La SADC d’Abitibi-Ouest a récemment conduit un sondage au sujet de la cybersécurité et de la Loi 25 révélant que 74% des organisations répondantes de l’Abitibi-Ouest affirment ne pas connaitre ou être incertaines de leurs obligations envers la nouvelle Loi 25. Les besoins relatifs à l’application de la Loi 25 exprimés sont majoritairement reliés à la formation et la sensibilisation (65%) ainsi qu’à la mise à disposition d’outils de support (52%).
Voilà pourquoi nous voulons vous fournir des outils pertinents pour vous accompagner dans la mise en conformité de votre organisation. Tout d’abord, une mise en contexte s’impose pour comprendre l’étendu ainsi que l’importance de cette nouvelle législation.
Commençons par le point de départ: c’est quoi la Loi 25?
La Loi 25 (également appelée la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé) régit la protection des renseignements personnels au Québec et, vise à protéger la population québécoise en responsabilisant les entreprises quant aux informations personnelles qu’elles détiennent.
Cette nouvelle loi est élaborée en trois phases: une partie des nouvelles dispositions législatives de la loi 25 sont entrées en vigueur le 22 septembre 2022 et prévoit une série d’obligations auxquelles les entreprises doivent adhérer afin de protéger les renseignements personnels de leurs clients. D’autres dispositions prendront effet en 2023 et 2024. La prochaine date à retenir est le 22 septembre 2023.
La Commission d’accès à l’information (CAI) du Québec est l’organisme responsable de surveiller l’application de la loi 25. En cas de non-respect de la loi, la Commission peut imposer des sanctions importantes, s’élevant jusqu’à 25 millions de dollars ou à 4 % du chiffre d’affaires mondial de l’entreprise.
Un renseignement personnel, c’est quoi au juste?
Les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils peuvent comprendre, entre autres, le nom, adresse postale, numéro de téléphone, adresse courriel, adresse Internet (IP), âge, sexe, état civil, information sur la santé, situation financière, données de carte de crédit, etc.
Quelles sont les dispositions à prendre pour être conforme à la Loi 25?
Pour se conformer à la Loi 25, les organisations doivent prendre diverses mesures, notamment désigner un responsable de la protection des renseignements personnels, mettre en place des évaluations de la vie privée, élaborer des politiques de protection des données, signaler les atteintes à la protection des renseignements, garantir la transparence en matière de consentement et de collecte de données, intégrer des principes de confidentialité dans la technologie et les systèmes, respecter les exigences relatives aux données biométriques, et offrir de nouveaux droits aux individus concernant leurs données personnelles.
Consultez les outils de départ de notre guide pratique sur notre site Internet.