Loi 25, préparez votre conformité.

Accompagnement de conformité à la Loi 25

Protégez vos données personnelles et soyez en conformité avec la Loi 25 en toute simplicité grâce à notre boîte à outils clé-en-main Microsoft 365 et notre accompagnement en cybersécurité.
Contactez-nous

Votre conformité à la Loi 25 au Québec, accompagnée par notre expertise

facilité de mise en conformité

Facilité de mise en conformité

Avec notre boîte à outils clé-en-main, vous pouvez facilement vous conformer aux exigences de conformité de la Loi 25.

automatisation

Automatisation de votre conformité

Grâce aux différents outils de gestion documentaire de notre boîte à outils, vous pourrez automatiser les tâches liées à votre mise en conformité.

expertise en cybersécurité

Expertise en cybersécurité

Nos heures de consultation avec un spécialiste en cybersécurité vous permettent d’être conseillé pour protéger vos précieuses données.

Un accompagnement aux petits oignons ! 👌

La boîte à outils clé-en-main intégrée à Microsoft 365

Notre boîte à outils clé-en-main intégrée à Microsoft 365, développée en collaboration avec le collectif d’avocats Delegatus, vous fournit tous les outils nécessaires pour que vous soyez conforme aux exigences de conformité de de la Loi 25.

Notre boîte à outils clé-en-main contient un Site SharePoint d’incidents de confidentialité-sécurité.

Notre accompagnement comprend également un survol de la boîte à outils pour fin de formation du ou des responsable(s) et 5 heures d’accompagnement avec un spécialiste en cybersécurité pour s’assurer que vos données soient bien protégées.

Pour tout achat de la boîte à outils, une session de consultation avec une avocate spécialisée du collectif d’avocats Delegatus est inclue.

L’inventaire de vos renseignements personnels peut être une étape longue et fastidieuse. Pour cette raison, nous vous proposons deux options selon le degré de complexité de cette tâche au sein de votre organisation : l’option manuelle ou l’option automatisée. Découvrez plus de détails ci-dessous.

Option manuelle

Les registres Microsoft Lists des incidents de confidentialité-sécurité vous permettront de répertorier tout incident lié à la confidentialité des données et à la sécurité.

Chaque champs a été étudié pour répondre aux besoins de conformité à la Loi 25.

Option automatisée :

Microsoft Purview vous permet de classer, protéger et réguler leurs informations sensibles. Il vous permet, entre autres, d’automatiser et d’optimiser le processus d’inventaire de ces données.

Voici les avantages à choisir Microsoft Purview pour l’inventaire de vos renseignements personnels

  • Classification automatique et manuelle: Purview utilise des modèles d’apprentissage automatique pour identifier automatiquement les types de données sensibles (PII) dans vos fichiers, tels que les noms, les adresses, les numéros de téléphone, etc. Vous pouvez également créer des étiquettes personnalisées pour catégoriser d’autres types d’informations spécifiques à votre organisation.
  • Protection des données: Une fois les données identifiées, Purview peut appliquer des politiques de protection pour limiter l’accès, la copie ou le partage de ces informations. Cela vous permet de vous assurer que les renseignements personnels sont manipulés de manière sécurisée et conforme à la loi.
  • Suivi des activités: Purview vous offre une visibilité complète sur l’utilisation de vos données, en vous permettant de suivre les accès, les modifications et les transferts de fichiers. Cela vous aide à détecter les activités suspectes et à mener des enquêtes en cas d’incident.
  • Rapports et analyses: Purview génère des rapports détaillés sur l’état de votre environnement de données, vous permettant d’évaluer votre conformité à la Loi 25 et d’identifier les domaines où des améliorations sont nécessaires.
  • Procédure de gestion des incidents de confidentialité impliquant un renseignement personnel
  • Procédure de gestion des incidents de cybersécurité
  • Modèle d’avis pour informer par écrit toute personne concernée par un incident de confidentialité
  • Modèle d’avis à la Commission d’accès à l’information (CAI)
  • Grille d’analyse pour déterminer si l’incident présente un risque de préjudice sérieux
  • Modèle de délégation du responsable et de ses obligations juridiques

  • Programme de protection des renseignements personnels
  • Politique cadre sur la protection des renseignements personnels
  • Directive sur la collecte, l’utilisation et la communication des renseignements personnels
  • Directive sur la conservation et la destruction des renseignements personnels
  • Procédure sur la gestion des demandes et des plaintes relatives aux renseignements personnels
  • Directive relative aux mesures de sécurité physiques, techniques et organisationnelles des renseignements personnels
  • Politique de confidentialité pour le site Internet
  • Annexe contractuelle à joindre à un contrat de service pour prévoir la protection des renseignements personnels
  • Convention de traitement des données à titre de modèle d’entente de traitement des renseignements personnels par un fournisseur
  • Guide d’évaluation des facteurs relatifs à la vie privée
  • Modèle de rapport d’évaluation des facteurs relatifs à la vie privée

 

Grâce à ce formulaire Forms, toute personne ayant un motif raisonnable de croire que s’est produit un incident de confidentialité impliquant un renseignement personnel détenu par l’organisation pourra aviser le Responsable de la protection des renseignements personnels.

