De ce fait, les entreprises sont de plus en plus sensibilis\u00e9es \u00e0 l\u2019utilisation des donn\u00e9es personnelles et au respect de la vie priv\u00e9e. En r\u00e9ponse \u00e0 cette pr\u00e9occupation, le gouvernement du Qu\u00e9bec a adopt\u00e9 la Loi 25 (anciennement connue sous le nom de projet de loi 64), qui vise \u00e0 moderniser divers aspects de la l\u00e9gislation qu\u00e9b\u00e9coise en mati\u00e8re de collecte et de protection des renseignements personnels.<\/p>\n
Le paysage l\u00e9gislatif qu\u00e9b\u00e9cois en mati\u00e8re de protection des donn\u00e9es est sur le point de conna\u00eetre une importante r\u00e9forme, qui aura une incidence sur toutes les organisations qui interagissent avec des clients bas\u00e9s au Qu\u00e9bec (quel que soit leur lieu de r\u00e9sidence).<\/p>\n
C\u2019est pourquoi il est essentiel que les entreprises comprennent les changements fondamentaux introduits par la Loi 25, les sanctions qui y sont associ\u00e9es et les principales lignes directrices pour agir en toute conformit\u00e9.<\/p>\n
<\/p>\n
Qu\u2019est-ce que la Loi 25? Voici un r\u00e9sum\u00e9 de cette l\u00e9gislation qui prot\u00e8ge les donn\u00e9es personnelles.<\/strong><\/h2>\nLa Loi 25, officiellement connue sous le nom de Loi modernisant des dispositions l\u00e9gislatives en mati\u00e8re de protection des renseignements personnels dans le secteur priv\u00e9, propose des exigences plus strictes en mati\u00e8re de protection des renseignements personnels, y compris des exigences accrues en mati\u00e8re de protection, de transparence et de consentement explicite pour les organisations qu\u00e9b\u00e9coises.<\/p>\n
Cette loi a \u00e9t\u00e9 sanctionn\u00e9e le 22 septembre 2021 \u00e0 l\u2019Assembl\u00e9e nationale du Qu\u00e9bec, soit 14 mois apr\u00e8s sa pr\u00e9sentation initiale. Elle met \u00e0 jour et modernise le cadre juridique existant relatif aux droits des individus en mati\u00e8re d\u2019acc\u00e8s \u00e0 l\u2019information et de protection des renseignements personnels et harmonise \u00e9galement les lois qu\u00e9b\u00e9coises avec celles d\u2019autres juridictions.<\/p>\n
En fait, bon nombre des modifications propos\u00e9es avec la Loi 25 ont \u00e9t\u00e9 influenc\u00e9es par d\u2019autres lois mondiales sur la protection des renseignements personnels, comme le R\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD)<\/u><\/a> de l\u2019Union europ\u00e9enne.<\/p>\nEn 2022, les entreprises qui font des affaires au Qu\u00e9bec ont entam\u00e9 une course contre la montre afin de comprendre les exigences introduites par la Loi 25 et de les mettre en \u0153uvre.<\/p>\n
<\/p>\n
Comment se conformer \u00e0 la Loi 25? \u00c0 quel moment entre-t-elle en vigueur? Qui est soumis \u00e0 la Loi 25? Voici un r\u00e9sum\u00e9 des nouvelles obligations et les dates importantes.<\/strong><\/h2>\nLa Loi 25 apporte des modifications importantes aux lois qu\u00e9b\u00e9coises sur la protection des renseignements personnels dans le secteur priv\u00e9 et le secteur public.<\/p>\n
Bien que la Loi 25 ait \u00e9t\u00e9 officiellement adopt\u00e9e, elle sera progressivement mise en place au cours des trois prochaines ann\u00e9es. La premi\u00e8re \u00e9tape entre en vigueur 12 mois apr\u00e8s la date de la sanction.<\/p>\n
La Loi 25 sera appliqu\u00e9e par la Commission d\u2019acc\u00e8s \u00e0 l\u2019information (CAI) du Qu\u00e9bec. Voici un aper\u00e7u des trois phases.<\/p>\n
Ann\u00e9e 1 | Les dispositions de la Loi 25 qui entreront en vigueur en 2022 comprennent :<\/h3>\n\n- Les organisations doivent proc\u00e9der \u00e0 la d\u00e9signation d’une personne qui agira \u00e0 titre de responsable de la protection des renseignements personnels qui sera charg\u00e9e de la conformit\u00e9 \u00e0 la loi.<\/li>\n
