La loi 25: Quelles sont les obligations pour votre entreprise ?
Saviez-vous que la nouvelle Loi 25 du Gouvernement du Québec comporte des obligations importantes pour toutes les entreprises et organisations au Québec qui pourraient vous coûter cher si vous ne les mettez pas en application dès maintenant ? C’est pour vous soutenir dans ces nouveaux changements que le Comité de relance de la MRC de D’Autray vous propose ce petit compte-rendu des dispositions à connaître dans ce dossier.
Le Comité tactique de relance de la MRC de D’Autray est un groupe formé d’acteurs en développement économique qui ont allié leurs forces au printemps 2020 et ce, au bénéfice des entreprises du territoire. La Ville de Lavaltrie, la Chambre de commerce de Brandon, le Regroupement des gens d’affaires de Lavaltrie, la Chambre de Commerce et d’Industrie Berthier/D’Autray, la Société d'aide au développement de la collectivité (SADC) de D’Autray-Joliette et Développement Économique D’Autray (DÉA) collaborent afin de soutenir l’économie locale.
QU’EST-CE QUE LA LOI 25 ?
Il s’agit d’une réforme visant à moderniser les dispositions législatives en matière de protection des renseignements personnels. Chaque entreprise et organisation du Québec se voit affectée par cette loi et devra mettre en place des mesures particulières pour s’y conformer.
Au sein de nos entreprises et organisations, nous recueillons tous des renseignements personnels sur nos clients, partenaires, fournisseurs ou employés qui permettent de communiquer avec eux et, conséquemment, de les identifier. Ces renseignements doivent demeurer confidentiels. À une époque où les cyberattaques sont présentes dans nos milieux et où la diffusion virtuelle prend de plus en plus de place, il devient donc important de renforcer la protection des données personnelles.
On ne le dira jamais assez : il ne faut pas se fier uniquement sur les réseaux sociaux pour rejoindre notre clientèle et des partenaires d’affaires potentiels! Perdre son compte Facebook ou Instagram est fréquent de nos jours et refaire sa liste d’abonnés peut devenir un exercice laborieux. Vaut toujours mieux posséder ses propres plateformes de diffusion (site web et infolettre) et monter sa propre liste d’envois pour ne jamais perdre le contact.
QUELS SONT LES DÉLAIS D’APPLICATION DE LA LOI 25 ?
Depuis septembre 2022, votre entreprise s’est vue dans l’obligation de nommer une personne responsable de la protection des renseignements personnels au sein de votre entreprise. Le saviez-vous ? Non ? Vous n’êtes sans doute pas le seul!
Il est donc important de bien connaître les autres mesures à mettre en place d’ici septembre 2024. Il s’agira du moment-clé où le non-respect de la Loi pourrait vous valoir sanctions et amendes pouvant s’élever jusqu’à 4% de votre chiffre d’affaires ou 25 M$.
LOI 25 : QUOI FAIRE AU SEIN DE VOTRE ORGANISATION ?
Applicable depuis septembre 2022 :
Désigner une personne responsable de faire respecter la protection des renseignements personnels au sein de votre entreprise.
Identifier cette personne, son titre et ses coordonnées sur votre site internet.
Tenir un registre de tous les incidents de confidentialité.
Informer les personnes concernées en cas d’incident de confidentialité.
À mettre en place d’ici septembre 2023 :
Élaborer un cadre de gouvernance en matière de protection des renseignements personnels. Certains éléments de ce cadre de gouvernance à être établi par votre entreprise sont les suivants :
Procéder à l’inventaire des renseignements en votre possession et des différents médiums où vous les utilisez (infolettre, statistiques, répertoire de membres, etc.);
Établir une politique et des pratiques claires en matière de protection des renseignements personnels;
Indiquer les façons de faire connaître votre politique à votre équipe, vos clients, vos partenaires, vos fournisseurs;
Inclure une procédure bonifiée lorsque vous recueillez des informations personnelles (lors de l’abonnement à votre infolettre, par exemple);
Évaluer vos risques et mettre en place des méthodes pour assurer une sécurité en matière de protection des renseignements personnels notamment en ce qui concerne l’hébergement des données de vos clients, employés, fournisseurs.
En tout temps, s’assurer d’obtenir un consentement clair des personnes de qui vous obtenez les informations personnelles.
Publier votre politique et vos pratiques sur vos différents médias.
S’assurer de la destruction des renseignements personnels que vous détenez lorsque nécessaire.
Pouvoir divulguer tout incident de confidentialité à la Commission d’accès à l’information du Québec.
À ce stade, il pourrait être utile de définir un échéancier afin d’établir les différentes étapes de la mise en œuvre de ces nouvelles mesures. À première vue, ça peut sembler fastidieux, mais en mettant sur pied un calendrier s’échelonnant sur plusieurs mois, le processus vous paraîtra plus simple.
Pour plus d’explications, nous vous conseillons de consulter le guide d’accompagnement rédigé par la Commission d’accès à l’information du Québec.
À mettre en place d’ici septembre 2024 :
Être prêt à communiquer, sur demande de la personne concernée, les renseignements personnels que vous possédez à son sujet.
Nous vous invitons à consulter l’aide-mémoire préparé par le Gouvernement du Québec et à vous y référer régulièrement pendant l’instauration de vos nouvelles pratiques en matière de protection des renseignements personnels.
Les renseignements de cet article ne sont pas définitifs. Il reste de votre devoir de consulter des spécialistes juridiques afin de respecter toutes les dispositions de la Loi 25 si vous en sentez le besoin. N’hésitez pas à vous renseigner auprès de votre organisation locale qui pourra vous proposer des références vers des ressources juridiques compétentes. Elle est aussi là pour ça!
Merci à Mme Annabelle Fréchette, coordonnatrice de la Chambre de commerce Brandon, qui a rédigé cet article informatif au bénéfice des organisations de la MRC de D’Autray.