Guide de mise en application de la Loi 25 pour les clients de Siatris inc.
La Loi 25 ajoute 3 mesures à mettre en place à partir du 22 septembre 2022:
2. Identifier tous les renseignements personnels collectés
3. Mettre en place des mesures pour protéger les données personnelles, tant celles entreposées physiquement que virtuellement ET Élaborer un plan de gestion des incidents à suivre en cas de bris de confidentialité
À partir du 22 septembre 2023, d’autres mesures sont à appliquer ET les pénalités prévues entrent en vigueur:
4. Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels, qui doivent être facilement accessibles et compréhensibles par les internautes.
5. Mettre en place des règles de consentement pour la collecte, la communication et l’usage des informations personnelles
6. Créer les procédures de gestion des renseignements personnels concernant le droit à l’oubli, la destruction des données superflues/périmées, les copies de sauvegardes…
7. Réaliser une évaluation de facteurs relatifs à la vie privée (ÉFVP)
À partir du 22 septembre 2024, la dernière mesure entre en vigueur:
1. Nommer à l’interne une personne responsable de la protection des renseignements personnels
Fait par: vous
– Si vous êtes travaileur autonome, c’est vous. Sinon, désignez quelqu’un.
– Envoyez à Siatris inc. les coordonnées de cette personne (nom, titre, adresse de l’entreprise, téléphone pour joindre cette personne dans l’entreprise et courriel).
– Ces coordonnées doivent obligatoirement être publiques. Siatris inc. va les placer dans la page contact de votre site internet, ainsi que dans les termes légaux.
– Si vous n’avez pas de site internet, ces coordonnées doivent être mises sur Facebook, par exemple.
– S’assurer de garder cela à jour: si la personne quitte, mettre les infos à jour avec celles de la nouvelle personne.
2. Identifier tous les renseignements personnels collectés
Fait par: vous et Siatris inc.
– Sur le site et outils web: Siatris inc. s’en occupe
– Autrement que par le site: à vous de le faire.
Qu’est-ce qui constitue un renseignement personnel?
Les renseignements personnels, ce sont toutes informations permettant d’identifier une personne. Voici quelques exemples courants:
Son nom;
Son adresse postale;
Son adresse électronique (courriel);
Son âge, sa taille, son poids, ses infos médicales;
Son genre, son ethnie, sa religion, son niveau d’instruction, son état matrimonial;
Ses identifiants en ligne (login, mot de passe);
Son numéro d’assurance sociale, de permis, d’assurance-maladie;
Ses informations bancaires (carte de crédit ou autre);
Son adresse IP (suite de chiffres, unique et attribué à un réseau internet).
Comment ces renseignements sont-ils collectés?
– En personne, à votre établissement (par exemple: un patient, un étudiant, un concours avec une fiche à remplir);
– En personne, lors d’une transaction dans votre établissement ou une demande d’adhésion à des cartes de points;
– En personne, en dehors de l’établissement (par exemple: à un tradeshow);
– Par téléphone;
– Par courriel.
Comment ces renseignements sont-ils stockés? Et protégés?
– Dans des dossiers papiers;
– Sur l’ordinateur au bureau;
– Sur un ordinateur portable en dehors du bureau;
– Logiciel de gestion CRM sur internet.
Bref, vous devez faire une liste exhaustive de tout cela, et la maintenir à jour.
3. Mettre en place des mesures pour protéger les données personnelles, tant celles entreposées physiquement que virtuellement ET Élaborer un plan de gestion des incidents à suivre en cas de bris de confidentialité
Fait par: vous
Qu’est-ce qui constitue un bris de confidentialité?
C’est lorsqu’une personne non autorisée (ou non prévue au départ) à accès aux renseignements personnels de vos clients.
Exemples A (volontaire)
– Un de vos employés remplace un autre employé en congé de maternité et à accès à ses dossiers contenant des renseignements personnels sensibles;
– Vous donnez accès à un programmeur externe (par exemple, Siatris inc.);
– Vous donnez accès à une firme de marketing qui utilise votre Google Analytics.
Exemples B (involontaire)
– Vous vous faites voler votre portable;
– Vous vous faites hacker (un ordi contient un virus – vous êtes victime de ransomware).
Comment me conformer à cette clause?
Pour Exemples A:
– Signez une entente de confidentialité et de non-divulgation entre vous et le fournisseur avant de débuter des démarches ou travaux (Siatris inc. va en signer une avec vous pour les futurs travaux).
– Ayez une procédure à suivre pour informer le client si ses renseignements personnels sensibles seront accessibles à une personne non prévue (par exemple: un vérificateur du gouvernement).