- Les organisations sont tenues d\u2019informer la Commission d\u2019acc\u00e8s \u00e0 l\u2019information en cas de violation des donn\u00e9es. Les individus touch\u00e9s par toute utilisation non autoris\u00e9e de renseignements personnels doivent \u00e9galement \u00eatre inform\u00e9s.<\/li>\n<\/ul>\n
Ann\u00e9e 2 | Les dispositions de la Loi 25 qui entreront en vigueur en septembre 2023 comprennent :<\/h3>\n\n- L\u2019obligation pour chaque entreprise d\u2019\u00e9tablir et de mettre en \u0153uvre des politiques et des pratiques concernant la gouvernance des donn\u00e9es.<\/li>\n
- Les organisations doivent effectuer des \u00e9valuations des facteurs relatifs \u00e0 la vie priv\u00e9e (\u00c9FVP) pour les op\u00e9rations de traitement qui n\u00e9cessitent la collecte, la divulgation, l\u2019utilisation ou la destruction de donn\u00e9es personnelles.<\/li>\n
- Le droit pour les individus de demander aux organisations de cesser de diffuser leurs renseignements personnels et de d\u00e9sindexer tout hyperlien associ\u00e9 \u00e0 leur nom (droit \u00e0 l’oubli).<\/li>\n
- L\u2019obligation pour les organisations de d\u00e9truire les renseignements personnels une fois que l\u2019objectif pour lequel ils ont \u00e9t\u00e9 recueillis est atteint ou lorsque la dur\u00e9e de conservation requise est atteinte.<\/li>\n
- Les organisations qui transf\u00e8rent des donn\u00e9es \u00e0 des tiers doivent conclure un accord \u00e9crit avec ces derniers. L\u2019autre partie doit fournir une description des mesures prises pour pr\u00e9server la confidentialit\u00e9 des donn\u00e9es.<\/li>\n
- Les organisations doivent obtenir un consentement explicite pour utiliser les renseignements de nature d\u00e9licate des clients \u00e0 des fins secondaires.<\/li>\n
- Lors de la collecte de donn\u00e9es personnelles, les organisations doivent fournir les renseignements suivants : l\u2019objectif de la collecte, les m\u00e9thodes utilis\u00e9es pour la collecte, les droits d\u2019acc\u00e8s et de rectification ainsi que le droit de retirer le consentement.<\/li>\n<\/ul>\n
Les organisations doivent r\u00e9diger ces modifications dans un langage clair et simple et les documenter.<\/p>\n
Ann\u00e9e 3 | Les dispositions de la Loi 25 qui entreront en vigueur en 2024 comprennent :<\/h3>\n\n- La portabilit\u00e9 des donn\u00e9es \u2014 Une personne peut demander que les renseignements personnels recueillis \u00e0 son sujet lui soient communiqu\u00e9s ou soient communiqu\u00e9s \u00e0 une autre entreprise dans un format d\u00e9termin\u00e9.<\/li>\n
- Le traitement automatis\u00e9 \u2014 Obligation pour les organisations d\u2019informer les personnes lorsque leurs renseignements personnels sont utilis\u00e9s pour prendre des d\u00e9cisions fond\u00e9es sur le traitement automatis\u00e9 de ces renseignements. \u00c0 la demande de la personne, les entreprises doivent lui indiquer les donn\u00e9es pr\u00e9cises utilis\u00e9es et les principaux facteurs qui ont conduit \u00e0 ces d\u00e9cisions.<\/li>\n
- La source de l\u2019information \u2014 Si une personne le demande, les organisations doivent fournir la source utilis\u00e9e dans le cadre de la collecte de ces donn\u00e9es.<\/li>\n<\/ul>\n
<\/h2>\nLes sanctions de la Commission d\u2019acc\u00e8s \u00e0 l\u2019information (CAI) pour non-conformit\u00e9<\/strong><\/h2>\nLa Commission d\u2019acc\u00e8s \u00e0 l\u2019information du Qu\u00e9bec aura le pouvoir d\u2019imposer des sanctions pour les raisons suivantes :<\/p>\n
\n- Le non-respect de l\u2019obligation de signaler une violation de donn\u00e9es;<\/li>\n
- Le non-respect de la protection des renseignements personnels;<\/li>\n
- La collecte, l\u2019utilisation ou la diffusion illicite de renseignements;<\/li>\n
- Le non-respect de l\u2019obligation d\u2019informer les personnes.<\/li>\n<\/ul>\n
Les amendes maximales sont de 50 000 $ CA pour les particuliers et de 10 000 000 $ CA pour les entreprises, ou de 2 % du chiffre d\u2019affaires \u00e0 l\u2019\u00e9chelle mondiale pour l\u2019ann\u00e9e pr\u00e9c\u00e9dente, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu.<\/p>\n
