier lieu prendre connaissances des autres lois qui régissent les domaines réglementés, comme la santé, le droit, la comptabilité etc…
Les professionnels de ce milieu doivent tenir d’abord compte de ces lois avant de développer leur politique en matière de collecte et conservation des données. Cela vaut aussi pour les réglementations normales des entreprises, comme la comptabilité. Il va de soi que les entreprises doivent garder au moins 7-8 ans toutes les informations financières, car elles sont requises par le gouvernement.
Bref, à mon sens, il faut tenir compte du “big picture” avant toute chose. Ensuite, la loi 25 semble s’appliquer à TOUTE INFORMATION DITE PERSONNELLE. Avec nos clients qui souhaitent l’aide à la conformité, nous ne laissons pas place au doute et incluons toute donnée pouvant être considérée personnelle. Ça peut être une photographie ou vidéo d’un client ou fournisseur, un CV de candidat à l’emploi, une adresse postale, une adresse IP et bien d’autres. Je crois ainsi qu’il n’y a pas de limite à ce que peut représenter un renseignement personnel. C’est plutôt à nous de bien limiter ce que nous collectons, surtout quand un renseignement collecté n’a pas grande valeur dans notre processus de travail. Référence : https://www.cai.gouv.qc.ca/protection-renseignements-personnels/sujets-et-domaines-dinteret/renseignement-personnel-definition
En espérant que cela t’aide.
Au plaisir
Bonjour Alexandre. Merci de toutes ces informations en langage simple et clair. Est-ce à dire : (a) que Bell (ou autre) ne peut plus publier de bottin téléphonique traditionnel? (b) Que l’organisateur d’un groupe de 5-10-35 voyageurs (tour local, Europe, ski, etc.) ne peut plus échanger entre les participants leurs noms, téléphones, adresse courriels? Ou peut-il le faire après avoir obtenu un OK de chaque participant dans le formulaire d’inscription? (c) que les résidents d’un condo ou d’un RPA (aînés) ne peuvent plus obtenir la liste à jour des autres résidents avec leurs nom et numéro d’appartement? Si oui, aussi leur téléphone et adresse courriel?
Allo André, merci pour tes mots et tes questions. Tu sembles avoir bien compris le principe en effet.
a) Non, Bell n’a pas le droit, sauf s’il ajoute cet usage dans sa politique de confidentialité, que nous signons sans regarder lors de la prise du contrat avec eux. Fun fact, la commission a déjà émis des amendes à certains opérateurs téléphoniques, à cause du non-respect de la loi 25.
b) Non, un tour local ne peut en aucun cas échanger ces informations sans avoir établi d’accord consenti des participants qu’ils vont partager certaines coordonnées à d’autres participants. L’aval des participants doit être écrit et facilement identifiant celui qui a approuvé, pour s’en prévaloir en justice, au besoin.
c) Same, same pour les résidents d’un condo ou RPA.
En fait, c’est simple : toute information personnelle qui sera collectée par une organisation devrait être au préalable indiqué dans un accord signé avec ceux qui devront consentir à fournir ces informations. Il doit également être stipulé à qui ces informations seront partagées, et pourquoi. D’où l’intérêt d’établir une politique de confidentialité claire.
Merci Alexandre. Je me permet donc de raffiner mes questions:
Le texte dit “tout individu ou organisation faisant du commerce avec les Québécois” (1) “tout individu” La loi s’applique donc à tout quidam, sans lien avec quelque organisme que ce soit, donc à moi? (2) “faisant du commerce”. Si je ne vend, n’achète et n’échange rien avec contrepartie, mais désire seulement offrir à mon entourage, de rester facilement en contacts entre nous en leur envoyant nos coordonnées détaillées, est-ce une forme de “commerce” qui m’assujetti à la loi? (3) “avec les Québécois”. La loi ne s’appliquerait donc pas si les membres du groupe étaient tous d’Ottawa et moi seul du Québec? Et si un seul autre membre sur 10 était Québécois?
Est-ce Y a-t-il des nuances possibles? Exemples:
(a) la liste des coordonnées de mes 8 enfants adultes? Ou de ma famille élargie, de 25 personnes, incluant les conjoints?
