Information - Loi 25
Chers clients,
Il n'est pas sans rappeler que le 22 septembre 2024 arrive à grand pas.
Le 22 septembre 2024 est la date de mise en service de la dernière phase de la Loi 25 (Québec), la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels.
Nous avons été informés que plusieurs d'entres vous avez été récemment approché par diverses entreprises de toute genre, vous proposant leurs différents services concernant cette Loi, notamment en faisant planer la peur d'une amende pouvant aller jusqu'à 25 millions de dollars!
Bien qu'il soit vrai qu'une entreprise peut effectivement être mise à l'amende pour la non-conformité concernant cette Loi, il est important de comprendre les circonstances pouvant mener à de telles amendes.
Nous vous conseillons fortement de consulter le site de la Commission d'Accès à l'Information au lien suivant. Depuis ce site, vous verrez ce en quoi consiste réellement la Loi 25, quelles sont vos droits et vos responsabilités.
Prenez note qu'en réalité, cette Loi est en vigueur depuis septembre 2022 et s'est développée sous différentes phases.
En sommaire, voici en quoi les phases consistent:
Phase 1 - 22 septembre 2022
- Il vous faut nommer un responsable de la protection des renseignements personnels. Par défaut, le président/dirigeant de l'entreprise est responsable. Celui-ci peut mandater un autre membre de son équipe à titre de responsable.
- De plus, il est important de déclarer tout incident de confidentialité à la Commission d'Accès à l'Information (CAI), ainsi qu'aux individus ayant pu être impactés par un tel incident.
Phase 2 - 22 septembre 2023
- Si vous avez un site web, il vous faut publier une politique de confidentialité afin que vos visiteurs puissent vérifier les données qui sont collectées, leurs utilisations, etc. Il est aussi important d'implanter une solution de sélections des témoins (cookies) afin que vos visiteurs puissent désactiver ou activer ceux-ci à leur discrétion.
- Il vous faut mettre en place l'Évaluation des Facteurs Relatifs à la Vie Privée (EFVP). Encore une fois, nous vous conseillons fortement de visiter le site de la Commission d'Accès à l'Information pour plus de renseignements à ce sujet.
- Il vous faut aussi obtenir le consentement de vos clients pour la collecte des données tel que nom, numéro de téléphone, etc.
(Prenez note que vous pouvez obtenir le consentement via signature sur les copies d'évaluations et factures de vos clients dans notre logiciel AB magique, cette section étant accessible depuis très longtemps déjà.)
- Il vous faut aussi permettre la destruction (ou l'anonymisation si la destruction est impossible) des données sensibles de vos clients lorsque l'utilité desdites données n'est plus nécessaire. En détruisant ou en anonymisant celle-ci, vous évitez la fuite de données sensibles pouvant causer préjufices à vos clients.
Phase 3 - 22 septembre 2024
- Il vous faut mettre en place la portabilité des données.
Le droit à la portabilité permet à un client/citoyen de demander tous les renseignements personnels que celui-ci a transmis à une organisation.
Nous avons ajouté l'option de la portabilité de ces informations à l'aide d'un bouton ajouté dans la fiche de vos clients. Ce bouton est accessible depuis la mise à jour 2024.004 et + de votre logiciel AB Magique.
Plusieurs aspects sont à vérifier afin d'être conforme à cette Loi. Bien que nous ne puissions vous fournir de conseils juridiques quant à cette Loi, voici quelques conseils de base de nature informatique pour vous aider:
- Évitez de donner accès à votre réseau local informatique à vos clients. Si vous devez laisser l'accès à vos ordinateurs, ne le faites qu'à vos employés et à des professionnels de confiance et évitez de laisser votre parc informatique sans surveillance.
Si vous offrez l'Internet à vos clients sur place, assurez-vous de leur donner accès à un réseau « Invité » qui ne peut communiquer avec le réseau local de vos ordinateurs de travail ou de vos serveurs.
- Protégez vos ordinateurs et comptes utilisateurs à l'aide d'un mot de passe, de même que pour tout dossier ou fichier partagé sur votre réseau local.
- Utilisez un antivirus et un pare-feu sur l'ensemble des ordinateurs de votre entreprise. Il se peut que certaines exceptions soient mises en place pour le bon fonctionnement de vos ordinateurs et de vos logiciels. Limitez cependant ces exceptions au strict minimum.
- Formez vos employés sur l'importance de la sécurité des renseignements personnels de vos clients ou renseignements sensibles sous toute forme. Ça peut parrait banal, mais un simple courriel d'un de vos clients peut contenir des renseignements personnels sensibles. Transférer ce courriel ou donner accès à vos courriels à un individu non autorisé peut être un risque à la sécurité de ces informations!
- Informez convenablement vos clients sur les données que vous collectez (à l'aide d'une politique de confidentialité que vous pourriez afficher dans vos locaux par exemple). Si vous pourriez partager ces données avec des fournisseurs tiers, avisez vos clients.
Concernant notre logiciel, si votre client refuse le partage de ses renseignements personnels, vous devez décocher la case à cet effet dans sa fiche client afin que le logiciel ne partage des données sensibles avec des fournisseurs asociés. À noter que vos clients peuvent à tout moment donner ou retirer leur consentement concernant le partage de leurs renseignements personnels.
Au final, votre conformité envers la Loi 25 ne s'attarde pas qu'à votre logiciel de gestion et de facturation, elle s'attarde à tous les aspects de votre entreprise qui utilise de près ou de loin des informations personnelles et/ou sensibles.
Nous vous conseillons à nouveau de consulter le site de la Commission d'Accès à l'Information pour tout renseignement à ce sujet, ou même demander conseils à votre conseiller juridiqueen ce qui concerne cette Loi et vos obligations.
Site de la Commission d'Accès à l'Information: https://www.cai.gouv.qc.ca/protection-renseignements-personnels/information-entreprises-privees