Ce que vous devez savoir sur la loi 25 :
Avec l'entrée en vigueur de la loi 25 en septembre 2022, votre entreprise fera face à de nouvelles obligations légales liées aux données personnelles. Au cas de non-respect de ces obligations votre entreprise risque de lourdes sanctions, allant jusqu'à 25 millions de dollars ou 4% de votre chiffre d’affaires.
La Loi 25 modernise les règles des renseignements personnels au Québec, pour but de protéger les utilisateurs des nouveaux défis posés par l'environnement numérique et renforcer ainsi la cybersécurité. De plus, la loi 25 est évolutive ; de nouvelles obligations entreront progressivement en vigueur sur une période de trois ans.
Dans cet article, nous allons détailler les obligations de cette loi, et comment Constellio peut vous aider à vous y conformer maintenant, et à l'avenir.
Les obligations à respecter :
Toutes les entreprises au Québec qui détiennent, traitent et communiquent des renseignements personnels de leurs clients, employés et fournisseurs au Québec doivent respecter plusieurs obligations qui tournent autour de quatre axes majeurs :
1. Collecte ou création :
- Votre organisation ne doit créer ou recueillir que les renseignements personnels nécessaires.
- Vous êtes obligés d’informer les personnes avant de recueillir leurs informations.
2. Conservation :
- Votre organisation doit conserver les renseignements personnels dans des fichiers ou des systèmes qui permettent de les repérer facilement.
- Vous devez tenir à jour un inventaire de fichiers ou systèmes.
- Les renseignements personnels conservés doivent être à jour, complets et exacts.
3. Utilisation, incluant la communication :
- Vous devez limiter l’accès aux renseignements personnels aux seuls employés en ayant besoin dans le cadre de leurs fonctions (article 62).
- Vous ne pouvez pas utiliser les renseignements personnels pour d’autres fins que celles identifiées (article 65.1).
- Vous ne pouvez communiquer des renseignements personnels que si la personne concernée y consent (article5) ou si la loi l’autorise (articles 59 et s.).
- Si des renseignements sont communiqués à l’extérieur du Québec, vous devez vous assurer que les informations personnels seront protégés adéquatement (article 70.1).
4. Destruction :
- Vous devez détruire les renseignements personnels dès que l’objet pour lequel ils ont été recueillis est accompli en appliquant le calendrier de conservation
- Votre organisation doit utiliser des moyens de destruction sûrs et définitifs.
Quelles entreprises sont visées ?
1. Entreprises privées :
Toutes les entreprises privées sont assujetties à la Loi 25.
Si votre organisation recueille, utilise ou communique les renseignements personnels de personnes situées au Québec, la Loi s’appliquera fort probablement au traitement de ces renseignements, et ce, même si vous n’avez pas de bureau ni aucune autre installation dans la province.
2. Ministères et organismes publics
Environ 2 800 organismes publics sont assujettis à la Loi 25, soit par exemple :
- Les ministères et organismes gouvernementaux.
- Les municipalités et les organismes qui en relèvent, les communautés métropolitaines, les municipalités régionales de comté.
- Les commissions scolaires, les établissements privés subventionnés, les cégeps, les universités.
- Les centres hospitaliers, les centres d’accueil, les CLSC, les agences de développement de réseaux locaux de services de santé et de services sociaux et les centres jeunesse.
- Les ordres professionnels dans la mesure prévus par le Code des professions.
Comment Constellio peut vous aider à vous conformer :
Constellio est un logiciel de gestion de documents numériques qui vous permettra de gérer les fichiers qui contiennent des renseignements personnels de vos clients, employés ou fournisseurs en toute efficacité tout en restant conforme à la loi. Constellio vous permet alors de :
1. Désigner :
Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de votre organisation.
2. Collaborer :
Créer un comité sur l'accès à l'information et la protection des renseignements personnels.
3. Inventorier :
Collaborer avec ce comité à l’inventaire des renseignements personnels détenus par votre organisation (ou pour son compte par un tiers) et évaluez leur sensibilité.
4. Rédiger :
Collaborer avec ce comité à la rédaction :
- Des politiques et des pratiques encadrant la gouvernance des renseignements personnels;
- D’une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple, avant de communiquer des renseignements personnels à l’extérieur du Québec.
5. Documenter :
Documenter les politiques, procédures, inventaires, rapport d’incident, registres d’incidents, évaluations et références.
6. Publier :
Publier de l’information détaillée sur vos politiques et procédures en termes simples et clairs sur le site Internet de votre organisation.
7. Aviser :
Aviser la Commission et les personnes concernées de tout incident présentant un risque de préjudice sérieux.
8. Répondre :
Répondre avec diligence aux demandes d’accès, que celles-ci soient verbales ou écrites, motiver tout refus et informer le requérant des recours offerts devant la Commission d’accès à l’information.
9. Sécuriser :
Sécuriser toutes les informations, dont les dossiers et les documents.
10. Conserver et détruire :
La Loi 25 accorde une place primordiale à la conservation et la destruction des renseignements personnels. Constellio vous permettra de systématiser l’application du cycle de vie des dossiers et des documents (papier et numérique).
N’attendez plus, exploitez le potentiel de votre contenu avec Constellio
Retrouvez Le logiciel de GED utilisé par les plus grandes organisations , disponible en version open source et planifiez votre démo gratuitement pour découvrir la version entreprise.
