En définition, la Loi 25 est la Loi modernisant les dispositions législatives en matière de protection des renseignements personnels, l’objectif étant d’assurer une sécurité accrue des données numériques des Québécois·es. L’impact est direct pour tous les propriétaires de sites web. La mise en place de cette Loi est en trois étapes distinctes. Le 22 septembre 2023 étant la seconde date butoir, nous faisons dans cet article, un tour d’horizon des points à considérer afin de se conformer à ces nouvelles exigences reliées à la protection des données personnelles des utilisateurs.
Autorisation claire et transparente de l’utilisation des données
Les propriétaires de sites web doivent s’assurer d’obtenir clairement le consentement des utilisateurs avant de collecter leurs informations personnelles. Concrètement, cela revient à dire que la politique de confidentialité du site doit être facile d’accès et simple à comprendre. Elle doit expliquer, en des termes simples et en toute transparence, quels types d’informations sont recueillies, le pourquoi de leur utilisation ainsi que les tiers avec lesquels les données peuvent être partagées. L’installation d’une extension WordPress comme CookieYes peut également être mise en place pour aviser le visiteur du site web et obtenir son consentement.
Protection des données
Les propriétaires de sites web doivent mettre en place des mesures de sécurité efficaces pour la protection des données personnelles des utilisateurs. Cela peut nécessiter l’adoption de protocoles de sécurité, tels que le chiffrement des données ou l’utilisation de pare-feu. Ils doivent également mettre en place des procédures pour détecter et signaler rapidement les violations de données et s’assurer que des mesures adéquates sont prises en compte pour y remédier. Vous devrez aussi détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes. Ceci implique que tout le personnel manipulant des données personnelles doit être formé.
Désormais, vous devrez donc établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur le site web de votre organisation, la plupart du temps dans la page de politique de confidentialité qui devrait déjà être en place depuis l’année dernière.
Donc oui, il y a certaines modifications à faire sur le site web, mais ce n’est principalement que pour y communiquer de nouvelles informations. Le gros du travail est en amont, et c’est costaud!
Mettre en place des mesures d’accessibilité des données
Ces nouvelles mesures législatives renforcent aussi les droits des utilisateurs en ce qui concerne leurs données personnelles. Les propriétaires de sites web doivent inclure des procédures accessibles aux utilisateurs qui leur permettent d’exercer facilement leurs droits d’accès et de rectification sur leurs données. Ils doivent également tenir des registres précis des données collectées et être en mesure de répondre rapidement aux demandes des utilisateurs. Se conformer à cette mesure d’accessibilité requiert de désigner une personne responsable de la protection des renseignements personnels et de publier son titre et ses coordonnées sur le site web de l’organisation.
Au-delà de ces mesures à mettre en place
En résumé, les propriétaires de site web peuvent se conformer au 2e volet de la Loi 25 en mettant des informations plus explicites dans une page Politiques de confidentialité et de protection des données. Ils peuvent également installer des extensions WordPress dédiées. Mais comme nous l’avons expliqué au préalable, ces actions sont loin d’être les seules à considérer, et son relativement mineures, comparativement au travail de fond à faire pour améliorer la protection des données de manière générale.
Vous pouvez obtenir davantage d’informations sur la nouvelle réglementation directement sur le site web du gouvernement du Québec, ici, et sur le site web de la Commission d’accès à l’information du Québec, ici. Nous vous recommandons aussi de vous procurer la trousse gratuite et complète créée par Audrey Shink, présidente de la firme de cybersécurité Blue Eden, Emeline Manson, qui se spécialise dans la prévention en matière de fraude et de cybersécurité avec son entreprise CY-clic, et l’avocate Stéphanie David du cabinet Dubé Latreille Avocats.
Sachez qu’à l’agence, nous avons déjà implanté les nouveaux requis dans les sites web de plusieurs de nos clients. Si vous avez besoin d’un coup de main pour les implanter à votre tour, simplement nous contacter et nous prendrons soin de vous épauler.
À noter: cet article contient de l’information à titre indicatif seulement et ne peut remplacer un avis juridique. Chaque entreprise ou organisation a le devoir de s’assurer de sa propre conformité à la loi 25.