Loi 25 : votre PME est-elle prête?

La loi 25, ou la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels amène d’importants changements à tout ce qui concerne la protection des renseignements personnels des citoyens du Québec.

Quels sont les principaux objectifs de la loi 25? Améliorer la confiance des citoyens envers les organisations qui traitent leurs données, soutenir l’innovation en prenant en compte les nouvelles technologies et renforcer la protection des renseignements personnels détenus par les organisations en opération au Québec.

Chez Agendrix, cette loi nous intéresse tout particulièrement parce que notre logiciel traite les données de nos clients et de leurs utilisateurs. C’est pourquoi nous avons décidé de prendre les devants bien avant que la loi 25 ne prenne pleinement effet. Nous avons d’ailleurs récemment obtenu la certification de deux normes ISO relatives à la sécurité et à la confidentialité des données.

Dans cet article, je vous offre quelques pistes pour faciliter la mise en place de certains changements nécessaires en lien avec la loi 25. Pour obtenir la documentation légale et l’information sur les démarches à suivre, nous vous invitons à consulter le site du Gouvernement du Québec.

Loi 25 et PME, par où commencer?

La loi 25 s’applique à toutes les organisations québécoises qui traitent des données personnelles, qu’elles fassent partie du secteur public ou privé, et ce, peu importe leur taille. La loi s’applique donc aussi aux petites entreprises.

Des amendes salées pouvant atteindre 4 % du chiffre d’affaires, jusqu’à concurrence de 25 millions de dollars, attendent les organisations prises en défaut. Les sanctions seront relatives à la gravité des manquements et à la capacité de payer de l’organisation — plus imposant votre chiffre d’affaires est, plus salée votre amende sera.

La documentation importante

La première étape consiste à vous familiariser avec les outils mis à votre disposition par le gouvernement du Québec :

• Le site Web du gouvernement du Québec pour toutes les informations à savoir;
• Le site Web de la Commission d’accès à l’information (CAI) du Québec, l’entité qui légifère en la matière;
• Le Guide d’accompagnement de la CAI, qui présente toutes les étapes pour réaliser une évaluation des facteurs relatifs à la vie privée;
• L’Aide-mémoire, qui survole la loi 25 et les dates à retenir;
• Le lexique de la terminologie à connaître en lien avec la protection des renseignements personnels.

Les étapes principales

Ensuite, il faut se préparer aux étapes principales qui pourraient avoir un impact sur vos opérations quotidiennes :

1. Désigner un responsable de tout ce qui rapporte à la protection des renseignements personnels au sein de votre entreprise;
2. Établir votre cadre de gouvernance (autrement dit, ce que vous allez mettre en place concrètement) pour la protection des renseignements personnels;
3. Évaluer les risques d’atteinte à la vie privée lors de vos communications ou autres opérations qui traitent des renseignements personnels — en faisant des évaluations des facteurs relatifs à la vie privée lorsque nécessaire;
4. Fournir, à la demande d’une personne, les renseignements personnels qu’elle vous a fournis.

Notez que ces étapes seront à répéter ou à réviser au besoin : il ne s’agit pas d’une liste de contrôle à compléter puis à oublier. Vous aurez forcément besoin d’évaluer les risques liés à de nouveaux projets, de désigner un nouveau responsable lorsque les rôles évoluent au sein de votre entreprise, et ainsi de suite.

Qu’est-ce que l’évaluation des facteurs relatifs à la vie privée?

L’évaluation des facteurs relatifs à la vie privée (ÉFVP) est une analyse de risques préventive visant à mieux protéger les renseignements personnels et à assurer le respect de la vie privée des personnes.

💡Celle-ci vous permet de vous assurer que toutes les bonnes mesures de sécurité et de confidentialité des données ont bien été mises en place dans vos pratiques.

Lors de l’ÉFVP, vous devez considérer tous les facteurs qui auront potentiellement un impact sur le respect de la vie privée des personnes concernées. Une fois l’analyse complétée, vous devez trouver des solutions pour réduire ces risques et les mettre en œuvre.

Par exemple, transmettre le numéro d’assurance sociale d’un de vos employés à un autre gestionnaire via une conversation personnelle sur Facebook Messenger constitue un risque important. Autre cas de figure : l’ordinateur sur lequel vous stockez les informations personnelles de vos clients n’est pas protégé par mot de passe et utilisé par différents employés, sans surveillance ni droits d’accès attribués par rôle.