Selon la nature du d\u00e9lit, la Commission d\u2019acc\u00e8s \u00e0 l\u2019information aura le pouvoir d\u2019engager des poursuites p\u00e9nales avec une amende maximale de 10 000 $ CA pour les personnes physiques et de 25 000 000 $ CA ou 4 % du chiffre d\u2019affaires \u00e0 l\u2019\u00e9chelle mondiale pour les soci\u00e9t\u00e9s.<\/p>\n
En cas de r\u00e9cidive, les sanctions seront doubl\u00e9es.<\/p>\n
La Loi 25 pr\u00e9voit \u00e9galement un droit d\u2019action pour les citoyens qui ont subi des dommages en raison d\u2019une atteinte \u00e0 la vie priv\u00e9e. Dans de tels cas, le tribunal pourra accorder des dommages et int\u00e9r\u00eats pour un montant minimum de 1 000 $ CA par personne.<\/p>\n
<\/p>\n
![\"Demandez](\"https:\/\/symplify.com\/wp-content\/uploads\/2022\/06\/bandeau-web-blogue-1-600x228.png\")
<\/a><\/p>\n<\/h2>\nPourquoi la Loi 25 est-elle importante et pourquoi s\u2019y conformer?<\/strong><\/h2>\nCette l\u00e9gislation repr\u00e9sente un changement d\u2019\u00e9tape pour la fa\u00e7on dont les organisations qu\u00e9b\u00e9coises proc\u00e8dent \u00e0 la collecte et \u00e0 la gestion des donn\u00e9es personnelles. Inspir\u00e9 par le RGPD de l\u2019Union europ\u00e9enne, la Loi 25 propose une protection maximale des donn\u00e9es en introduisant de nouvelles normes en mati\u00e8re de droit \u00e0 la protection des renseignements personnels et en \u00e9tablissant des normes qui d\u00e9passeront bient\u00f4t les fronti\u00e8res de la province.<\/p>\n
Voici quelques-unes des dispositions de la Loi 25 qui auront probablement une forte incidence sur les organisations op\u00e9rant au Qu\u00e9bec et au-del\u00e0 des fronti\u00e8res :<\/p>\n
\n- De lourdes sanctions en cas de non-conformit\u00e9.<\/li>\n
- Des exigences plus strictes en mati\u00e8re de protection des renseignements personnels. Cela comprend, entre autres, des \u00c9FVP obligatoires, une \u00e9valuation pour la communication de donn\u00e9es personnelles au-del\u00e0 du Qu\u00e9bec, et un consentement explicite \u00e9crit pour transf\u00e9rer les donn\u00e9es d\u2019une personne \u00e0 des fournisseurs de services ou \u00e0 des tiers.<\/li>\n<\/ul>\n
Que vous soyez au Qu\u00e9bec ou \u00e0 l\u2019ext\u00e9rieur du Qu\u00e9bec, la Loi 25 vous touchera d\u2019une fa\u00e7on ou d\u2019une autre. N\u2019oubliez pas que toutes les organisations qui traitent des renseignements personnels provenant de sources qu\u00e9b\u00e9coises doivent s\u2019assurer que leurs pratiques sont conformes \u00e0 la Loi 25.<\/p>\n
<\/p>\n
Votre entreprise ou votre OBNL est-elle pr\u00eate pour ces nouvelles modifications en mati\u00e8re de cybers\u00e9curit\u00e9?<\/strong><\/h2>\nPour demeurer pertinent et comp\u00e9titif et pour \u00e9viter les p\u00e9nalit\u00e9s, vous devrez vous pr\u00e9parer rapidement \u00e0 ces nouvelles modifications. Cela dit, voici quelques mesures que vous pouvez prendre avant qu\u2019il ne soit trop tard.<\/p>\n
1. Tout d\u2019abord, essayez de trouver des gains rapides.<\/h3>\n
Par exemple, si le marketing par courriel<\/u><\/a> et l\u2019automatisation du marketing<\/u><\/a> sont des strat\u00e9gies importantes pour votre entreprise, envisagez la plateforme d\u2019engagement client de Symplify<\/u><\/a>. Notre solution, pourvue d’outils technologiques \u00e0 la fine pointe, a \u00e9t\u00e9 con\u00e7ue en tenant compte de la confidentialit\u00e9 des donn\u00e9es. Nous sommes d\u00e9j\u00e0 conformes au RGPD et notre plateforme satisfait aux exigences de la Loi 25.<\/p>\n2. Ensuite, pr\u00e9parez-vous d\u00e8s maintenant!<\/h3>\n
Travaillez avec toutes les parties prenantes (vos \u00e9quipes de s\u00e9curit\u00e9, votre comit\u00e9 de protection des renseignements personnels, votre \u00e9quipe de conformit\u00e9 ou la personne charg\u00e9e de la protection des renseignements personnels au sein de votre entreprise) afin d\u2019\u00e9laborer des politiques qui garantiront une conformit\u00e9 totale avec les exigences ci-dessus.<\/p>\n
