Collaboration de  

Si vous êtes un OBNL alors vous avez certainement entendu parler de la loi 25 ces deux derniers mois au Québec, mais savez-vous comment agir en vertu de cette loi? En fait, tous les pays de l’union européenne ont implanté le RGPD (règlement général sur la protection des données) en 2018. C'est en s'inspirant de ce règlement que la loi 25 fut créée au Québec.

La loi 25 en quelques lignes  

Depuis le 22 septembre 2022, toutes les entreprises du Québec, incluant les OBNL, doivent désormais être en mesure de démontrer leur conformité avec cette nouvelle réglementation.  Concrètement, la Loi 25 impose aux entreprises de justifier leurs modalités de collecte, d'utilisation et de gestion des données personnelles. Attention, toutes les entreprises sont concernées par ce nouveau règlement dès lors qu'elles traitent des données personnelles de citoyens québécois.

Qu’est ce que c’est que les données personnelles ? 

On entend par données personnelles : « toutes les informations qui concernent directement ou indirectement un consommateur et qui sont relatives à sa vie privée, publique ou professionnelle ». Cela peut inclure un nom, des données médicales, une adresse courriel, une adresse postale, un groupe sanguin, une adresse IP, des données financières du donateur ou du bénéficiaire, etc.

 

Les piliers de la loi 25 

La loi 25 repose sur 4 grands piliers : 

• Le droit à l’oubli : Ce droit donne à toute personne concernée le droit de réclamer au responsable du traitement l'effacement des données la concernant qui ont été collectées par le responsable du traitement.

• La transparence : Ce droit permet aux personnes concernées de recevoir des informations claires sur le mode de recueil et de traitement de leurs données.

• L’obligation de notification : En cas de violation des données, les PME et OBNL doivent informer les personnes concernées et la Commission d'accès à l'information (CAI).

• Le consentement : Aucun traitement n’est possible sans consentement.

 

Que risquent les entreprises ? 

Au Québec, dès le 22 septembre 2022, les entreprises qui ne signalent pas un incident lié à la protection de la vie privée risquent des amendes pouvant atteindre 25 millions de dollars. Il est donc essentiel de s’informer et de prendre des mesures pour se protéger. 

Comment se conformer à la loi 25   

Comme gestionnaire d’OBNL, vous pouvez mettre en place de bonnes procédures pour vous conformer à la loi. En cas de doute ou de questions, n’hésitez pas à faire appel à un spécialiste. Voici quelques conseils pratiques: 

 

1. Analysez les données que vous utilisez dans votre entreprise. Pour ce faire, utilisez un cadre ou un document Excel pour regrouper les types de données que vous recueillez dans un document unique.

2. Cartographiez vos données personnelles et classifiez les données personnelles dans un registre. Pour ce faire, vous devez conserver une documentation interne complète sur le traitement des données personnelles de vos clients et veiller à ce qu'elle soit conforme aux exigences des nouvelles obligations légales. Vous pouvez aussi vous faire aider par un expert. 

3. Réalisez une analyse d'impact en cas de fuite de ces données personnelles en utilisant des matrices ou des cadres  qui permettent de bien mesurer les impacts. Il existe plusieurs ressources en ligne permettant de le faire, par exemple, le cadre du  NIST Risk Management Framework RMF (Cadre pour l’amélioration de la cybersécurité des infrastructures critiques).

4. Mettez en place des outils pour protéger ces données comme :

   1. Installez des outils de protections (Anti-virus, Pare-feu, Sauvegarde, Surveillance/)

   2. Arrêtez d’utiliser certaines données non-nécessaires (Revoir l’architecture des logiciels, données collectées avec vos membres ou prêteurs)

   3. Déléguez la responsabilité à une firme ou procurez-vous une assurance externe en cybersécurité.

5. Désignez un responsable pour gérer et communiquer sur le traitement de vos données. Cette personne sera aussi là pour informer vos clients en cas de fuite de données. Vous pouvez assigner cette mission  à une personne interne comme vous pouvez faire appel à un expert à l’externe. 

6. Planifiez et prévoyez un plan de recouvrement en cas de fuite ou perte de données. Validez auprès de vos fournisseurs technologiques quelles sont leurs procédures et le niveau de sécurité de leurs systèmes. 

7. Continuez à suivre les changements et conditions mis en place par le gouvernement par rapport à la loi 25 pour vous assurer que vous êtes toujours conformes. Notez que la loi 25 entre progressivement en vigueur jusqu’en 2024. 

8. Continuez à communiquer auprès de vos clients et partenaires sur les changements et modalités que vous apportez sur votre politique de collecte de données. 

9. Bonus: Sensibilisez et formez vos collaborateurs / employés sur l’importance de la protection des données au sein de l’entreprise et dans leur vie privée.

 

Pour plus d’information sur la Loi 25, visitez la page du Gouvernement du Québec sur le sujet.

Pour tester vos connaissances sur la Loi 25, passez le test de Data Next Step.

 

--- publié le 8 décembre 2022