Simplifiez la gestion de vos employés.

Horaires en ligne. Pointage. Communication.

Découvrez Agendrix

Comment analyser et évaluer les facteurs relatifs à la vie privée?

Selon la loi 25, vous devrez faire une ÉFVP pour tout projet d’acquisition, de développement ou de refonte de système d’information ou de prestation électronique de services qui implique des renseignements personnels. Simplement dit, pour toute activité qui traite les données personnelles de clients, d’employés, de fournisseurs ou de patients.

Pour les entreprises privées, votre analyse devrait se faire en fonction des principes suivants :

De quels renseignements personnels avez-vous besoin et pourquoi en avez-vous besoin?

Il faut démontrer que vous avez un intérêt sérieux et légitime à obtenir ces données. Vous devez d’ailleurs informer toute personne concernée avant de monter un dossier de l’utilisation que vous souhaitez faire de ses données. Vous ne pouvez collecter que les renseignements nécessaires pour offrir votre produit ou service.

➡️ Pour les dossiers des clients d’une quincaillerie par exemple, le numéro de téléphone et l’adresse peuvent s’avérer nécessaires pour joindre le client ou assurer la livraison. Il serait cependant inutile – et donc une infraction au sens de la loi – de demander la date d’anniversaire ou le numéro d’assurance sociale du client.

Avez-vous obtenu le consentement à communiquer les renseignements personnels?

En plus de l’utilisation des renseignements personnels, vous devez informer toute personne concernée des rôles de vos employés qui y auront accès et de l’endroit où les données seront stockées. Il vous faudra aussi obtenir son consentement pour communiquer ses renseignements à autrui, à moins d’une exception de la loi à cet effet. Ce consentement doit être libre et éclairé, à des fins spécifiques d’utilisation et valable pour une durée déterminée.

➡️ Si l’on reprend l’exemple précédent, en plus de consentir à fournir leur numéro de téléphone et adresse pour ouvrir leur compte client, les clients de la quincaillerie peuvent exiger de savoir qui aura accès à ces informations. Est-ce que ce ne sont que les employés au service client et à la livraison? Ou est-ce que tous les employés de l’entreprise y auront accès? D’ailleurs, si ces informations sont communiquées auprès d’autres fournisseurs ou sous-traitants, la quincaillerie doit, au préalable, obtenir le consentement des clients.

Quelles sont les mesures de sécurité mises en place, ainsi que les limites quant à l’accès et à l’utilisation des renseignements personnels?

Vous devez identifier les mesures de sécurité pour assurer la protection des renseignements personnels recueillis, utilisés, communiqués, conservés ou détruits. Ces mesures doivent entre autres prendre en compte la sensibilité, l’utilisation et la quantité des données. Seules les personnes dont les fonctions requièrent l’accès aux renseignements personnels devraient pouvoir y accéder et les utiliser.

➡️ La quincaillerie utilise sans doute un système informatique pour stocker les dossiers de sa clientèle. Faut-il avoir un code d’accès pour accéder aux dossiers des clients, ou sont-ils plutôt disponibles à qui le veut bien sur tous les ordinateurs de l’entreprise?

Quel est le niveau de qualité des renseignements personnels recueillis?

Vous devez veiller à ce que les renseignements personnels que vous détenez soient justes et à jour au moment de les utiliser. Les renseignements personnels doivent aussi être accessibles et modifiables : la personne concernée doit pouvoir vous demander de savoir quels renseignements vous avez et vous exiger de les modifier en tout temps.

➡️ Si un client de la quincaillerie déménage ou souhaite mettre à jour son dossier client, il doit être en mesure de l’exiger.

Faire le suivi de l’évaluation des facteurs relatifs à la vie privée avec un plan d’action

Suite à votre analyse vient le temps de préparer un plan d’action qui vous permettra d’assurer la mise en œuvre de vos mesures de sécurité.

💡 Dans le cas où des mesures correctives doivent être mises en place, votre plan d’action contient aussi les moyens retenus pour pallier les manques à gagner.

Le plan d’action vous permet d’ajouter diverses tâches dans vos activités quotidiennes pour respecter la loi. C’est ce qui, en bout de ligne, vous permet de retirer les bénéfices de l’évaluation des facteurs relatifs à la vie privée!

