Comprendre le projet de loi 25 du Québec et ce qu'il signifie pour les PME
Le projet de loi 25, officiellement intitulé « Loi visant à moderniser les dispositions législatives en matière de protection des renseignements personnels », est une réforme majeure des lois québécoises sur la protection de la vie privée. Il renforce la protection des données personnelles, s'aligne sur les normes mondiales telles que le Règlement général sur la protection des données (RGPD) et s'applique à toutes les entreprises, y compris les petites et moyennes entreprises (PME) - un fait souvent ignoré.
Si votre entreprise recueille, utilise ou stocke des informations personnelles, vous êtes tenu de revoir vos pratiques en matière de données et de vous assurer qu'elles sont pleinement conformes aux exigences de la loi. Cette loi a été introduite progressivement de septembre 2022 à septembre 2024, et le non-respect de celle-ci peut entraîner de lourdes sanctions, pouvant aller jusqu'à 25 millions de dollars ou 4 % du chiffre d'affaires mondial.
Principales obligations des PME en vertu de la loi 25 :
-
1. Nommer un responsable de la protection des renseignements personnels
- Chaque organisation doit nommer une personne responsable de ces données. Par défaut, c'est généralement le directeur de l'entreprise qui assume cette tâche, mais une autre personne (interne ou externe) peut être désignée.
-
2. Mettez à jour et publiez votre politique de protection des renseignements personnels
- Votre politique doit expliquer clairement :
- Pourquoi et comment les données sont collectées
- Qui y a accès (par exemple, les fournisseurs ou les partenaires)
- Quels sont les droits des personnes (accès, rectification, retrait, etc.)
-
3. Obtenir un consentement clair
- Le consentement doit être spécifique et éclairé. Par exemple, les formulaires en ligne doivent comporter des cases à cocher permettant aux utilisateurs d'accepter la collecte de données.
-
4. Adopter des mesures de sécurité adéquates
- Protégez les données contre la perte, l'accès non autorisé ou les cyber-attaques :
- en utilisant des mots de passe forts et le cryptage
- en gardant les systèmes à jour
- en restreignant l'accès aux données internes
-
5. Établir des procédures pour les situations juridiques clés
- Répondre aux demandes d'accès ou de correction
- Permettre le retrait du consentement
- Traiter les plaintes relatives à la protection des renseignements personnels
- Documenter et signaler à la Commission d’accès à l’information du Québec les incidents graves liés aux données.
-
6. Réaliser des évaluations des facteurs relatifs à la vie privée (ÉFVP)
- Cette étape est requise avant de lancer de nouveaux systèmes ou projets, ou de transférer des données hors du Québec. Une évaluation des facteurs relatifs à la vie privée permet d'identifier et de gérer les risques en matière de protection des renseignements personnels.
-
7. Assurer la portabilité des données
- Lorsque des personnes demandent leurs informations, fournissez-les dans un format structuré et ouvert comme CSV, XML ou JSON, et non dans des formats verrouillés ou propriétaires comme les PDF ou les images.
En suivant ces étapes, les petites et moyennes entreprises pourront se conformer au projet de loi 25, réduire les risques juridiques et renforcer la confiance de leurs clients et de leurs partenaires. Prendre des mesures dès maintenant protège votre entreprise et la positionne comme un acteur responsable et moderne dans le marché des données d'aujourd'hui.
DEMANDEZ UNE CONSULTATION