3. Enfin, restez connect\u00e9 avec Symplify.<\/h3>\n
Nos experts bas\u00e9s au Qu\u00e9bec continueront \u00e0 vous informer des meilleures pratiques et \u00e0 vous donner des conseils pour vous aider \u00e0 faciliter la transition avec la Loi 25.<\/p>\n
Vos acteurs cl\u00e9s doivent comprendre le contexte de cette nouvelle l\u00e9gislation, son incidence sur votre entreprise et les sanctions pr\u00e9vues en cas de non-conformit\u00e9. Vous devez imp\u00e9rativement vous pr\u00e9parer d\u00e8s maintenant afin de vous \u00e9viter de nombreux probl\u00e8mes par la suite.<\/p>\n
En 2022, les entreprises qui font des affaires au Qu\u00e9bec ont entam\u00e9 une course contre la montre afin de comprendre les exigences introduites par la Loi 25 et de les mettre en \u0153uvre.<\/p>\n
<\/p>\n
Comment se conformer \u00e0 la Loi 25? \u00c0 quel moment entre-t-elle en vigueur? Qui est soumis \u00e0 la Loi 25? Voici un r\u00e9sum\u00e9 des nouvelles obligations et les dates importantes.<\/strong><\/h2>\nLa Loi 25 apporte des modifications importantes aux lois qu\u00e9b\u00e9coises sur la protection des renseignements personnels dans le secteur priv\u00e9 et le secteur public.<\/p>\n
Bien que la Loi 25 ait \u00e9t\u00e9 officiellement adopt\u00e9e, elle sera progressivement mise en place au cours des trois prochaines ann\u00e9es. La premi\u00e8re \u00e9tape entre en vigueur 12 mois apr\u00e8s la date de la sanction.<\/p>\n
La Loi 25 sera appliqu\u00e9e par la Commission d\u2019acc\u00e8s \u00e0 l\u2019information (CAI) du Qu\u00e9bec. Voici un aper\u00e7u des trois phases.<\/p>\n
Ann\u00e9e 1 | Les dispositions de la Loi 25 qui entreront en vigueur en 2022 comprennent :<\/h3>\n\n- Les organisations doivent proc\u00e9der \u00e0 la d\u00e9signation d’une personne qui agira \u00e0 titre de responsable de la protection des renseignements personnels qui sera charg\u00e9e de la conformit\u00e9 \u00e0 la loi.<\/li>\n
- Les organisations sont tenues d\u2019informer la Commission d\u2019acc\u00e8s \u00e0 l\u2019information en cas de violation des donn\u00e9es. Les individus touch\u00e9s par toute utilisation non autoris\u00e9e de renseignements personnels doivent \u00e9galement \u00eatre inform\u00e9s.<\/li>\n<\/ul>\n
Ann\u00e9e 2 | Les dispositions de la Loi 25 qui entreront en vigueur en septembre 2023 comprennent :<\/h3>\n\n- L\u2019obligation pour chaque entreprise d\u2019\u00e9tablir et de mettre en \u0153uvre des politiques et des pratiques concernant la gouvernance des donn\u00e9es.<\/li>\n
- Les organisations doivent effectuer des \u00e9valuations des facteurs relatifs \u00e0 la vie priv\u00e9e (\u00c9FVP) pour les op\u00e9rations de traitement qui n\u00e9cessitent la collecte, la divulgation, l\u2019utilisation ou la destruction de donn\u00e9es personnelles.<\/li>\n
- Le droit pour les individus de demander aux organisations de cesser de diffuser leurs renseignements personnels et de d\u00e9sindexer tout hyperlien associ\u00e9 \u00e0 leur nom (droit \u00e0 l’oubli).<\/li>\n
- L\u2019obligation pour les organisations de d\u00e9truire les renseignements personnels une fois que l\u2019objectif pour lequel ils ont \u00e9t\u00e9 recueillis est atteint ou lorsque la dur\u00e9e de conservation requise est atteinte.<\/li>\n
- Les organisations qui transf\u00e8rent des donn\u00e9es \u00e0 des tiers doivent conclure un accord \u00e9crit avec ces derniers. L\u2019autre partie doit fournir une description des mesures prises pour pr\u00e9server la confidentialit\u00e9 des donn\u00e9es.<\/li>\n
- Les organisations doivent obtenir un consentement explicite pour utiliser les renseignements de nature d\u00e9licate des clients \u00e0 des fins secondaires.<\/li>\n
