Loi C-25 au Québec, comment faire et quoi faire?

On parle beaucoup de la loi C-25 en parler c’est bien, agir c’est mieux.

Afin de se conformer aux nouvelles dispositions de la loi C-25 qui entre en vigueur progressivement le 22 septembre 2023 jusqu’en 2024, notre partenaire Normi a développé un plugin pour les sites montés sous WordPress qui permet en quelques clics d’automatiser les tâches et obligations liées à cette loi.

Les sites sous Wix et Shopify pourront utiliser le plugin dans les prochaines semaines.

L’installation très simple et rapide permettra d’avoir l’esprit tranquille et de s’assurer d’être en conformité.

 

Pour rappel, en quoi consiste la loi C-25

La Commission d’accès à l’information du Québec a rappelé aujourd’hui l’entrée en vigueur de certaines dispositions de la Loi C-25 modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, également connue sous le nom de Loi 25.

Cette réforme vise à mettre à jour les règles de protection des renseignements personnels au Québec pour mieux répondre aux nouveaux défis posés par l’environnement numérique et technologique actuel.

Les principales obligations imposées aux entreprises comprennent la désignation d’une personne responsable de la protection des renseignements personnels, la publication de ses coordonnées sur le site Internet de l’entreprise, la tenue d’un registre des incidents de confidentialité et la prise de mesures en cas d’incident, ainsi que la divulgation préalable à la Commission de la vérification ou de la confirmation d’identité par des caractéristiques biométriques.

De plus, de nouvelles règles s’appliquent à la communication de renseignements personnels sans le consentement de la personne concernée dans le cadre de transactions commerciales, d’études, de recherches ou de productions de statistiques.

Les organismes publics devront également former un comité sur l’accès à l’information et la protection des renseignements personnels.

Ces modifications seront mises en place progressivement sur une période de trois ans, jusqu’en 2024, avec la prochaine date importante étant le 22 septembre 2023.

La Commission encourage les entreprises à consulter un aide-mémoire pour les aider à se conformer à ces nouvelles obligations et à mieux protéger les renseignements personnels. Plusieurs organisations, dont le Barreau du Québec, le Conseil québécois du commerce de détail, et d’autres, collaborent à la diffusion d’informations sur ces nouvelles règles.

Voici un résumé des points clés de la loi C-25 :

Entrée en vigueur le 22 septembre 2022 :

• Les entreprises doivent désigner une personne responsable de la protection des renseignements personnels et publier ses coordonnées sur leur site Internet ou par tout autre moyen approprié.
• En cas d’incident de confidentialité impliquant des renseignements personnels, les entreprises doivent prendre des mesures pour réduire les risques de préjudice, aviser la Commission et la personne concernée en cas de risque sérieux, et tenir un registre des incidents.

Entrée en vigueur le 22 septembre 2023 :

En plus des obligations précédentes, les entreprises doivent également :

• Établir des politiques de gouvernance des renseignements personnels et les publier de manière claire sur leur site Internet ou par tout autre moyen approprié.
• Effectuer une évaluation des facteurs relatifs à la vie privée lorsque la loi l’exige, notamment avant de communiquer des renseignements personnels en dehors du Québec.
• Respecter de nouvelles règles de consentement pour la collecte, la communication et l’utilisation des renseignements personnels.
• Détruire ou anonymiser les renseignements personnels une fois que leur finalité de collecte est accomplie, conformément aux délais de conservation prévus par la loi.
• Respecter de nouvelles obligations d’information et de transparence envers les citoyens.
• Suivre de nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée.
• Se conformer aux nouvelles règles de communication de renseignements personnels en dehors du Québec.
• Respecter les nouvelles règles d’utilisation des renseignements personnels.
• Configurer par défaut des paramètres assurant un haut niveau de confidentialité pour les produits ou services technologiques.
• Respecter les nouvelles règles de collecte de renseignements personnels concernant les mineurs.
• Reconnaître le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (droit à l’oubli).
• Se conformer aux nouvelles règles de communication de renseignements personnels facilitant le processus de deuil.

Entrée en vigueur le 22 septembre 2024 :

Les entreprises devront répondre aux demandes de portabilité des renseignements personnels.

Pour se conformer à ces nouvelles obligations de la loi C-25, il est recommandé d’agir dès maintenant en désignant un responsable de la protection des renseignements personnels, en établissant des politiques de gouvernance, en effectuant des évaluations des facteurs relatifs à la vie privée, en mettant en place des pratiques de consentement et de protection des données, et en préparant les systèmes informatiques pour la portabilité des renseignements personnels.