(b) la liste des coordonnées d’un groupes d’amis (5 amis étudiants d’il y a 50 ans à l’Université d’Ottawa, donc pas nécessairement québécois alors, et maintenant éparpillés dans le monde, dont certains au Québec. Ou, en tant que chef d’équipe et non organisateur, la liste des coordonnées des membres de mon équipe de quilles?
(c) la liste uniquement des noms et numéros d’appartement de mes voisins de condo au Québec. Et varia: le panneau d’entrée du condo peut-il indiquer le vrai numéro d’appartement de chaque résident?
(d) Si je cherche les cordonnées d’un individu X, et que je demande l’info à Y, est-ce que Y est assujetti à la loi 25?
Tu mentionnes “L’aval des participants doit être écrit et facilement identifiant celui qui a approuvé, pour s’en prévaloir en justice, au besoin” Écrit sur papier? Sûrement pas. Et que faut-il pour les identifier subséquemment, hormis une vidéo les montrant en train de signer l’autorisation, ou leur empreinte digitale sur l’autorisation? Ce n’est guère possible. Pour chaque liste de coordonnées que je souhaite distribuer, n’est-ce pas suffisant de recevoir de chaque individu son accord via son courriel, et que cet accord spécifie, avec cases à cocher, qu’il/elle accepte ou non d’inclure: nom complet __, adresse complète __, courriel actuel __, téléphone cellulaire __, etc.
Suis-je obligé – ou serait-ce recommandé – d’exiger de chaque individu un engagement (que je ne pourrai évidemment pas contrôler) à ne pas retransmettre la liste, en tout ou en partie sans l’accord écrit des individus concernés. En fait, suis-je même obligé d’aviser chaque individu qu’en donnant son accord à me transmettre ses coordonnées pour que je les distribue au groupe, il s’expose automatiquement à ce qu’un membre du groupe retransmette ses coordonnées (ou toute la liste) à d’autres individus hors du groupe, à un vendeur Fuller Brush, à un parti politique, etc. et qu’il accepte librement ce risque….
Hey André, j’adore tes questions et vais continuer de te partager mon interprétation de la loi (qui ne demeure que la mienne).
La loi, à sa base, vise à cadrer la collecte de données effectuée par toute organisation, quelle qu’elle soit, au sujet de qui que ce soit sur la planète. Ainsi, si Collectif WEB collecte des infos sur quelqu’un à Montréal ou quelqu’un à Moscou, cela ne change absolument rien. JE DOIS faire en sorte de réguler la collecte et conservation de données au Collectif WEB.
La CAI stipule le cadre des organisations considérées dans le champ d’application. Et c’est là qu’ils indiquent qu’il n’importe aucunement si l’entreprise un caractère commercial ou non. (Source)
En ce qui a attrait à la localisation de l’individu auquel je collecte une information, la CAI est ambiguë à ce sujet, et en effet, cible surtout “les citoyens” (québecois I guess).
Cependant, n’oublions pas que d’autres lois du même genre viennent s’ajouter dans le monde, dont une multitude aux USA, une qui s’en vient au Canada entier (PIPEDA), la RGPD en Europe et plusieurs autres dans d’autres pays (UK, Australie,…).
Par ailleurs, il n’y a pas grande entreprise qui profile assez les personnes auxquelles il collecte des informations, pour accorder un processus différent aux individus d’un pays et ceux d’un autre. À la place, ils centralisent leurs processus, pour ton individu à qui ils collectent des informations.
Pour tes points, voici mon interprétation :
a- qu’on collecte les informations de 8 enfants adultes ou d’une famille élargie, cela ne change rien, toute information sensible doit être considérée avec la loi 25
b- pour le groupe d’amis dont les membres sont éparpillés autour du monde, je reviendrais sur mon point précédent. Pourquoi séparer le processus pour ceux non au Québec de ceux au Québec. C’est plus d’effort de les diviser que de leur offrir le même traitement à tous. Un traitement qui j’estime est tout à fait légitime, puisqu’on avise clairement et demandons le consentement de chaque individu qui nous donne leurs informations personnelles. Personne ne dirait non à cela, même s’il habitait en Inde.
c- ici tu es plus dans la question de “quelle information serait considérée personnelle ou sensible” ? Personnellement, j’aime mieux prévenir que guérir et aime mieux considérer un nom + num d’appartement comme information personnelle. Il doit cependant y avoir des nuances au niveau juridique que j’ignore. Un avocat/juriste aurait certainement une réponse adéquate à cela.
d- la loi 25 ne s’applique pas aux individus mais aux organisations. Si donc l’individu Y est une entreprise individuelle, oui il y est assujetti.
