La loi 25 modernise les dispositions législatives en matière de protection des renseignements personnels. Elle a pour but d’offrir aux utilisateurs un meilleur contrôle sur leurs renseignements personnels. 

Pour se conformer aux exigences de cette loi, les organisations devront mettre en place plusieurs mesures. La loi entrera graduellement en vigueur selon 3 phases qui s’échelonneront sur 3 années, de septembre 2022 à septembre 2024, afin de laisser le temps aux organisations de mettre en place ces changements majeurs. 

Voyons ensemble ces 3 grandes étapes afin de clarifier les aspects à couvrir pour chacune d’entre elles et vous préparer au mieux !   

Étape 1 : Septembre 2022 

Pour le mois de septembre 2022, les points suivants devront être couverts par votre organisation :  

• Identifier une personne ressource responsable de la protection des renseignements personnels. Le titre et les coordonnées du responsable devront être publiés sur le site internet de l’organisation, et/ou accessibles aux personnes qui le souhaitent.
• Développer les politiques et pratiques encadrant la gouvernance des renseignements personnels. Chaque organisation devra établir et mettre en œuvre une politique et des pratiques afin d’encadrer leur gouvernance à l’égard des renseignements personnels. Ces termes doivent être accessibles aux personnes qui le souhaitent via le site internet ou autres supports.
• Créer un registre des incidents de confidentialité et un processus de notification. Ce registre devra répertorier tous incidents liés à la confidentialité des données et être communiqué à la Commission d’accès à l’information sur demande.
• Effectuer l’inventaire des espaces de dépôts et des renseignements personnels de l’organisation
• Implanter un programme de formation sur la protection des renseignements personnels 

Étape 2 : Septembre 2023 

Pour le mois de septembre 2023, voici les points qui devront être mis en place :  

• Effectuer une mise à jour des politiques et des pratiques encadrant le cycle de vie de la donnée : conservation, destruction, anonymisation des renseignements personnels
• Développer un processus de traitement des plaintes liés à la protection des renseignements personnels
• Rendre public les éléments clés de la gouvernance encadrant la protection des renseignements personnels
• Développer une politique et un processus d’évaluation des facteurs relatifs à la vie privée pour le traitement des renseignements personnels
• Développer un processus de cueillette du consentement pour recueillir, détenir, utiliser ou communiquer des renseignements personnels
• Mettre en place un processus pour désindexer 

Étape 3 : Septembre 2024 

En septembre 2024 nous arrivons à la fin du processus de la loi 25. 

• Mettre en place des mesures facilitant le droit à la portabilité des données. 
  Si un individu vous demande d’avoir accès à ses données il doit pouvoir y avoir accès dans un format simple et compréhensible.
   

En bref 

La loi 25 vient avec son lot de changements et nécessite des adaptations au sein de votre organisation afin de s’y conformer. Le fait que cette loi entre graduellement en vigueur est volontaire pour permettre à chaque organisation de valider étapes par étapes le processus des exigences de façon progressive.  

Cette loi n’est pas à prendre à la légère, ne pas se conformer à ces règles pourraient vous coûter cher d’un point de vue financier et pénal. 

Vous souhaitez bénéficier d’un accompagnement de conformité à la Loi 25 ? N’hésitez pas à contacter notre équipe pour plus d’informations. Nos experts sauront vous accompagner dans votre processus vers une conformité optimale.