La Loi 25, en résumé
Dès qu’une entreprise collecte ou utilise des renseignements personnels pour son opération, elle doit se conformer à la Loi 25.
La Loi 25 vise à moderniser les règles protégeant les renseignements personnels au Québec afin qu’elles soient mieux adaptées aux nouveaux défis posés par l’environnement numérique et technologique actuel.
Concrètement, cette loi amène de nouvelles responsabilités aux entreprises, notamment, la désignation d’une personne responsable de la protection des renseignements personnels ainsi que l’entretien d’un registre en cas d’incident de confidentialité.
Comment se conformer à la Loi 25?
Il est impératif de poser des actions concrètes dès maintenant afin d’éviter les pénalités pour non-respect de la Loi 25.
Vous stockez des renseignements personnels pour vos opérations? Voici ce que vous devez faire :
- Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
- Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
- Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
- Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
- Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l’oubli);
- Respecter les nouvelles règles en matière de consentement, d’utilisation, d’information, de transparence et de communication des renseignements personnels.
Il existe des outils numériques pour faciliter l’implémentation des obligations de la Loi 25. Par exemple, Microsoft 365 Business Premium inclut des fonctionnalités de protection des informations pour la conformité et la confidentialité.
Ces fonctionnalités incluent les étiquettes de confidentialité, la protection contre la perte de données (DLP) et le chiffrement. Il est donc possible d’utiliser ces fonctionnalités de protection des informations pour protéger les données de l’entreprise et sécuriser les informations sensibles et les clients.