L’aval des participants peut être inscrit de diverses formes, tant que la personne qui a consenti est identifiable. Ca peut être un papier, un formulaire en ligne ou bien d’autres choses. Pour beaucoup, ils joignent une politique de confidentialité qui stipule tout ce qui serait collecté à tout document à signer/valider (ou un site web sur lequel s’inscrire).
Pour ta dernière question, la loi 25 ne s’applique pas aux individus. Si X veut partager les infos de Y, qu’il s’éclate. Mais les organisations ne peuvent faire cela sans consentement écrit/consigné.
En espérant le tout clair.
Merci pour votre document. Très instructif. Je gère un petit site pour un Club d’horticulture. Une page du site permet à un visiteur de nous faire part de ses commentaire, ou de s’inscrire en ligne. Il y a dont une certaine collecte de données. Le site est construit via un “Sitebuilder” YOLA . Ce “Site Builder” facile à gérer permet de placer une ligne informant le visiteur de la collecte de cookies, mais je n’ai pas trouvé d’option leur permettant de refuser cette collecte sans être retiré de la page. Selon vous, sommes-nous tenu d’ajouter cette ligne d’information sur les Cookies. NB: Je ne suis pas un expert dans la création de site, nous voulons simplement respecter la loi. Merci
Michel
Bonjour Michel, merci pour tes compliments ! C’est plaisant de savoir que ce guide puisse aider autant de personnes.
Beaucoup de sitebuilders n’incluent pas cette fonctionnalité. Et à vrai dire, même lorsque nous utilisons Wix, WordPress ou Shopify (les connus), la plupart n’ont pas nécessairement de gestionnaire de cookies (appelé CMP) adéquat. C’est pour cela que nous en avons proposé en bas du guide.
Ces CMP s’ajoutent dans la majorité des sitebuilders. Ils ont tous une documentation qui aide à l’intégration sur site.
Est-ce que vous êtes tenu d’avoir un gestionnaire de cookie adéquat? La réponse est OUI. À vrai dire, toute organisation, peu importe sa taille, y est tenu, selon ma compréhension de la loi.
Je me suis permis d’aller voir ton site web et il charge 12 cookies sur site + une batch de cookies provenant de YouTube (et ce juste sur la page d’accueil).
Tu voudras ainsi bloquer ces cookies et permettre le consentement total ou partiel de ces cookies, à tous tes utilisateurs.
N’hésite pas à consulter nos recommandations de gestionnaires de cookies en bas de guide, pour toute recommandation.
Note que nous avons également des tarifs privilégiés de revente de licence au besoin. Tu peux consulter notre service à ce sujet ici : https://collectif-web.ca/mise-en-conformite-a-la-loi-25/
Bon courage.
Qu’en est-il des entreprises qui ont des contrats récurants et qui envoit des renouvellements annuel en ce servant d’ancienne donnés. Soit par émailing ou envoi de courrier postaux. Exemple les déneigeurs.
Bonjour Marc, merci pour ta question pertinente. De notre compréhension de la loi, Nom, Adresse, informations de facturation et de paiement SONT des renseignements personnels. Qu’ils soient conservés dans un logiciel de facturation, une plateforme bancaire ou un petit bout de papier, il a le même traitement que n’importe quel autre renseignement personnel.
De ce fait, ces entreprises dont tu parles seraient supposées :
Quant au emailing, cela peut constituer de la communication à titre promotionnel et donc toucher à une autre loi, qui est la LDAP (loi anti-pourriel). Consentement, durée de conservation des données et suppression planifiée de ces renseignements devraient être de mise.
