Loi 25 : protection de la vie privée des Québécois et maux de tête pour les entrepreneurs. Préparez-vous en douceur grâce à SOS AV!

Vous en avez certainement entendu parler à maintes reprises, la Loi 25, qui concerne la protection des renseignements personnels dans le secteur privé, et qui est entrée en vigueur en septembre 2022, apporte de nombreux changements au mode de fonctionnement des entreprises et de leur écosystème numérique.

S’il s’agit d’une protection accrue des renseignements personnels et de nouveaux droits pour les citoyens, comme le mentionnait la présidente de la Commission d’accès à l’information du Québec (CAI), Me Diane Poitras, il s’agit également d’un véritable casse-tête pour les entreprises, grandes et petites.

Différence entre Loi 25 et loi C-28

La loi C-28 est une loi fédérale datant de 2014, qui incite à diminuer les envois de courriels de masse. Cette loi, que l’on appelle aussi la « loi antipourriels », interdit l’envoi de courriers électroniques à usage commercial, sauf en cas de consentement exprès ou tacite.

Consentement tacite :

Il est possible de démontrer que vous avez déjà une relation d’affaires avec la personne, et que donc, même si elle n’a pas donné de consentement clair, il est implicite que vous soyez amené à communiquer avec elle. Les consentements tacites acceptés sont : un contrat, une demande d’informations, un achat effectué, une demande de soumission, une relation privée en cours, un courriel affiché publiquement, en lien avec votre domaine d’activité, ou encore une carte d’affaires qui vous a été transmise par la personne elle-même.

Consentement exprès :

Dans le cas du consentement exprès, vous devez être en mesure de démontrer que la personne a bien donné son accord pour recevoir des communications de votre part. Il doit s’agir soit d’une preuve écrite, comme un courriel incluant la date, le nom et le message, ou d’un document papier que vous conserverez précieusement; ou encore d’une preuve verbale, auquel cas, vous devez être en mesure de fournir l’enregistrement de la conversation.

La loi 25 est une loi provinciale qui vient préciser et restreindre la loi C28. L’application de l’une n’exclut pas l’autre, et toutes les entreprises ont l’obligation de s’y conformer.

Entrée en vigueur et délais d’ajustements

La loi 25 est entrée en vigueur en septembre 2022. Toutefois, ses applications sont étalées selon un calendrier de 3 ans, allant jusqu’en 2024. La prochaine date à retenir est le 22 septembre 2023. Ce qui ne laisse que quelques mois pour vous y préparer.

Or, les outils et démarches pour le faire peuvent prendre un certain temps à mettre en place. Mieux vaut s’y prendre tôt pour le faire de la façon la plus sereine possible. Par ailleurs, en tant qu’entrepreneurs, nous sommes amenés à acheter des outils coûteux, il serait dommage de ne pas prendre la loi 25 en considération et de devoir changer ces outils quelques mois après en avoir fait l’acquisition par manque de préparation ou d’informations.

Préparez-vous adéquatement

La loi 25 aura des impacts sur plusieurs aspects de votre entreprise, notamment sur la gestion de vos ressources et sur la gestion de vos activités numériques et de communication.

Il est donc fort indiqué de vous préparer rapidement pour vous y conformer comme il se doit.

Voici un résumé des actions à mettre en place :

Au sein de l’entreprise:

Désigner un Responsable de la protection des renseignements personnels qui veillera au respect de la Loi. Cela doit faire partie de la description de tâches de la personne assignée.
Mettre en place un plan de gestion des incidents et des procédures à suivre en cas d’incidents de confidentialité.

En clair, vous devez rédiger un document qui décrit, avec précision, l’ensemble des choses à faire s’il arrive un incident de confidentialité (piratage de vos données, perte d’un ordinateur, etc.)

Avoir un registre des incidents à jour.
Divulguer avec diligence, à la Commission d’accès à l’information, tout incident de confidentialité qui présente un risque de préjudice sérieux.

Auprès des clients:

Insérer un lien de désabonnement dans vos infolettres.
Si un client exige une copie de ses informations personnelles, l’entreprise est tenue de la lui fournir. Elle devra aussi lui fournir la preuve de destruction de ces informations si le client en fait la demande.

Quelques conseils généraux

De manière générale, les entreprises doivent s’ajuster à ces nouvelles mesures visant à respecter l’intégrité des données personnelles de leurs clients et mériter leur confiance. Ces ajustements, s’ils paraissent contraignants pour l’instant, deviendront la nouvelle norme. Plus tôt vous les mettrez en place, plus tôt vous aurez l’esprit tranquille.

Voici donc quelques conseils utiles pour vous aider à vous conformer à ces restrictions :

Pour les CRM et Infolettres, utilisez des plateformes spécialisées qui sont sécuritaires. Dans l’idéal, optez pour des plateformes locales, qui respecteront les réglementations imposées par le Québec en matière de confidentialité.
Réduisez le stockage de données sur des fichiers tels que Excel, CSV, etc.
Dotez-vous de politiques claires au moment des extractions et manipulations.
Privilégiez les consentements exprès (soyez inflexible quant à la clarté des communications).
Incitez l’authentification à deux facteurs (double Opt-in).

Besoin d’aide ou d’accompagnement pour savoir comment vous soumettre aux nouvelles réglementations liées à la loi 25 ? Nous vous invitons à consulter notre Carnet d’adresses situé ci-dessous.

Les informations présentées dans cet article sont basées sur de la formation obtenue au sujet de cette Loi et les différents articles liés à ce sujet. Elles ne substituent en aucun cas les conseils d’un professionnel. Nous vous recommandons de consulter un professionnel en cas de besoin.

Sources :

https://symplify.com/fr/blog/loi-25-au-quebec-tout-ce-que-vous-devez-savoir/

https://www.adviso.ca/blog/affaires/impacts-loi-25-sur-strategies-et-operations-marketing/ –https://www.cai.gouv.qc.ca/documents/CAI_Guide_obligations_entreprises_vf.pdf