Nos collaborateurs du collectif d’avocats Delegatus ont créés plusieurs capsules vidéos pour mieux comprendre en quoi consiste la Loi 25. On y aborde les termes clés (renseignements personnels, incidents de confidentialité-sécurité, responsable de la protection des renseignements personnels …), mais aussi les différentes phases de la Loi 25.

Une bonne gestion des renseignements personnels passe par une cybersécurité optimale pour garantir qu’aucun intrus ne puisse venir dérober vos précieuses données. Notre équipe saura vous conseiller pour adopter une attitude proactive face aux risques inhérents.

  • Présenter et clarifier la gestion des incidents
  • Répondre aux questions et interrogations relatives à la gestion des incidents
  • Préciser les prochaines étapes de conformité à la Loi 25 pour votre organisation

* Jusqu’à concurrence de 5h

En raison des implications légales liées à cette conformité, notre accompagnement inclut une consultation de 45 minutes avec une avocate spécialisée.

Pourquoi se faire accompagner par des professionnels de la cybersécurité pour se conformer à la Loi 25?

La Loi 25 modernise les dispositions législatives en matière de protection des renseignements personnels. Elle a pour but d’offrir aux utilisateurs un meilleur contrôle sur leurs renseignements personnels.

Pour se conformer aux exigences la Loi 25, les organisations doivent mettre en place plusieurs mesures de manière graduelle.
3 phases s’échelonnent en septembre 2022, septembre 2023 et septembre 2024.

Questions fréquentes

Découvrez ci-dessous les questions fréquentes liées à la Loi 25 au Québec.

La Loi 25 est une loi québécoise qui renforce la protection des renseignements personnels. Elle impose de nouvelles obligations aux entreprises pour mieux protéger les données de leurs clients. En d’autres mots, c’est une mise à jour importante des règles sur la confidentialité au Québec.

Les principaux changements apportés par la Loi 25 incluent :

  • Consentement plus clair: Les entreprises doivent obtenir un consentement explicite et éclairé pour collecter et utiliser vos données personnelles.
  • Droit à l’oubli: Vous pouvez demander à une entreprise de supprimer vos données si elles ne sont plus nécessaires.
  • Responsabilité accrue: Les entreprises doivent mettre en place des mesures de sécurité rigoureuses pour protéger vos données.

En résumé, la Loi 25 vise à vous donner plus de contrôle sur vos données personnelles et à renforcer la confiance dans le secteur privé.

La Loi 25, officiellement intitulée « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels », est une loi québécoise adoptée en 2021 qui vise à renforcer la protection des données personnelles des citoyens. Cette loi apporte des modifications significatives aux lois existantes sur la protection des renseignements personnels, tant dans le secteur public que privé.

Les principaux objectifs de la Loi 25 sont les suivants:

  • Renforcer la protection des renseignements personnels: La loi vise à donner aux individus un plus grand contrôle sur leurs données personnelles et à les protéger contre les utilisations abusives.
  • Moderniser le cadre juridique: La Loi 25 adapte la législation québécoise aux nouvelles réalités technologiques et aux évolutions en matière de protection des données à l’échelle internationale, notamment en s’inspirant du Règlement général sur la protection des données (RGPD) de l’Union européenne.
  • Responsabiliser les organisations: La loi impose de nouvelles obligations aux organisations qui collectent, utilisent ou communiquent des renseignements personnels, les incitant à adopter des pratiques plus sécuritaires et transparentes.

Les principaux changements introduits par la Loi 25 comprennent:

  • Le consentement: La loi exige un consentement libre, éclairé et spécifique pour la collecte, l’utilisation et la communication des renseignements personnels.
  • Les droits des individus: Les individus disposent de droits plus étendus, tels que le droit d’accès, de rectification, d’opposition et à la portabilité de leurs données.
  • Les obligations des organisations: Les organisations doivent mettre en place des mesures de sécurité adéquates, désigner un responsable de la protection des renseignements personnels et effectuer des évaluations des facteurs relatifs à la vie privée.
  • Les sanctions: La loi prévoit des sanctions administratives pécuniaires et des amendes pénales importantes pour les organisations qui ne respectent pas ses dispositions.

