Préparez-vous aux impacts de la Loi 25 sur votre site web
Avec les innovations technologiques qui se succèdent à la vitesse grand V, notamment sur le web, une bonification de la Loi 25 est en cours pour protéger l’empreinte numérique des internautes québécois·es. Qu’est-ce que cela implique pour votre entreprise et votre stratégie marketing?
Pour relever de tels nouveaux défis, la première étape est de savoir à quelles modifications s’attendre – et comment s’y préparer. Voici notre panorama sur le sujet.
Qu’est-ce que la Loi 25, et quels sont ses nouveaux standards?
D’abord, une définition: la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aussi appelée Loi 25, établit de nouvelles responsabilités et obligations en matière de protection de la vie privée, notamment pour les entreprises. Son objectif? Renforcer la sécurité des données informatisées des Québécois·es.
La Loi 25 s’applique aux sites web et différents canaux numériques, visant l’encadrement des façons de recueillir, de stocker et d’utiliser ces renseignements personnels. Parmi les données concernées, on retrouve par exemple le nom, l’âge, le revenu, le statut social, les opinions et les intentions d’achat de biens ou de services.
À lire aussi : Lancement de site web: 12 aspects à vérifier avant de faire le saut
Panorama des nouveaux standards de la Loi 25
Entrant progressivement en vigueur, certains éléments sont applicables depuis 2022, mais les plus grands changements sont à prévoir dès septembre 2023, puis septembre 2024.
Standards en vigueur depuis l’automne 2022 (entre autres):
- Nommer à l’interne une personne responsable de la protection des renseignements personnels, qui doit être identifiée comme telle sur votre site web (où ses coordonnées doivent être accessibles).
- Mettre sur pied un registre des incidents et, en cas de fuite de renseignements personnels, avoir établi une marche à suivre clairement définie.
- Réaliser une évaluation des facteurs relatifs à la vie privée (EFVP), une procédure gouvernementale visant l’identification préventive des risques et la mise en place de stratégies minimisant ou évitant ces risques.
Standards en vigueur dès septembre 2023 (entre autres):
- Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels, qui doivent être facilement accessibles et compréhensibles par les internautes. Il faudra organiser la gestion de ces données à chaque étape de leur cycle de vie: de leur collecte à leur utilisation et communication jusqu’à leur conservation et destruction.
- Publier votre politique de confidentialité dans une forme claire et détaillée sur votre site web – ainsi que les coordonnées pour joindre votre personne-ressource à l’interne.
- Respecter de nouvelles règles de consentement: pour la collecte, la communication et l’utilisation des renseignements personnels. Autrement dit, vous devrez notamment expliquer les objectifs de votre collecte de données, les différents droits d’accès à celles-ci et le droit de retrait de consentement des usager·ères.
Standards en vigueur à partir de septembre 2024 (entre autres):
- Garantir le droit à la portabilité des données (c’est-à-dire la possibilité pour les internautes de récupérer dans un format accessible une partie de leurs renseignements recueillis).
- Fournir sur demande la source utilisée pour recueillir des informations sur les usager·ères.
Le mot d’ordre: conserver et renforcer la confiance des internautes et de votre clientèle envers votre entreprise. En toute transparence!
Quelles sont les sanctions possibles?
Les conséquences prennent surtout la forme de pénalités financières. Les entreprises privées risquent soit une somme allant de 2 à 4% de leurs ventes, soit entre 15 000$ et 25 000 000$ (selon le montant le plus élevé).
Et c’est sans parler des risques de faire face à une responsabilité supplémentaire en vertu du Code civil du Québec ou des sanctions en lien avec la Charte canadienne du numérique!
Les changements à apporter à votre site web
Le cadre législatif dépasse la seule question de votre site web, mais il n’en demeure pas moins que des actions précises doivent être posées pour assurer la conformité de votre vitrine numérique.
Créer (ou mettre à jour) votre politique de confidentialité et la publier
Vous devez informer les visiteur·euses de votre site web sur la collecte, l’utilisation, la conservation et la divulgation des renseignements personnels que vous recueillez. Vous devez également expliquer les raisons pour lesquelles ces renseignements sont collectés et comment ils seront utilisés.
Obtenir le consentement éclairé
Il faut attendre le consentement explicite des internautes qui visitent votre site web avant de recueillir leurs renseignements personnels. Ce consentement doit être libre, éclairé et spécifique. Pour ce faire, un outil de gestion des consentements est à ajouter à votre site web.
Afficher les coordonnées d’une personne responsable
Une personne responsable de la protection des renseignements personnels devrait déjà avoir été nommée au sein de votre organisation. Son nom et ses coordonnées doivent être indiqués sur votre site web.
Faites face aux changements avec les bons outils
Il est important de noter que ces actions ne sont pas les seules à pouvoir être posées, et que d’autres exigences de la Loi 25 peuvent s’appliquer à votre organisation. Vous devez vous assurer d’obtenir l’avis d’un avocat spécialisé pour valider votre conformité aux lois en vigueur.
Heureusement, il existe des solutions technologiques robustes pour gérer le consentement des internautes. Notre équipe web est toujours prête à vous conseiller et à installer les bons outils sur votre site. Faites-nous signe pour qu’on en discute!
À noter: cet article contient de l’information à titre indicatif seulement et ne peut en aucun cas être considéré comme un avis juridique. Votre organisation doit s’assurer d’obtenir l’avis d’un·e avocat·e spécialisé·e pour valider sa conformité à la Loi 25. Obtenez davantage d’informations sur la nouvelle réglementation directement sur le site web du gouvernement du Québec, ici, et sur le site web de la Commission d’accès à l’information du Québec, ici.