Loi 25 : il est grand temps d’y voir !
Les dispositions de cette législation ont commencé à s’appliquer en septembre 2022, et le tout sera entièrement en vigueur à l’automne 2024. Déjà, en septembre dernier, une part importante du contenu de la loi est devenue effective, de sorte que les organisations ne disposant pas notamment d’un consentement clair pour chaque donnée recueillie risquent des sanctions, et les amendes sont plutôt salées ! Une des solutions proposées consiste en la mise en place, sur les sites Internet, d’une bannière de consentement.
Rappelons que l’objectif de cette loi est de protéger les données personnelles des Québécois. Cela concerne les entreprises, villes, municipalités et organismes qui collectent, utilisent ou divulguent des renseignements personnels dans le cadre de leurs activités. Le dernier volet de la loi 25 (date butoir : septembre 2024) touche l'obligation, pour toute entreprise, de communiquer à quiconque le demande les renseignements qu’elle détient à son sujet.
Il peut s’agir du nom, adresse civique, adresse électronique, numéro de téléphone, date de naissance et numéro d'assurance sociale, bref tout ce qui permet l’identification. Imaginez alors les données bancaires que nécessite le commerce en ligne…
Pour les gens d’affaires particulièrement, l’impact est considérable, autant sur le plan des responsabilités que des coûts. Je connais nombre d’entrepreneurs qui n’ont pas les moyens actuellement de respecter leurs obligations sur ce chapitre. Cela dit, je reconnais l'importance du droit des gens à leur intégrité personnelle et financière. Il n’empêche que la responsabilité qui incombe aux entrepreneurs est énorme. Les renseignements personnels de nos clients sont un peu comme de la matière radioactive entre nos mains, mais ils sont néanmoins essentiels à notre fonctionnement. À moins d’être guidés par des juristes et des firmes technologiques (et à quel coût ?), il est bien difficile de s’y retrouver. Même la Commission d'accès à l'information ne s'est pas encore pleinement positionnée quant à l'ensemble des obligations de la loi afin de bien outiller les entreprises. Pour protéger les données personnelles sur votre site Web, des mesures de sécurité appropriées doivent être mises en place, telles que le chiffrement des données, la gestion des accès et la surveillance régulière des vulnérabilités, sans compter la formation des employés au sujet des meilleures pratiques en matière de protection des renseignements personnels et de sécurité informatique.
Si nous voulons protéger adéquatement nos employeurs, clients et collaborateurs, nous devons être en mesure de remettre en question et d'améliorer nos façons de faire, instaurer les procédures exigées par la loi et dénicher d'excellents partenaires qui maîtrisent non seulement les dispositions de cette loi, mais aussi les changements technologiques qu’elle requiert. Il est de notre responsabilité de l’appliquer dans nos organisations. Il faut s'y mettre, et dès maintenant ! Comme on le dit souvent, c’est pour hier…
