La protection des données personnelles et la cybersécurité sont devenues un enjeu majeur pour toutes les entreprises. De nos jours, les organisations manipulent et conservent des informations importantes liées à leurs clients, employés ou fournisseurs. Une fuite ou un usage non éthique de ces informations peut poser d’énormes risques aux personnes concernées.
La Loi 25 est entrée en vigueur ainsi en Septembre 2022, pour moderniser les règles des renseignements personnels au Québec, afin de protéger les utilisateurs des nouveaux défis de la transformation numérique.
Par la loi 25, votre entreprise est face à de nouvelles obligations légales liées à la protection des données personnelles. Au cas de non-respect de ces obligations, votre organisation risque de lourdes sanctions, allant jusqu’à 25 millions de dollars ou 4% de votre chiffre d’affaires.
Quelles sont les organisations visées par la loi 25 ?
Entreprises privées
Toutes les entreprises privées sont assujetties à la Loi 25.
Si votre organisation recueille, utilise ou communique les renseignements personnels de personnes situées au Québec, la Loi s’appliquera fort probablement au traitement de ces renseignements, et ce, même si vous n’avez pas de bureau ni aucune autre installation dans la province.
Ministères et organismes publics
Environ 2 800 organismes publics sont assujettis à la Loi 25, soit par exemple :
- Les ministères et organismes gouvernementaux.
- Les municipalités et les organismes qui en relèvent, les communautés métropolitaines, les municipalités régionales de comté.
- Les commissions scolaires, les établissements privés subventionnés, les cégeps, les universités.
- Les centres hospitaliers, les centres d’accueil, les CLSC, les agences de développement de réseaux locaux de services de santé et de services sociaux et les centres jeunesse.
- Les ordres professionnels dans la mesure prévus par le Code des professions.
Les étapes à suivre pour vous y conformer :
Désigner :
Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de votre organisation.
Collaborer :
Créer un comité sur l’accès à l’information et la protection des renseignements personnels.
Inventorier :
Collaborer avec ce comité à l’inventaire des renseignements personnels détenus par votre organisation (ou pour son compte par un tiers) et évaluez leur sensibilité.
Rédiger :
Collaborer avec ce comité à la rédaction :
- Des politiques et des pratiques encadrant la gouvernance des renseignements personnels;
- D’une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple, avant de communiquer des renseignements personnels à l’extérieur du Québec.
Documenter :
Documenter les politiques, procédures, inventaires, rapport d’incident, registres d’incidents, évaluations et références.
Publier :
Publier de l’information détaillée sur vos politiques et procédures en termes simples et clairs sur le site Internet de votre organisation.
Aviser :
Aviser la Commission et les personnes concernées de tout incident présentant un risque de préjudice sérieux.
Répondre :
Répondre avec diligence aux demandes d’accès, que celles-ci soient verbales ou écrites, motiver tout refus et informer le requérant des recours offerts devant la Commission d’accès à l’information.
Sécuriser :
Sécuriser toutes les informations, dont les dossiers et les documents.
Conserver et détruire :
La Loi 25 accorde une place primordiale à la conservation et la destruction des renseignements personnels. Constellio vous permettra de systématiser l’application du cycle de vie des dossiers et des documents (papier et numérique).
Comment systématiser la gouvernance de données :
S’assurer de la conformité de vos documents d’une manière manuelle peut s’avérer impossible vu le nombre énorme de fichiers disponibles chez les organisations. S’outiller avec un logiciel de gestion de contenus numériques est donc la meilleure solution afin de garantir la conformité et éliminer les papiers.
Le logiciel va vous permettre de gouverner vos données et mener toutes les étapes liées à la conformité à la loi 25 d’une manière systématique, avec l’identification automatique des données personnelles sensibles, leur catégorisation et leur sécurisation. De plus il est possible de faire l’archivage de vos documents, la gestion des accès pour chaque fichier, l’application des plans et calendriers avec le cycle de vie des dossiers, l’assurance de la sécurité de tous vos documents, et bien d’autres fonctionnalités…
Constellio est le logiciel de gestion de contenus numériques favori des entreprises au Québec, qui vous permettra de gérer les fichiers qui contiennent des renseignements personnels de vos clients, employés ou fournisseurs en toute efficacité tout en restant conforme à la loi.
Pour en savoir plus sur comment la plateforme de gestion de documents numériques Constellio peut vous permettre de vous conformer aux différentes lois tout en restant efficace, demandez une démo gratuite de 30 minutes.