Voici absolument tout ce que vous devez savoir concernant la loi 25!
Au Canada, nous faisons face à plusieurs législation en lien avec l’utilisation d’adresses email et de données clients dans le cadre des entreprises qu’on opère. Une nouvelle loi vient d’être adoptée: la Loi 25, et depuis le 23 Septembre 2022, il faut maintenant être conforme à une foule de nouvelles règles (qui ne sont pas toujours pas toujours très claires) pour éviter des sanctions coûteuses!
Pas de panique… Puisque dans cet article, nous explorons tout sur la Loi 25 au Québec pour que vous puissiez savoir exactement de quoi il s’agit et qu’est-ce que vous devez faire pour être conforme à la loi 25 au Québec.
Nous verrons en détails comment la loi 25 du Québec impacte les petites et moyennes entreprises de la province et ce que cela signifie pour leur activité.
La loi 25, intitulé «Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé», vise à favoriser la transparence autour de la collecte et l’utilisation des données par les petites et moyennes entreprises québécoises.
Cependant, il suscite également des préoccupations quant à ses répercussions sur nos entreprises.
C’est normal, quand on parle de loi, on parle de règles à suivre sous peine de subir des conséquences! Ces conséquences, sont des amendes coûteuses de plusieurs milliers de dollars!
La loi demande plusieurs obligations qui ne sont parfois pas toujours claires et peuvent aussi parfois demander de faire appel à des logiciels ou des technologies supplémentaires pour s’assurer d’être conforme.
Heureusement, pour un coach/formateur ou tout autre entrepreneur du web qui génère de la clientèle au travers d’un tunnel de vente ou de la monétisation de son contenu sur le web, c’est plus simple qu’il n’en a l’air et les actions à prendre pour être conforme sont assez simples à mettre en place. Toutefois, ça peut vous demander un peu de recherche pour savoir comment vos outils fonctionnent!
Donc peu importe votre activité, lorsque vous aller créer votre tunnel de vente, vos acquisition de prospects, vos communication ou quoi que ce soit, il faudra penser à certains paramètres légaux pour être certain d’être conforme et s’assurer d’opérer une entreprise en toute sécurité et dans les règles de l’art!
Qu’est-ce que la Loi 25 au Québec?
Voilà, on plonge dans le croquant du sujet! Ce que vous devez faire, concrètement, pour être conforme à la Loi 25.
En fait, il s’agit d’une loi qui a été adoptée en Septembre 2021 concernant la collecte, l’utilisation et l’accessibilité aux données personnelles qu’une entreprise privée récolte.
En 2023, la collecte de données personnelles est un sujet qui fait de plus en plus réagir, parce qu’on se rend de plus en plus compte que de nombreuses entreprises utilisent nos données pour nos retargetter avec des publicités, établir des profils ou communiquer avec nous.
Bien que ce soit normal de récolter des données dans nos opérations, il devient nécessaire d’établir un cadre pour avoir plus de transparence sur la collecte de données et la sécurisation de ces données. c’est normal.
On s’entend, avec la collecte de données de masse, c’est de plus en plus fréquent d’entendre des fuites de données, des fuites de données de plus en plus majeures, concernant même des banques, par exemple.
La Loi 25 est une réponse à cette nouvelle réalité. On la nomme «Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé».
La Loi 25 a pour but de :
- Augmenter la sécurité et la transparence dans la collecte de données personnelles
- Renfoncer la confiance entre les citoyens et les entreprises
- S’adapter aux évolutions technologiques d’aujourd’hui
Quelles entreprises sont concernées par la Loi 25?
Considérant qu’on parle de collecte de données personnelles et que vous ne faites probablement pas de collecte de données à la Google ou Facebook, êtes-vous concerné par la Loi 25?
La réponse est simple : Oui
Que vous soyez un entrepreneur solo ou une giga entreprise de Tech qui collecte massivement des données, vous êtes concerné par la Loi 25 dès que vous traitez avec de la clientèle au Québec et vous devez vous y conformer (ci-dessous, nous allons explorer ce que vous devez faire concrètement pour vous conformer).
Parce que quasiment TOUTE entreprise qui vend ou communique avec de la clientèle fait de la collecte de données. En faisant la vente d’un produit ou d’un service, vous n’avez pas le choix de collecter :
- Un prénom et un nom
- Une adresse physique
- Un numéro de téléphone
- Une adresse email
- Un numéro de carte de crédit
- Un historique d’achat
- etc.