- Lors de la collecte de donn\u00e9es personnelles, les organisations doivent fournir les renseignements suivants : l\u2019objectif de la collecte, les m\u00e9thodes utilis\u00e9es pour la collecte, les droits d\u2019acc\u00e8s et de rectification ainsi que le droit de retirer le consentement.<\/li>\n<\/ul>\n
Les organisations doivent r\u00e9diger ces modifications dans un langage clair et simple et les documenter.<\/p>\n
Ann\u00e9e 3 | Les dispositions de la Loi 25 qui entreront en vigueur en 2024 comprennent :<\/h3>\n\n- La portabilit\u00e9 des donn\u00e9es \u2014 Une personne peut demander que les renseignements personnels recueillis \u00e0 son sujet lui soient communiqu\u00e9s ou soient communiqu\u00e9s \u00e0 une autre entreprise dans un format d\u00e9termin\u00e9.<\/li>\n
- Le traitement automatis\u00e9 \u2014 Obligation pour les organisations d\u2019informer les personnes lorsque leurs renseignements personnels sont utilis\u00e9s pour prendre des d\u00e9cisions fond\u00e9es sur le traitement automatis\u00e9 de ces renseignements. \u00c0 la demande de la personne, les entreprises doivent lui indiquer les donn\u00e9es pr\u00e9cises utilis\u00e9es et les principaux facteurs qui ont conduit \u00e0 ces d\u00e9cisions.<\/li>\n
- La source de l\u2019information \u2014 Si une personne le demande, les organisations doivent fournir la source utilis\u00e9e dans le cadre de la collecte de ces donn\u00e9es.<\/li>\n<\/ul>\n
<\/h2>\nLes sanctions de la Commission d\u2019acc\u00e8s \u00e0 l\u2019information (CAI) pour non-conformit\u00e9<\/strong><\/h2>\nLa Commission d\u2019acc\u00e8s \u00e0 l\u2019information du Qu\u00e9bec aura le pouvoir d\u2019imposer des sanctions pour les raisons suivantes :<\/p>\n
\n- Le non-respect de l\u2019obligation de signaler une violation de donn\u00e9es;<\/li>\n
- Le non-respect de la protection des renseignements personnels;<\/li>\n
- La collecte, l\u2019utilisation ou la diffusion illicite de renseignements;<\/li>\n
- Le non-respect de l\u2019obligation d\u2019informer les personnes.<\/li>\n<\/ul>\n
Les amendes maximales sont de 50 000 $ CA pour les particuliers et de 10 000 000 $ CA pour les entreprises, ou de 2 % du chiffre d\u2019affaires \u00e0 l\u2019\u00e9chelle mondiale pour l\u2019ann\u00e9e pr\u00e9c\u00e9dente, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu.<\/p>\n
Selon la nature du d\u00e9lit, la Commission d\u2019acc\u00e8s \u00e0 l\u2019information aura le pouvoir d\u2019engager des poursuites p\u00e9nales avec une amende maximale de 10 000 $ CA pour les personnes physiques et de 25 000 000 $ CA ou 4 % du chiffre d\u2019affaires \u00e0 l\u2019\u00e9chelle mondiale pour les soci\u00e9t\u00e9s.<\/p>\n
En cas de r\u00e9cidive, les sanctions seront doubl\u00e9es.<\/p>\n
La Loi 25 pr\u00e9voit \u00e9galement un droit d\u2019action pour les citoyens qui ont subi des dommages en raison d\u2019une atteinte \u00e0 la vie priv\u00e9e. Dans de tels cas, le tribunal pourra accorder des dommages et int\u00e9r\u00eats pour un montant minimum de 1 000 $ CA par personne.<\/p>\n
<\/p>\n
<\/a><\/p>\n<\/h2>\nPourquoi la Loi 25 est-elle importante et pourquoi s\u2019y conformer?<\/strong><\/h2>\nCette l\u00e9gislation repr\u00e9sente un changement d\u2019\u00e9tape pour la fa\u00e7on dont les organisations qu\u00e9b\u00e9coises proc\u00e8dent \u00e0 la collecte et \u00e0 la gestion des donn\u00e9es personnelles. Inspir\u00e9 par le RGPD de l\u2019Union europ\u00e9enne, la Loi 25 propose une protection maximale des donn\u00e9es en introduisant de nouvelles normes en mati\u00e8re de droit \u00e0 la protection des renseignements personnels et en \u00e9tablissant des normes qui d\u00e9passeront bient\u00f4t les fronti\u00e8res de la province.<\/p>\n
Voici quelques-unes des dispositions de la Loi 25 qui auront probablement une forte incidence sur les organisations op\u00e9rant au Qu\u00e9bec et au-del\u00e0 des fronti\u00e8res :<\/p>\n