En résumé, la Loi 25 est une avancée majeure en matière de protection des données personnelles au Québec. Elle vise à assurer un meilleur équilibre entre les besoins des organisations et les droits des individus en matière de protection de leurs données.

La Loi 25 impose de nouvelles obligations en matière de protection des renseignements personnels. Pour rédiger une politique de confidentialité conforme, il est essentiel de couvrir les éléments suivants :

  • Identification de l’organisme: Indiquez clairement le nom de votre entreprise et les coordonnées pour contacter votre responsable de la protection des renseignements personnels.
  • Finalités de la collecte: Expliquez de manière simple et directe pourquoi vous collectez les données de vos clients (par exemple, pour traiter une commande, envoyer des courriels promotionnels, etc.).
  • Types de données collectées: Listez les informations que vous recueillez (nom, adresse courriel, historique d’achat, etc.).
  • Destinataires des données: Indiquez à qui vous transmettez les données (partenaires, sous-traitants, etc.).
  • Durée de conservation: Précisez pendant combien de temps vous conservez les données.
  • Mesures de sécurité: Décrivez les mesures techniques et organisationnelles mises en place pour protéger les données (par exemple, cryptage, pare-feu, etc.).
  • Droits des individus: Informez les individus de leurs droits (accès, rectification, opposition, etc.) et de la procédure à suivre pour les exercer.
  • Consentement: Expliquez comment vous obtenez le consentement de vos clients et comment ils peuvent le retirer.
  • Transferts de données: Si vous transférez des données à l’étranger, indiquez les mesures de protection mises en place.

La phase 3 de la Loi 25 représente la dernière étape de la mise en œuvre de cette loi majeure sur la protection des renseignements personnels au Québec. Elle marque une évolution significative dans la manière dont les organisations doivent gérer et protéger les données personnelles de leurs clients.

Principales caractéristiques de la phase 3:

  • Droit à la portabilité des données : C’est l’élément le plus marquant de cette phase. Les individus auront le droit de recevoir une copie de leurs données personnelles dans un format structuré, couramment utilisé et lisible par machine. Cela leur permettra de transférer ces données facilement d’un service à un autre.   
  • Renforcement des mesures de sécurité: Les organisations devront mettre en place des mesures de sécurité encore plus robustes pour protéger les données personnelles, notamment en ce qui concerne la prévention des atteintes à la sécurité et la gestion des incidents.
  • Simplification des procédures administratives: La Commission d’accès à l’information (CAI) prévoit de simplifier certaines procédures administratives liées à l’application de la Loi 25.

Pourquoi cette phase est-elle importante ?

  • Autonomisation des individus: Le droit à la portabilité des données donne aux individus un plus grand contrôle sur leurs données personnelles, leur permettant de choisir les services qu’ils utilisent et de limiter la dépendance envers une seule entreprise.
  • Stimulation de la concurrence: La portabilité des données devrait favoriser la concurrence en permettant aux consommateurs de changer plus facilement de fournisseur.
  • Amélioration de la protection des données: Les mesures de sécurité renforcées contribueront à réduire les risques d’atteintes à la sécurité et à protéger les données personnelles des individus.

En résumé, la phase 3 de la Loi 25 marque une étape importante dans l’évolution de la protection des renseignements personnels au Québec. Elle confère aux individus de nouveaux droits et impose aux organisations de nouvelles obligations en matière de sécurité des données.

La Loi 25 sur la protection des renseignements personnels au Québec prévoit des amendes significatives pour les entreprises qui ne respectent pas ses dispositions. Ces sanctions ont pour but d’inciter les organisations à prendre au sérieux leurs obligations en matière de protection des données personnelles.

Les amendes peuvent atteindre des montants considérables et varient en fonction de la gravité de l’infraction.

Voici un aperçu des différentes catégories d’amendes prévues par la Loi 25 :

  • Amendes administratives pécuniaires:
    • Montant: Jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé.   
    • Pour quelles infractions: Ces amendes sont imposées pour des infractions moins graves, comme des manquements aux obligations de tenue de registres ou des retards dans la réponse aux demandes d’accès.
  • Amendes pénales:
    • Montant: Jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires mondial de l’exercice financier précédent, si ce dernier montant est plus élevé. 
    • Pour quelles infractions: Ces amendes plus sévères sont réservées aux infractions plus graves, comme la collecte de données personnelles sans consentement ou la divulgation illégale de données.
  • Dommages-intérêts punitifs:
    • Montant: Au moins 1 000 $.
    • Pour quelles infractions: Ces dommages-intérêts sont accordés pour les infractions intentionnelles ou résultant d’une faute lourde. Ils ont pour but de punir le contrevenant et de dissuader d’autres entreprises de commettre des infractions similaires.