Donc, ultimement, dès que vous collectez la moindre donnée personnelle d’un client ou d’un prospect au Québevc, vous devez vous conformer à la Loi 25. Peu importe l’envergure à laquelle vous faites la collecte de données. Même pour les entreprises d’un autre pays, mais qui ont de la clientèle au Québec.
Donc, si vous êtes une entreprise en Europe et que vous avez de la clientèle au Québec, vous devez aussi vous conformer à la Loi 25.
Qu’est-ce que vous devez faire pour être conforme à la Loi 25?
Maintenant, on entre dans le croquant! Concrètement, qu’est-ce que vous devez faire pour être conforme à la Loi 25 dans votre entreprise (et dormir sur vos deux oreilles).
Avant de plonger dans les actions à prendre, c’est important de mentionner que nous ne sommes pas avocats. Bien que nous avons fait nos recherches et que nous connaissons bien le sujet, ce que nous vous partageons dans cet article peut être faux ou mal interprété. Ne vous fiez pas à 100% sur ce que nous partageons, mais faites surtout appel à un avocat ou un expert dans le domaine pour vous assurer d’être bel et bien conforme à la loi. On parle quand même de loi.
Maintenant que c’est dit, il faut comprendre que la Loi 25 se déroule en 3 phases.
Des phases qui demandent différentes obligations. Ci-dessous, vous trouverez chacune des obligations selon chacune des phases.
Pour vous aider, le Gouvernement du Québec a mit sur pied un aide-mémoire pour vous aider à rapidement trouver les actions à prendre, selon les phases de la Loi 25.
(Source de l’image : MyLittleBigWeb)
22 Septembre 2022 (Phase 1)
- Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié. Si vous ne nommez personne, le président de l’entreprise sera la personne par défaut.
- En cas d’incident de confidentialité impliquant un renseignement personnel :
-
- Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
- Aviser la Commission et la personne concernée si l’incident présente un risque de préjudice sérieux;
- Tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande;
-
Jusqu’ici, les obligations sont assez simples et c’est du gros bon sens ; Avoir une personne en entreprise qui sera responsable de la protection des renseignements personnels. Puis, aviser la Comission ainsi que les personnes concernées s’il y a un incident qui concerne les données collectées.
22 Septembre 2023 (Phase 2)
- Élaborer un cadre de gouvernance en matière de protection des renseignements personnels (pratiques encadrant la conservation, la destruction et l’anonymisation des renseignements personnels).
En gros, ça veut dire que vous êtes responsable de savoir et d’expliquer, entre autres (et sans s’y limiter), quelles sont les données que vous collectez, comment vous les collectez, ce que vous en faites et ainsi de suite.
- Mettre en place un processus de traitement des plaintes concernant la protection des renseignements personnels et de désindexation.
Cette obligation devrait vouloir dire que vous devez mettre en place une procédure pour qu’un client puisse déposer une plainte ou demander à supprimer ses données.
- Bonifier les informations transmises aux citoyennes et aux citoyens lors de la collecte de leurs renseignements personnels sur le site web de votre entreprise. Par exemple : le nom des tiers pour lesquels les renseignements sont collectés et les catégories de tiers.
Ici, ça voudrait dire, entre autres (sans s’y limiter), que vous devez aussi divulguer quels outils vous utilisez qui ont accès à ces données. Par exemple, si vous utilisez Mailerlite pour collecter des adresses emails et autres informations, vous devez le mentionner dans votre politique de confidentialité.
- Détruire ou rendre anonymes les renseignements personnels dans certaines circonstances.
Ici, vous devez être capable de détruire de manière définitive les données que vous avez récoltées si un internaute vous le demande. Et ce, sur toutes les plateformes où vous collectez les données (logiciel d’emailing, logiciel de facturation, CRM, etc.) ou les rendre anonymes de façon à ce qu’on ne puisse pas identifier un individu en particulier.
- La personne concernée a le droit de retirer son consentement à la communication ou à l’utilisation de ses informations personnelles.
Les internautes doivent pouvoir, d’eux-mêmes, se désabonner de vos emails, de vos communications ou entre autres (sans s’y limiter), de tout autre dispositif qui collecte des données ou communiquent avec eux. Si vous utilisez Leadfox, tous les emails que vous envoyez disposent automatiquement d’un lien de désabonnement instantané.