\n- De lourdes sanctions en cas de non-conformit\u00e9.<\/li>\n
- Des exigences plus strictes en mati\u00e8re de protection des renseignements personnels. Cela comprend, entre autres, des \u00c9FVP obligatoires, une \u00e9valuation pour la communication de donn\u00e9es personnelles au-del\u00e0 du Qu\u00e9bec, et un consentement explicite \u00e9crit pour transf\u00e9rer les donn\u00e9es d\u2019une personne \u00e0 des fournisseurs de services ou \u00e0 des tiers.<\/li>\n<\/ul>\n
Que vous soyez au Qu\u00e9bec ou \u00e0 l\u2019ext\u00e9rieur du Qu\u00e9bec, la Loi 25 vous touchera d\u2019une fa\u00e7on ou d\u2019une autre. N\u2019oubliez pas que toutes les organisations qui traitent des renseignements personnels provenant de sources qu\u00e9b\u00e9coises doivent s\u2019assurer que leurs pratiques sont conformes \u00e0 la Loi 25.<\/p>\n
<\/p>\n
Votre entreprise ou votre OBNL est-elle pr\u00eate pour ces nouvelles modifications en mati\u00e8re de cybers\u00e9curit\u00e9?<\/strong><\/h2>\nPour demeurer pertinent et comp\u00e9titif et pour \u00e9viter les p\u00e9nalit\u00e9s, vous devrez vous pr\u00e9parer rapidement \u00e0 ces nouvelles modifications. Cela dit, voici quelques mesures que vous pouvez prendre avant qu\u2019il ne soit trop tard.<\/p>\n
1. Tout d\u2019abord, essayez de trouver des gains rapides.<\/h3>\n
Par exemple, si le marketing par courriel<\/u><\/a> et l\u2019automatisation du marketing<\/u><\/a> sont des strat\u00e9gies importantes pour votre entreprise, envisagez la plateforme d\u2019engagement client de Symplify<\/u><\/a>. Notre solution, pourvue d’outils technologiques \u00e0 la fine pointe, a \u00e9t\u00e9 con\u00e7ue en tenant compte de la confidentialit\u00e9 des donn\u00e9es. Nous sommes d\u00e9j\u00e0 conformes au RGPD et notre plateforme satisfait aux exigences de la Loi 25.<\/p>\n2. Ensuite, pr\u00e9parez-vous d\u00e8s maintenant!<\/h3>\n
Travaillez avec toutes les parties prenantes (vos \u00e9quipes de s\u00e9curit\u00e9, votre comit\u00e9 de protection des renseignements personnels, votre \u00e9quipe de conformit\u00e9 ou la personne charg\u00e9e de la protection des renseignements personnels au sein de votre entreprise) afin d\u2019\u00e9laborer des politiques qui garantiront une conformit\u00e9 totale avec les exigences ci-dessus.<\/p>\n
3. Enfin, restez connect\u00e9 avec Symplify.<\/h3>\n
Nos experts bas\u00e9s au Qu\u00e9bec continueront \u00e0 vous informer des meilleures pratiques et \u00e0 vous donner des conseils pour vous aider \u00e0 faciliter la transition avec la Loi 25.<\/p>\n
Vos acteurs cl\u00e9s doivent comprendre le contexte de cette nouvelle l\u00e9gislation, son incidence sur votre entreprise et les sanctions pr\u00e9vues en cas de non-conformit\u00e9. Vous devez imp\u00e9rativement vous pr\u00e9parer d\u00e8s maintenant afin de vous \u00e9viter de nombreux probl\u00e8mes par la suite.<\/p>\n
- \n
- Les organisations doivent proc\u00e9der \u00e0 la d\u00e9signation d’une personne qui agira \u00e0 titre de responsable de la protection des renseignements personnels qui sera charg\u00e9e de la conformit\u00e9 \u00e0 la loi.<\/li>\n
- Les organisations sont tenues d\u2019informer la Commission d\u2019acc\u00e8s \u00e0 l\u2019information en cas de violation des donn\u00e9es. Les individus touch\u00e9s par toute utilisation non autoris\u00e9e de renseignements personnels doivent \u00e9galement \u00eatre inform\u00e9s.<\/li>\n<\/ul>\n
Ann\u00e9e 2 | Les dispositions de la Loi 25 qui entreront en vigueur en septembre 2023 comprennent :<\/h3>\n
- \n
- L\u2019obligation pour chaque entreprise d\u2019\u00e9tablir et de mettre en \u0153uvre des politiques et des pratiques concernant la gouvernance des donn\u00e9es.<\/li>\n
- Les organisations doivent effectuer des \u00e9valuations des facteurs relatifs \u00e0 la vie priv\u00e9e (\u00c9FVP) pour les op\u00e9rations de traitement qui n\u00e9cessitent la collecte, la divulgation, l\u2019utilisation ou la destruction de donn\u00e9es personnelles.<\/li>\n