Bonjour, Je suis un particulier qui fait affaire avec un comptable pour mes impôts. Chaque année je lui apporte mes papiers à son bureau. Quand les déclarations sont complétées, celles-ci me sont transmises par courriel depuis la pandémie. Jusqu’à l’année dernière, un mot de passe était requis pour que je puisse ouvrir les déclarations. Cette année à ma très grande surprise, j’ai reçu un courriel avec des fichiers SANS mot de passe. Le comptable me dit que ce n’est plus nécessaire puisque seuls les 4 derniers chiffres du numéro d’assurance sociale sont visibles.
Selon ma compréhension de ce que j’ai lu dans votre article, une déclaration fiscale comprend beaucoup d’informations personnelles (nom, adresse, statut marital, revenus et j’en passe).
Pouvez-vous me dire si la nouvelle façon de me transmettre mes documents SANS mot de passe est acceptable? J’ai déjà signifié au comptable que je n’étais pas à l’aise avec sa nouvelle méthode de transmission et il me propose de passer à son bureau pour obtenir une copie imprimée l’an prochain.
Bonjour Lyne!
Merci pour ta question sur l’envoi de tes documents fiscaux sans mot de passe. Tu as bien raison de t’inquiéter, et c’est super que tu sois attentive à la protection de tes infos personnelles !
Pour être franc, la pratique de ton comptable n’est pas vraiment conforme à ce que demande la Loi 25. Une déclaration fiscale, c’est une mine d’or d’informations personnelles ! On y trouve ton nom, adresse, état civil, tous tes revenus et plein d’autres détails sur ta vie financière. Bien plus que juste les 4 derniers chiffres de ton NAS !
Le courriel standard, c’est un peu comme envoyer une carte postale – n’importe qui sur le chemin pourrait potentiellement y jeter un œil. C’est pourquoi avant, ton comptable protégeait ces documents avec un mot de passe, et c’était la bonne approche.
Sous la Loi 25, les entreprises doivent mettre en place des mesures de sécurité adaptées aux infos qu’elles manipulent. Pour des documents aussi sensibles que des déclarations fiscales, l’envoi sans protection n’est pas suffisant.
Quelques options plus sécuritaires que ton comptable pourrait utiliser:
Sa proposition de te donner une copie papier l’an prochain est correcte, mais ça ne règle pas le problème pour tes documents actuels.
Je te suggère de lui reparler en mentionnant que la Loi 25 l’oblige à protéger adéquatement tes renseignements personnels, et que le minimum serait de revenir à sa pratique précédente avec mot de passe.
Si jamais il insiste pour continuer comme ça, sache que tu peux signaler la situation à la Commission d’accès à l’information du Québec.
N’hésite pas si tu as d’autres questions!
À bientôt.
Bonjour
petite question je suis dans une résidence pour ainé(e)s et le directeur a décidé de ne plus afficher les dates seulement le jour et le mois de naissance des résidents dans le petit journal mensuel
les résidents ne sont pas d’accord,
a-t-il raison ?
Allo Nicole, c’est une excellente question ! Je précise avant toute chose qu’une ressource juridique serait certainement mieux outillée que moi pour vous répondre. Mais je vais toutefois vous donner mon interprétation à ce sujet.
Le directeur a, selon moi, effectivement raison de modifier cette pratique. Selon la Loi 25, la date de naissance complète (incluant l’année) constitue un renseignement personnel qui permet d’identifier directement une personne physique.
Voici pourquoi cette décision est justifiée :
Ce qui constitue un renseignement personnel :
– La date de naissance complète (jour, mois, année) est considérée comme un renseignement personnel selon la définition de la Commission d’accès à l’information du Québec
– L’affichage public de ces informations sans consentement spécifique constitue une utilisation non autorisée de renseignements personnels
La solution adoptée est appropriée :
– Afficher seulement le jour et le mois (sans l’année) permet de souligner les anniversaires tout en respectant la vie privée
– Cette approche maintient l’aspect communautaire souhaité par les résidents tout en respectant la loi
Si les résidents souhaitent maintenir l’affichage des années de naissance, la résidence pourrait obtenir le consentement écrit et spécifique de chaque résident pour cette utilisation particulière de leurs renseignements personnels.
À mon avis, le directeur fait donc preuve de prudence et de conformité légale en modifiant cette pratique.
Au plaisir