Des étapes et des ressources pour respecter la loi 25
Ce texte est la suite de La loi 25 : tous concernés! J’y ai présenté les informations pertinentes pour comprendre la Loi et les nouvelles obligations qui entrent en vigueur le 22 septembre 2023.
En rappel, il s’agit de la loi sur la protection des renseignements personnels et TOUTES les organisations sont tenues de la respecter incluant les travailleurs autonomes, les petites entreprises, les OBNL et les associations.
J’ai fait la liste plus bas des étapes à prévoir et des ressources utiles pour ce projet.
Étapes à prévoir
Voici les principales étapes à prévoir pour les PME et OBNL. Notez que d’autres étapes pourraient être nécessaires selon votre situation.
Vous trouvez que ça ratisse large et que c’est complexe ? Vous n’avez pas encore eu le temps de vous y consacrer ? Vous n’êtes pas seul·e, comme le rapportait La Presse le 11 septembre dernier. Toutefois, à défaut d’être complètement à jour, vaut mieux commencer le plus rapidement possible. Au besoins, vous pouvez vous inspirer de la trousse gratuite fournie par trois entrepreneures géniales, voir plus bas.
Obligations depuis le 22 septembre 2022
- Nommer une personne responsable de la protection des renseignements personnels et l’indiquer sur votre site web.
- Tenir un registre de TOUS les incidents en lien avec les renseignements personnels. Voir plus bas une ressource pour en obtenir un modèle.
- Si un incident survient ou est survenu depuis septembre 2022, en évaluer l’importance. Si l’incident présente ou présentait « un risque sérieux de préjudice », il faudra aviser la Commission d’accès à l’information et les personnes touchées par l’incident.
22 septembre 2023
- Réviser les pratiques : qui utilise quel renseignement personnel, dans quel usage, avec quel processus ? Comment s’assurer que tout est sécuritaire et respecte la Loi ? Faire les modifications nécessaires.
- Rédiger et afficher sur son site web les politiques et pratiques de gouvernance pour protéger les renseignements personnels.
- Voir la trousse gratuite plus bas pour une liste des thèmes à inclure.
22 septembre 2024
- Pouvoir fournir à une personne, sur demande, un rapport de tous les renseignements personnels que vous détenez sur elle.
Des ressources pour assurer la conformité
Pour s’informer
- La Commission a beaucoup de renseignements sur son site, pour les organisations de toutes sortes.
- Destinés aux entreprises privées, elle a également publié un résumé, ainsi qu’un guide d’application.
- Pour les RH, de Kolegz : Impacts de la Loi 25 sur les RH.
- Pour les OBNL, de Espace OBNL : L’essentiel de la Loi 25.
- Un site bien fait et précis, rédigé par des avocats pour le site de Québec Habitation.
Une trousse gratuite
Deux entrepreneures spécialisées et une avocate se sont associées pour offrir une trousse gratuite pour répondre aux obligations de la loi 25. Merci Emeline, Stéphanie et Audrey pour votre belle idée ! Voir leurs coordonnées plus bas.
La trousse inclut comme outils un modèle de registre des incidents et un document de 26 pages avec une liste des points à inclure dans une politique et des éléments à surveiller pour assurer la sécurité des informations. Le site web propose aussi 6 capsules explicatives.
Pour vous aider
Contactez l’une des trois entrepreneures qui nous ont offert la trousse gratuite indiquée plus haut :
- Emeline de Cy-Clic – cybersécurité
- Stéphanie avocate
- Audrey de Blue Eden – services informatiques pour PME et OBNL
J’ai aussi parlé avec Marie-Ève Galipeau, avocate, qui offre des services à prix raisonnable pour les PME.
Finalement, vous connaissez peut-être déjà un avocat ou une spécialiste de cybersécurité, ou votre spécialiste qui fait la maintenant de votre site web a peut-être une solution « clé en main » à vous proposer.