- Le droit pour les individus de demander aux organisations de cesser de diffuser leurs renseignements personnels et de d\u00e9sindexer tout hyperlien associ\u00e9 \u00e0 leur nom (droit \u00e0 l’oubli).<\/li>\n
- L\u2019obligation pour les organisations de d\u00e9truire les renseignements personnels une fois que l\u2019objectif pour lequel ils ont \u00e9t\u00e9 recueillis est atteint ou lorsque la dur\u00e9e de conservation requise est atteinte.<\/li>\n
- Les organisations qui transf\u00e8rent des donn\u00e9es \u00e0 des tiers doivent conclure un accord \u00e9crit avec ces derniers. L\u2019autre partie doit fournir une description des mesures prises pour pr\u00e9server la confidentialit\u00e9 des donn\u00e9es.<\/li>\n
- Les organisations doivent obtenir un consentement explicite pour utiliser les renseignements de nature d\u00e9licate des clients \u00e0 des fins secondaires.<\/li>\n
- Lors de la collecte de donn\u00e9es personnelles, les organisations doivent fournir les renseignements suivants : l\u2019objectif de la collecte, les m\u00e9thodes utilis\u00e9es pour la collecte, les droits d\u2019acc\u00e8s et de rectification ainsi que le droit de retirer le consentement.<\/li>\n<\/ul>\n
Les organisations doivent r\u00e9diger ces modifications dans un langage clair et simple et les documenter.<\/p>\n
Ann\u00e9e 3 | Les dispositions de la Loi 25 qui entreront en vigueur en 2024 comprennent :<\/h3>\n
- \n
- La portabilit\u00e9 des donn\u00e9es \u2014 Une personne peut demander que les renseignements personnels recueillis \u00e0 son sujet lui soient communiqu\u00e9s ou soient communiqu\u00e9s \u00e0 une autre entreprise dans un format d\u00e9termin\u00e9.<\/li>\n
- Le traitement automatis\u00e9 \u2014 Obligation pour les organisations d\u2019informer les personnes lorsque leurs renseignements personnels sont utilis\u00e9s pour prendre des d\u00e9cisions fond\u00e9es sur le traitement automatis\u00e9 de ces renseignements. \u00c0 la demande de la personne, les entreprises doivent lui indiquer les donn\u00e9es pr\u00e9cises utilis\u00e9es et les principaux facteurs qui ont conduit \u00e0 ces d\u00e9cisions.<\/li>\n
- La source de l\u2019information \u2014 Si une personne le demande, les organisations doivent fournir la source utilis\u00e9e dans le cadre de la collecte de ces donn\u00e9es.<\/li>\n<\/ul>\n
<\/h2>\n
Les sanctions de la Commission d\u2019acc\u00e8s \u00e0 l\u2019information (CAI) pour non-conformit\u00e9<\/strong><\/h2>\n
La Commission d\u2019acc\u00e8s \u00e0 l\u2019information du Qu\u00e9bec aura le pouvoir d\u2019imposer des sanctions pour les raisons suivantes :<\/p>\n
- \n
- Le non-respect de l\u2019obligation de signaler une violation de donn\u00e9es;<\/li>\n
- Le non-respect de la protection des renseignements personnels;<\/li>\n
- La collecte, l\u2019utilisation ou la diffusion illicite de renseignements;<\/li>\n
- Le non-respect de l\u2019obligation d\u2019informer les personnes.<\/li>\n<\/ul>\n
Les amendes maximales sont de 50 000 $ CA pour les particuliers et de 10 000 000 $ CA pour les entreprises, ou de 2 % du chiffre d\u2019affaires \u00e0 l\u2019\u00e9chelle mondiale pour l\u2019ann\u00e9e pr\u00e9c\u00e9dente, le montant le plus \u00e9lev\u00e9 \u00e9tant retenu.<\/p>\n
Selon la nature du d\u00e9lit, la Commission d\u2019acc\u00e8s \u00e0 l\u2019information aura le pouvoir d\u2019engager des poursuites p\u00e9nales avec une amende maximale de 10 000 $ CA pour les personnes physiques et de 25 000 000 $ CA ou 4 % du chiffre d\u2019affaires \u00e0 l\u2019\u00e9chelle mondiale pour les soci\u00e9t\u00e9s.<\/p>\n
En cas de r\u00e9cidive, les sanctions seront doubl\u00e9es.<\/p>\n
La Loi 25 pr\u00e9voit \u00e9galement un droit d\u2019action pour les citoyens qui ont subi des dommages en raison d\u2019une atteinte \u00e0 la vie priv\u00e9e. Dans de tels cas, le tribunal pourra accorder des dommages et int\u00e9r\u00eats pour un montant minimum de 1 000 $ CA par personne.<\/p>\n