Les facteurs qui peuvent influer sur le montant de l’amende incluent:

  • La nature de l’infraction: Les infractions les plus graves entraînent généralement des amendes plus élevées.
  • Les dommages causés: Les conséquences de l’infraction sur les individus dont les données ont été compromises peuvent également être prises en compte.
  • La taille de l’entreprise: Les grandes entreprises sont généralement passibles d’amendes plus élevées.
  • La récidive: Les entreprises qui ont déjà été sanctionnées pour des infractions similaires peuvent faire l’objet d’amendes plus sévères.

Il est important de noter que les amendes ne sont pas les seules conséquences possibles d’une non-conformité à la Loi 25. Les entreprises peuvent également faire face à une atteinte à leur réputation, à des pertes de clients et à des poursuites judiciaires.

La fonction de responsable des renseignements personnels (RRP) est un rôle crucial instauré par la Loi 25 au Québec. Cette personne est chargée de veiller au respect des obligations en matière de protection des renseignements personnels au sein d’une organisation.

Rôle du responsable des renseignements personnels

Les responsabilités du RRP sont multiples et variées. Il ou elle doit notamment :

  • Sensibiliser les employés aux enjeux liés à la protection des renseignements personnels.
  • Élaborer et mettre en œuvre des politiques et des procédures de protection des données.
  • Effectuer des évaluations des facteurs relatifs à la vie privée.
  • Gérer les demandes d’accès, de rectification ou d’opposition des individus.
  • Collaborer avec la Commission d’accès à l’information du Québec (CAI).
  • Assurer la conformité de l’organisation aux dispositions de la Loi 25.

Qui doit assumer cette fonction ?

Selon la Loi 25, toute personne qui exploite une entreprise est responsable de la protection des renseignements personnels qu’elle détient. Cela signifie que la personne ayant la plus haute autorité dans l’organisation doit ultimement veiller au respect de la loi.

Cependant, cette fonction peut être déléguée, en tout ou en partie, à une autre personne. Il est fréquent de désigner un employé ayant des connaissances en droit, en technologie ou en gestion des risques pour occuper ce poste.

Pourquoi désigner un RRP ?

  • Expertise: Le RRP apporte une expertise spécifique en matière de protection des données.
  • Responsabilisation: La désignation d’un RRP démontre l’engagement de l’organisation envers la protection des renseignements personnels.
  • Coordination: Le RRP coordonne les efforts de l’organisation pour assurer la conformité à la loi.

En résumé, le responsable des renseignements personnels joue un rôle essentiel dans la mise en œuvre de la Loi 25. En désignant un RRP, les organisations démontrent leur engagement envers la protection des données personnelles et réduisent les risques de sanctions.

La Loi 25 a considérablement renforcé les droits des individus en matière de protection des renseignements personnels. En parallèle, elle a introduit de nouvelles obligations pour les organisations, notamment en ce qui concerne l’accès à l’information.

Qu’est-ce que cela signifie pour une entreprise ?

  • Droit des individus à l’information : Les individus ont désormais le droit de demander à une organisation de leur communiquer les renseignements personnels qu’elle détient à leur sujet. Ils peuvent également demander la rectification ou la suppression de ces données.
  • Obligations de l’entreprise : L’organisation doit répondre à ces demandes dans un délai raisonnable et lui fournir les renseignements demandés, sauf exceptions prévues par la loi.
  • Tenue de registres : L’organisation doit tenir un registre des activités de traitement des renseignements personnels. Ce registre doit contenir des informations sur les catégories de renseignements personnels collectés, les finalités du traitement, les destinataires des données, etc. Ce registre peut être requis lors d’une demande d’accès à l’information.
  • Transparence : L’organisation doit être en mesure de justifier les traitements de données qu’elle effectue et de démontrer qu’elle respecte les principes de la Loi 25.

Notre engagement

Notre équipe de professionnels certifiés en cybersécurité travaillera en collaboration avec vous pour instaurer et maintenir la sécurité informatique qui répond à vos besoins.

Bernard Després

Directeur pratique sécurité et audits

Des nouvelles du monde des TI