- Évaluer les risques en matière de vie privée lors de certaines utilisations et communications de renseignements personnels.
Ici, il s’agit essentiellement de déterminer comment les données que vous possédez sont sécurisées, comme par exemple (sans s’y limiter) : où ces données sont-elles stockées, qui a accès à ces données, comment s’assurer que ce ne soit que des personnes autorisées qui aient accès à ces données, etc.
- Obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale.
Vous vous souvenez des petites cases à cocher pour accepter de recevoir les infolettres, textos ou appels de la part d’une entreprise? C’est essentiellement de ça qu’il s’agit. Si vous collectez des informations de contacts dans le but de proposer vos produits ou vos services, vous devez avoir le consentement exprès de la part de l’utilisateur.
- Informer la personne de la possibilité que ses renseignements personnels soient transférés hors du territoire du Québec.
Il doit être divulgué de manière claire et transparente s’il vous arrive que les données que vous avez collectées soient transférées ailleurs qu’au Québec. Notamment si vous utilisez des logiciels comme un logiciel d’emailing, de facturation, un CRM, etc.
- Obtenir le consentement des utilisateurs pour collecter leurs données
Ici, il s’agit essentiellement d’avoir le consentement exprès ou tacite d’un utilisateur pour collecter leurs données personnelles. Il peut s’agir entre autres (sans s’y limiter) d’une case à cocher dans un formulaire pour leur demander le consentement ou tout simplement une petite boîte pop-up qui demande le consentement pour utiliser des cookies. Quand on parle de cette boîte pop-up, on parle d’une plateforme de gestion de consentement et elle sera très importante à utiliser. Ici, nous vous expliquons qu’est-ce qu’une plateforme de gestion de consentement et toute l’importance qu’elle possède pour être conforme à la Loi 25.
Il s’agit aussi d’avoir le consentement explicite de l’abonnés chaque fois qu’on capture son adresse email au travers d’une landing page, d’un formulaire ou un pop-up sur votre site web. Instaurez simplement une case à cocher qui stipule clairement que l’abonnée donne son consentement pour vous donner ses données et recevoir vos communications par email.
22 Septembre 2024 (Phase 3)
- Communiquer, à la demande de la personne concernée, ses renseignements personnels qu’elle a fournis à une entreprise
L’obligation restante est assez simple; si une personne vous demande d’avoir accès à ses informations, il faut être en mesure de les lui donner.
Le tout dans un fichier lisible et accessible facilement.
Où aller si j’ai des questions ou besoin de plus d’informations?
Effectivement, la réalité est que malgré toutes ces explications, on peut quand même avoir certaines questions, inquiétudes et incertitudes.
Voici quelques ressources qui peuvent vous aider à y voir plus clair ou poser vos questions :
- Le site de la Commission d’accès à l’information du Québec
- Loi sur la protection des renseignements personnels dans le secteur privé (complet)
- ARTYLAW – Services juridiques sur mesure pour les créatifs
- Formation complète sur la Loi 25
- Contactez-nous ici et nous tenterons de répondre à vos questions
Les questions fréquemment posées sur la Loi 25
Quels outils utiliser pour rester conforme ?
L'outil le plus important sera une plateforme de gestion de consentement. Une plateforme qui vous permettra de récolter le consentement de vos visiteurs au format d'un pop-up et qui communiquera avec tous vos outils pour ajuster la collecte des informations sur ce visiteur en particulier. Si vous avez besoin d'aide pour mieux comprendre les plateformes de gestion de consentement, nous avons fait un article complet sur le sujet.
Quelles sont les sanctions en cas de non-conformité ?
Les amendes peuvent être très salées. Selon la CAI, on parle d'entre 5 000$ et 100 000$ pour l'individu en particulier qui n'est pas conforme à la Loi 25 et, pour l'entreprise, une amende entre 15 000 $ et, selon le montant le plus élevé, 25 M$ ou un montant correspondant à 4 % de son chiffre d'affaires mondial de l'exercice financier précédent.
Quels délais pour se mettre en conformité avec la Loi 25 ?
Les entreprises avaient jusqu'à Septembre 2024 pour être totalement conforme à la Loi 25. Si ce n'est pas déjà fait, alors nous vous recommandons fortement de le faire!