<\/p>\n
<\/a><\/p>\n<\/h2>\n
Pourquoi la Loi 25 est-elle importante et pourquoi s\u2019y conformer?<\/strong><\/h2>\n
Cette l\u00e9gislation repr\u00e9sente un changement d\u2019\u00e9tape pour la fa\u00e7on dont les organisations qu\u00e9b\u00e9coises proc\u00e8dent \u00e0 la collecte et \u00e0 la gestion des donn\u00e9es personnelles. Inspir\u00e9 par le RGPD de l\u2019Union europ\u00e9enne, la Loi 25 propose une protection maximale des donn\u00e9es en introduisant de nouvelles normes en mati\u00e8re de droit \u00e0 la protection des renseignements personnels et en \u00e9tablissant des normes qui d\u00e9passeront bient\u00f4t les fronti\u00e8res de la province.<\/p>\n
Voici quelques-unes des dispositions de la Loi 25 qui auront probablement une forte incidence sur les organisations op\u00e9rant au Qu\u00e9bec et au-del\u00e0 des fronti\u00e8res :<\/p>\n
- \n
- De lourdes sanctions en cas de non-conformit\u00e9.<\/li>\n
- Des exigences plus strictes en mati\u00e8re de protection des renseignements personnels. Cela comprend, entre autres, des \u00c9FVP obligatoires, une \u00e9valuation pour la communication de donn\u00e9es personnelles au-del\u00e0 du Qu\u00e9bec, et un consentement explicite \u00e9crit pour transf\u00e9rer les donn\u00e9es d\u2019une personne \u00e0 des fournisseurs de services ou \u00e0 des tiers.<\/li>\n<\/ul>\n
Que vous soyez au Qu\u00e9bec ou \u00e0 l\u2019ext\u00e9rieur du Qu\u00e9bec, la Loi 25 vous touchera d\u2019une fa\u00e7on ou d\u2019une autre. N\u2019oubliez pas que toutes les organisations qui traitent des renseignements personnels provenant de sources qu\u00e9b\u00e9coises doivent s\u2019assurer que leurs pratiques sont conformes \u00e0 la Loi 25.<\/p>\n
<\/p>\n
Votre entreprise ou votre OBNL est-elle pr\u00eate pour ces nouvelles modifications en mati\u00e8re de cybers\u00e9curit\u00e9?<\/strong><\/h2>\n
Pour demeurer pertinent et comp\u00e9titif et pour \u00e9viter les p\u00e9nalit\u00e9s, vous devrez vous pr\u00e9parer rapidement \u00e0 ces nouvelles modifications. Cela dit, voici quelques mesures que vous pouvez prendre avant qu\u2019il ne soit trop tard.<\/p>\n
1. Tout d\u2019abord, essayez de trouver des gains rapides.<\/h3>\n
Par exemple, si le marketing par courriel<\/u><\/a> et l\u2019automatisation du marketing<\/u><\/a> sont des strat\u00e9gies importantes pour votre entreprise, envisagez la plateforme d\u2019engagement client de Symplify<\/u><\/a>. Notre solution, pourvue d’outils technologiques \u00e0 la fine pointe, a \u00e9t\u00e9 con\u00e7ue en tenant compte de la confidentialit\u00e9 des donn\u00e9es. Nous sommes d\u00e9j\u00e0 conformes au RGPD et notre plateforme satisfait aux exigences de la Loi 25.<\/p>\n
2. Ensuite, pr\u00e9parez-vous d\u00e8s maintenant!<\/h3>\n
Travaillez avec toutes les parties prenantes (vos \u00e9quipes de s\u00e9curit\u00e9, votre comit\u00e9 de protection des renseignements personnels, votre \u00e9quipe de conformit\u00e9 ou la personne charg\u00e9e de la protection des renseignements personnels au sein de votre entreprise) afin d\u2019\u00e9laborer des politiques qui garantiront une conformit\u00e9 totale avec les exigences ci-dessus.<\/p>\n
3. Enfin, restez connect\u00e9 avec Symplify.<\/h3>\n
Nos experts bas\u00e9s au Qu\u00e9bec continueront \u00e0 vous informer des meilleures pratiques et \u00e0 vous donner des conseils pour vous aider \u00e0 faciliter la transition avec la Loi 25.<\/p>\n
Vos acteurs cl\u00e9s doivent comprendre le contexte de cette nouvelle l\u00e9gislation, son incidence sur votre entreprise et les sanctions pr\u00e9vues en cas de non-conformit\u00e9. Vous devez imp\u00e9rativement vous pr\u00e9parer d\u00e8s maintenant afin de vous \u00e9viter de nombreux probl\u00e8mes par la suite.<\/p>\n