Loi 25 - Boîte à outils

Loi sur la protection des renseignements personnels

La Commission d'accès à l'information du Québec ayant rappelé aux entreprises et aux organismes publics l'entrée en vigueur de certaines dispositions de la Loi en matière de protection des renseignements personnels, aussi appelée Loi 25, RIDEAU a eu l'initiative d'offrir à ses membres et ses collaborateur·trice·s la formation Loi 25 : par où commencer ?, donnée par Emeline Manson de CY-clic.

Aussi, pour mieux vous y retrouver et pour renforcer votre cybersécurité et vos bonnes pratiques en ligne, voici les exigences à suivre et les outils essentiels pour vous permettre de vous conformer à la Loi 25.

qu'est-ce qu'un renseignement personnel (RP) ?

Exigences en vigueur depuis septembre 2022 :

Nommer une personne responsable de la protection des renseignements personnels (RPRP). Par défaut, il s'agit du rôle de la plus haute autorité de l’organisation.

rôles et responsabilités du rprp

Publier les coordonnées du RPRP sur le site web de l'organisation, par exemple sur la page contact.

EXEMPLE DE COORDONNÉES DU RPRP

En cas d’incident de confidentialité impliquant un renseignement personnel (accès, utilisation ou communication non autorisé·e par la loi d'un RP ou perte d'un RP) : Tenir un registre d'incidents de confidentialité et en cas de risque de préjudice sérieux (atteinte à la réputation, au dossier de crédit, perte financière ou d'emploi, vol d'identité...), communiquer les incidents de confidentialité à la Commission d'accès à l'information du Québec.

COMPOSANTES D'UN REGISTRE D'INCIDENTS

GABARIT DE REGISTRE D'INCIDENTS

Exigences en vigueur dès septembre 2023 :

Faire l’inventaire des renseignements personnels détenus par l'organisation et s'assurer qu'il demeure à jour.

GABARIT D'INVENTAIRE

Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi.

Rédiger une politique de confidentialité. Pour vous simplifier la vie, Tuxedo vous offre la possibilité d'utiliser son générateur de politique de confidentialité, afin de créer votre propre politique adaptée à votre réalité. Contactez-les pour obtenir le lien vers le générateur!

CONTACTEZ TUXEDO

Faire réviser la politique par un·e avocat·e.

Rendre publique la polique en l'affichant sur le site web de l'organisation.

La notion de consentement pour l'utilisation de fichiers témoins (cookies) sur le site web de l'organisation permettant de suivre le parcours client ou autres activités de l'utilisateur via des scriptes de suivi tels que Google Analytics ou Facebook (pixel), doit aussi faire partie de la politique de confidentialité quant à la collecte, à la communication ou à l’utilisation des renseignements personnels. De plus, l'ajout d'une bannière de témoins en pied de page du site web et cliquable vers la politique de témoins est aussi obligatoire pour s'assurer d'obtenir un consentement explicite pour l'utilisation des RP.

*Faire en sorte de croiser les domaines du site web de l'organisation et celui de la billetterie peut aussi être une solution pour un consentement "cross domain". Il est conseillé de contacter votre gestionnaire de billetterie pour en savoir plus concernant cet outil ou tout simplement pour l'informer de la mise en place d'une bannière de consentement sur votre site web.

Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec.

quand procéder à une éFvP

Exigences en vigueur d’ici septembre 2024 :

Informer l’équipe responsable de l’entretien, de la mise à jour ou du développement de ses systèmes informatiques, des nouveaux besoins d’affaires qui sont mis en place en lien avec le droit à la portabilité des renseignements personnels, à savoir :
-Que les systèmes informatiques permettent de communiquer, sur demande d’une personne concernée, un renseignement personnel informatisé recueilli auprès d’elle, et ce, dans un format technologique structuré et couramment utilisé;
-Que cette communication puisse également se faire à une personne ou à un organisme autorisé par la Loi à recueillir le renseignement, à la demande de la personne concernée.

Préciser les rôles et responsabilités des membres du personnel impliqué·e·s dans la protection des renseignements personnels tout au long de leur cycle de vie (qui a accès à quoi ?).

S'assurer de former son personnel pour qu’il développe les bons réflexes en matière de protection des renseignements personnels.

formations IN-SEC-M

Besoin de plus de soutien en matière de sécurité des renseignements personnels ?

In-Sec-M vous propose un service d'accompagnement qui vous aidera à adopter un ensemble de bonnes pratiques en cybersécurité et en protection des données personnelles qui vous permettront de mieux vous conformer aux requis de la loi 25.

à propos d'in-sec-m

questionnaire d'autodiagnostic

Pour vous familiariser davantage avec certaines de vos nouvelles responsabilités et obligations, qui entreront en vigueur progressivement d'ici septembre 2024, consultez le guide pour entreprises de la Commission d'accès à l'information du Québec. Des pistes d’action et de bonnes pratiques vous sont aussi proposées afin de vous aider dans la planification de vos travaux de mise en conformité à la loi.

guide des obligations de la commission d'accès à l'information du québec

Vous avez des questions et/ou vous aimeriez visionner la vidéo en différé :

contactez marie-line gagné