Loi 25 - Boîte à outils

Loi sur la protection des renseignements personnels 

La Commission d'accès à l'information du Québec ayant rappelé aux entreprises et aux organismes publics l'entrée en vigueur de certaines dispositions de la Loi en matière de protection des renseignements personnels, aussi appelée Loi 25, RIDEAU a eu l'initiative d'offrir à ses membres et ses collaborateur·trice·s la formation Loi 25 : par où commencer ?, donnée par Emeline Manson de CY-clic.

Aussi, pour mieux vous y retrouver et pour renforcer votre cybersécurité et vos bonnes pratiques en ligne, voici les exigences à suivre et les outils essentiels pour vous permettre de vous conformer à la Loi 25.

qu'est-ce qu'un renseignement personnel (RP) ?


Exigences en vigueur depuis septembre 2022 :

  • Nommer une personne responsable de la protection des renseignements personnels (RPRP). Par défaut, il s'agit du rôle de la plus haute autorité de l’organisation.

 rôles et responsabilités du rprp


  • Publier les coordonnées du RPRP sur le site web de l'organisation, par exemple sur la page contact. 

EXEMPLE DE COORDONNÉES DU RPRP


  • En cas d’incident de confidentialité impliquant un renseignement personnel (accès, utilisation ou communication non autorisé·e par la loi d'un RP ou perte d'un RP)  : Tenir un registre d'incidents de confidentialité et en cas de risque de préjudice sérieux (atteinte à la réputation, au dossier de crédit, perte financière ou d'emploi, vol d'identité...), communiquer les incidents de confidentialité à la Commission d'accès à l'information du Québec.

COMPOSANTES D'UN REGISTRE D'INCIDENTS

GABARIT DE REGISTRE D'INCIDENTS


Exigences en vigueur dès septembre 2023 :

  • Faire l’inventaire des renseignements personnels détenus par l'organisation et s'assurer qu'il demeure à jour.

GABARIT D'INVENTAIRE


  • Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi.

  • Rédiger une politique de confidentialité. Pour vous simplifier la vie, Tuxedo vous offre la possibilité d'utiliser son générateur de politique de confidentialité, afin de créer votre propre politique adaptée à votre réalité.​​​​​​ 

Générateur de politique de confidentialité tuxedo


  • Faire réviser la politique par un·e avocat·e.

  • Rendre publique la polique en l'affichant sur le site web de l'organisation. 

  • La notion de consentement pour l'utilisation de fichiers témoins (cookies) sur le site web de l'organisation permettant de suivre le parcours client ou autres activités de l'utilisateur via des scriptes de suivi tels que Google Analytics ou Facebook (pixel), doit aussi faire partie de la politique de confidentialité quant à la collecte, à la communication ou à l’utilisation des renseignements personnels. De plus, l'ajout d'une bannière de témoins en pied de page du site web et cliquable vers la politique de témoins est aussi obligatoire pour s'assurer d'obtenir un consentement explicite pour l'utilisation des RP.

    *Faire en sorte de croiser les domaines du site web de l'organisation et celui de la billetterie peut aussi être une solution pour un consentement "cross domain". Il est conseillé de contacter votre gestionnaire de billetterie pour en savoir plus concernant cet outil ou tout simplement pour l'informer de la mise en place d'une bannière de consentement sur votre site web.

  • Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec.

quand procéder à une éFvP

gabarits pratiques pour rédiger vos rapports d'ÉFVP


Exigences en vigueur d’ici septembre 2024 :

  • Informer l’équipe responsable de l’entretien, de la mise à jour ou du développement de ses systèmes informatiques, des nouveaux besoins d’affaires qui sont mis en place en lien avec le droit à la portabilité des renseignements  personnels, à savoir :
    -Que les systèmes informatiques permettent de communiquer, sur demande d’une personne concernée, un renseignement personnel informatisé recueilli auprès d’elle, et ce, dans un format technologique structuré et couramment utilisé;
    -Que cette communication puisse également se faire à une personne ou à un organisme autorisé par la Loi à recueillir le renseignement, à la demande de la personne concernée.

  • Préciser les rôles et responsabilités des membres du personnel impliqué·e·s dans la protection des renseignements personnels tout au long de leur cycle de vie (qui a accès à quoi ?).

  • S'assurer de former son personnel pour qu’il développe les bons réflexes en matière de protection des renseignements personnels.

consulter le catalogue de formations de cy-clic


Besoin de plus de soutien en matière de sécurité des renseignements personnels ? 

In-Sec-M vous propose un service d'accompagnement qui vous aidera à adopter un ensemble de bonnes pratiques en cybersécurité et en protection des données personnelles qui vous permettront de mieux vous conformer aux requis de la loi 25. 

Visiter le site Maloi25

évaluation et diagnostic


Vous avez des questions et/ou vous aimeriez visionner la vidéo en différé :  

contactez marie-line gagné


Documentation

Qu'est-ce qu'un renseignement personnel (RP) ?

Rôles et responsabilités du responsable de la protection des renseignements personnels (RPRP)

Exemple de coordonnées du RPRP

Composantes d'un registre d'incidents de confidentialité

Gabarit de registre d'incidents de confidentialité

Gabarit d'inventaire

Vérifier la sécurité d'un mot de passe

Générateur de politique de confidentialité Tuxedo

Quand procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP)

Gabarits pratiques pour rédiger vos rapports d'ÉFVP

Qu'est-ce que le droit à la portabilité ?

Évaluation et diagnostic

Formations de CY-clic

Contacter CY-clic

Visiter le site Maloi25