Assurer la conformité des données à la loi 25
Démontrez aux auditeurs les mesures prises pour assurer la confidentialité des informations recueillies sur les clients et les protéger contre les menaces et les accès non autorisés.
Aperçu de la loi 25
Loi 25
La Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels, communément appelée Loi 25, apporte d’importantes modifications et modernisations aux lois qui couvrent les renseignements personnels et sensibles. La loi a été sanctionnée par l’Assemblée nationale du Québec en septembre 2021 et ses dispositions entreront en vigueur en septembre 2022, septembre 2023 et septembre 2024. La loi 25 vise à offrir un contrôle plus serré des données personnelles des individus et renforce les obligations des entreprises en matière de gouvernance, de transparence et de conformité.
Entreprises impactées
Toutes les organisations situées dans la province du Québec, qu’elles soient privées ou publiques, sont tenues de respecter les règles énoncées dans la loi 25. Cela s’applique à tous les types d’organisations, des petites startups aux grandes entreprises, et inclut toute organisation qui traite, utilise ou partage les informations personnellement identifiables (PII) de ses parties prenantes. Il est important pour ces organisations de s’assurer du respect de la loi 25 afin d’éviter des conséquences potentielles telles que des pertes financières, une atteinte à leur réputation et des poursuites judiciaires.
Types de données couvertes
La loi 25 couvre toutes les informations personnelles identifiables (PII), y compris les données sensibles, que possèdent les organisations au Québec. Les informations personnelles sont toutes les informations qui peuvent être utilisées pour identifier un individu, comme un nom, une adresse, un numéro de téléphone, une adresse électronique ou un numéro de sécurité sociale. Il peut s’agir de renseignements démographiques, comme l’âge, le sexe, la race ou le niveau de revenu, ainsi que de renseignements financiers, comme les numéros de compte bancaire ou les renseignements relatifs aux cartes de crédit.
Les informations personnelles sensibles sont un sous-ensemble d’informations personnelles qui sont particulièrement sensibles ou privées, et peuvent être plus vulnérables à une mauvaise utilisation ou à un abus. Les informations personnelles sensibles nécessitent une protection et une attention supplémentaires car elles sont plus étroitement liées à l’identité d’une personne et peuvent être plus difficiles à modifier ou à protéger en cas de violation des données ou d’un autre incident de sécurité.
Exigences de conformité
La loi 25 donnera aux citoyens un plus grand contrôle sur leurs informations personnelles. La mise en œuvre de cette loi nécessitera plusieurs actions au cours des 36 prochains mois.
Septembre 2022
- Désigner un responsable de la protection de la vie privée.
- Créer ou mettre à jour les politiques et pratiques régissant la gouvernance des renseignements personnels.
- Mettre en place un journal des incidents de confidentialité et un processus de notification.
- Disposer d’un inventaire des renseignements personnels de l’organisation.
- Mettre en œuvre un programme de formation sur la protection de la vie privée.
Septembre 2023
- Mettre à jour les politiques et les pratiques en matière de conservation, de destruction et de dépersonnalisation des informations personnelles.
- Mettre en place une procédure de plainte relative à la protection de la vie privée
- Publier les politiques et procédures régissant la gouvernance des renseignements personnels sur le site Web de l’organisation.
- Introduire une politique et un processus d’évaluation des facteurs relatifs à la vie privée (« PIA »).
- Mettre en place un processus d’obtention du consentement pour collecter, conserver, utiliser ou divulguer des informations personnelles.
- Mettre en place un processus de destruction ou de dépersonnalisation et appliquer le droit à l’oubli tout au long du cycle de vie de ces informations.
Septembre 2024
- Mettre en œuvre des mesures visant à faciliter le droit à la portabilité des données.
Mise en oeuvre et sanctions
Si une organisation ne respecte pas les règles énoncées dans la loi 25, elle risque de subir diverses conséquences négatives, notamment des pertes financières, une atteinte à sa réputation et des actions en justice. La Commission d’accès à l’information du Québec (CAI) a le pouvoir d’imposer des pénalités à toute organisation qui ne se conforme pas à la loi 25. Ces pénalités peuvent prendre la forme de sanctions administratives, qui peuvent atteindre jusqu’à 10 millions de dollars ou 2 % des revenus de l’entreprise, ou de sanctions judiciaires, qui peuvent atteindre jusqu’à 25 millions de dollars ou 4 % des revenus de l’entreprise.
Six façons dont Qohash favorise la conformité
Demandez une démonstration
Découvrez comment vous pouvez tenir un inventaire des données réglementées par la loi 25 et fournir aux autorités réglementaires la preuve d’une surveillance des données en continu, du traitement des demandes de droit à l’oubli aux points d’extrémité et de l’application des politiques.