Il est important d’informer les dirigeants de votre entreprise des résultats de l’ÉVFP. Ils doivent d’ailleurs accepter les conclusions de l’analyse de risques et cautionner les risques qui subsistent malgré ce qui a été fait pour les atténuer. De plus, il est conseillé de nommer des responsables pour surveiller l’évolution des risques résiduels.

Doit-on faire un rapport sur son ÉFVP?

Bien que l’évaluation des facteurs relatifs à la vie privée soit obligatoire pour les entreprises privées, le rapport sur l’ÉVFP, quant à lui, ne l’est pas. Seuls les organismes publics sont obligés par la loi de produire un rapport sur leur ÉVFP. Bien qu’un rapport ne soit pas obligatoire, les entreprises ont beaucoup à gagner à documenter leurs efforts de protection des renseignements et des données personnelles.

Le rapport permet entre autres d’être transparent auprès des personnes qui font affaire avec votre entreprise. De plus, il vous permet de démontrer que vous avez bien pris en considération le respect de la vie privée dans l’élaboration et la mise en œuvre de vos projets.

Pourquoi faire un rapport de votre ÉFVP?

Un rapport d’évaluation des facteurs relatifs à la vie privée sert à colliger les résultats de votre analyse de risques. C’est une preuve de vos démarches, ce qui est particulièrement utile lorsqu’une autorité législative souhaite faire une vérification, une inspection ou dans certains cas, une enquête.

Un résumé de votre rapport peut être partagé au sein de votre organisation et avec votre clientèle, vos partenaires ou toute autre entité concernée. Certaines entreprises choisissent de publier le résumé sur leur site Web.

Est-ce qu’utiliser Agendrix peut aider mon entreprise à respecter la loi 25?

Les entreprises qui utilisent Agendrix bénéficient de plusieurs avantages qui facilitent le respect de la loi 25, plus précisément lorsqu’il est question du traitement et du stockage des données des employés.

Le registre du personnel centralise toutes les informations nécessaires au bon fonctionnement des opérations quotidiennes d’une entreprise, en plus d’assurer la sécurité des données :

• L’application et les données sont hébergées à 100 % au Canada;
• La sécurité du logiciel des méthodes et des processus chez Agendrix (incluant celle de notre logiciel) répond aux plus hauts standards de l’industrie, grâce à nos certifications pour les normes ISO 27001:2013 et ISO 27701:2019;
• Tous nos employés ainsi que le développement du logiciel sont au Canada;
• La suppression automatique des données est offerte selon la période choisie par les clients. Par exemple, pour un employeur qui souhaite effacer les données après 3 ans :
  • Toutes les données des employés qui ont été archivés sont supprimées/anonymisées après 3 ans;
  • Un message du fil d’actualité archivé sera définitivement supprimé après 3 ans;
  • La suppression manuelle des données est aussi disponible sur demande;
• Il est possible de renforcer les mots de passes des membres d’une organisation pour limiter les brèches;
• Un registre détaillé de tout changement dans la plateforme est disponible;
• Dès janvier 2024 : la gestion de rôles avancée permettra de définir l’accès aux informations sensibles au sein d’une organisation.

Rappel des dates importantes concernant la loi 25

Ce qui doit déjà avoir été fait depuis septembre 2022 :

• Nommer une personne responsable de la protection des renseignements personnels au sein de votre entreprise;
• Informer les personnes touchées par tout incident qui affecte la confidentialité et qui pourrait causer un préjudice sérieux.

Ce qui doit déjà avoir été fait depuis septembre 2023 :

• Établir un cadre de gouvernance pour la protection des renseignements personnels traités par votre entreprise;
• Évaluer les risques d’atteinte à la vie privée lors de vos communications ou utilisations qui exploitent des renseignements personnels;
• Détruire ou rendre anonymes certains renseignements personnels, selon les circonstances;
• Recevoir au préalable le consentement de toute personne concernée afin de pouvoir utiliser des renseignements personnels à des fins commerciales.

À partir de septembre 2024 :

• Transmettre à la demande des personnes concernées les renseignements personnels qu’elles vous ont fournis.

Sites gouvernementaux à votre disposition

• Site Web du gouvernement du Québec
• Site Web de la Commission d’accès à l’information (CAI) du Québec
• Guide d’accompagnement de la CAI
• Aide-mémoire
• Lexique de la terminologie

Voilà, vous avez maintenant plus d’informations en main pour vous préparer aux dispositions de la loi 25!