Des amendes jusqu’à 10 millions !

Vous souvenez-vous des fuites de données d’Équifax ou de Desjardins, qui ont touché des millions de clients ? Pour réduire ces risques, le gouvernement du Québec a voté une loi afin de rendre toute entreprise imputable en cas d’incident.

Et les amendes sont dissuasives. S’il y a de la négligence, de la mauvaise foi ou conséquences graves, les amendes montent rapidement et peuvent atteindre 10 millions ou 2 % du chiffre d’affaires mondial. Toutefois, pour les cas plus « normaux », on parle d’amendes de 1 000 $ à 15 000 $.

La loi 25 en bref

Voici un résumé des points importants de la loi 25

1. Un renseignement personnel est un renseignement qui permet d’identifier une personne physique, directement ou indirectement. Par exemple : adresse personnelle, date de naissance, coordonnées bancaires, numéro d’assurance sociale.
2. Elle s’applique à toute entreprise, au sens large : même les travailleuses et travailleurs autonomes, le gouvernement ou les associations doivent la respecter.
3. Ceci inclut également les données traitées par un tiers. Par exemple, vous pourriez être indirectement responsable d’une fuite de la paie ou des paiements de cartes de crédit effectuées à l’externe. Il faudrait voir en pratique ce qui arriverait si Desjardins, Square ou Monéris avaient un problème…

La Loi ne s’applique PAS…

• Aux coordonnées professionnelles d’une personne. Elles sont considérées comme publiques : nom, titre ou fonction, et les courriels, adresses et numéros de téléphone au lieu de travail.
• Aux informations qui ne concernent pas une personne physique, voir la définition au point 1. Les données au sujet d’une entreprise, par exemple.
• Au matériel journalistique, historique ou généalogique utilisé dans un but d’information légitime du public.

Trois étapes de 2022 à 2024

Voici les principales obligations pour les PME et OBNL. Il y en a d’autres, svp consultez la Loi et le site web de la Commission pour voir ce qui s’applique à votre situation.

Depuis septembre 2022

• Nommer une personne responsable de la protection des renseignements personnels et l’indiquer sur le site web de l’organisation.
• Tenir un registre de TOUS les incidents en lien avec les renseignements personnels.

En cas d’incident important, soit « présentant un risque sérieux de préjudice » :

• Aviser la Commission d’accès à l’information.
• Aviser les personnes touchées par l’incident.
• Réduire le préjudice et les risques futurs.

Dès le 22 septembre 2023

• Avoir des politiques et pratiques de gouvernance pour protéger les renseignements personnels et les afficher sur son site web, ex :
  • Spécifier les processus de collecte, utilisation, communication et de conservation.
  • Définir les rôles et responsabilités des employés dans le traitement des renseignements personnels.
  • Avoir un processus de traitement des plaintes.
  • Avoir le consentement libre et éclairé de la part des personnes dont on recueille ou transmet les renseignements personnels, pour chacun des usages.

22 septembre 2024

• Fournir sur demande à une personne, un rapport de tous les renseignements personnels que vous détenez sur elle.

Des ressources pour assurer la conformité ?

Dans ce prochain texte, j’indique plusieurs ressources pour vous informer et vous outiller.