Comment mettre en place des mesures pour protéger les données personnelles, tant celles entreposées physiquement que virtuellement?
- Au bureau: utilisez des anti-virus, des connections encryptées et des logiciels sécuritaires sur les ordinateurs, ainsi que sur les appareils personnels de vos employés.
- Ayez en tout temps une liste de « qui » à accès à « quoi » dans votre entreprise. Ex: tel prestataire a un accès admin au site web, le réparateur d’ordi, le stagiaire, le vérificateur comptable…
- Révisez cette liste de manière périodique, afin de vous assurer que les accès octroyés à chacun sont bel et bien légitimes.
- Retirez tout accès octroyé à un ancien employé ou prestataire pour lequel votre relation professionnelle termine.
- Ne donnez JAMAIS vos accès à une autre personne, même un employé. Créez un accès pour chaque personne, qui peut ainsi être révoqué. Cela permet aussi d’identifier par quel accès une fuite de données est survenue.
- Forcez l’usage de mots de passe complexes et si possible, protégés par le système de double authentification (2fa).
- N’envoyez pas de mots de passe par courriel ou textos. Si vous devez, utilisez un système qui assure la destruction du mot de passe une fois récupéré (par exemple: https://pwpush.com/)
- Pro tip: Utilisez un gestionnaire de mots de passe pour faciliter l’octroi, le retrait et la gestion des mots de passe (ainsi que leur sécurité par le fait même).
Pour exemple B:
Ayez une procédure à suivre en cas de fuites de données, avec les procédures obligatoires:
- Inscrivez les détails de la fuite en question dans un registre tenu (papier ou en ligne), et prêt à être présenté en cas de vérification. Ce registre doit également contenir les actions que vous avez entreprises pour combler la fuite ou diminuer les risques.
- Lors d’une fuite de données, vous devez aviser la Commission d’accès à l’information ainsi que les personnes touchées par la fuite.
- Vous serez amené à réaliser une évaluation des facteurs relatifs à la vie privée (EFVP), une procédure gouvernementale visant l’identification préventive des risques et la mise en place de stratégies minimisant ou évitant ces risques.
4- Établir des politiques et des pratiques encadrant la gouvernance des renseignements personnels, qui doivent être facilement accessibles et compréhensibles par les internautes.
Fait par: Siatris inc. (ou votre avocat)
C’est-à-dire: mettre à disposition du grand public vos méthodes utilisées pour la gestion des renseignements personnels collectés. DONC une page avec les textes légaux de Politique de protection des renseignements personnels et politique de confidentialité.
Politique de protection des renseignements personnels et politique de confidentialité.
Siatris inc. a un modèle de base de cette politique et peut créer une page sur votre site pour y mettre ces textes et l’inclure dans votre navigation. Ces textes décrivent tous les renseignements personnels recueillis par le site internet. Cette page est obligatoire si vous avez un site.
Ce texte sert aussi à expliquer clairement aux utilisateurs en quoi leurs informations seront utilisées avant leur exploitation (c’est-à-dire, avant d’entrer dans le site Internet, et accepter d’y entrer en connaissance de cause.)
Si vous désirez utiliser ces textes à l’extérieur du site internet – ou si vous n’avez pas de site! – Siatris peut vous fournir une copie PDF bonifiée avec la liste des renseignements personnels recueillis en dehors du site Internet, dans vos bureaux (liste que vous avez faite au point 2).
À noter: La Loi vous demande d’informer les utilisateurs de tout changement quant à l’utilisation de leurs informations. Donc par exemple, si vous ajoutez une application au site, ou si la personne responsable change, vous devez mettre à jour le texte.
Clause de non-responsabilité:
Les termes et condition d’utilisation du site internet
Cette page n’est pas obligatoire mais recommandée. Puisque Siatris inc. va installer une page Politique de confidentialité, profitez-en pour mettre une page de termes.
Les termes et conditions de la liste d’abonnement à la liste d’envois courriel
Si vous faites des envois courriels publicitaires, cette page est obligatoire, et ajoute des clauses à la politique de confidentialité.
5- Mettre en place des règles de consentement pour la collecte, la communication et l’usage des informations personnelles
Fait par: Siatris inc.
C’est-à-dire, mettre un logiciel qui affiche un « popup » lorsqu’un usager arrive sur le site, qui prévient de l’utilisation de fichiers témoins (cookies) par le site. L’utilisateur doit accepter la Politique de confidentialité et les termes afin de pouvoir naviguer sur le site.
L’utilisateur du site pourra aussi choisir de refuser les fichiers témoins. Le cas échéant, il pourra naviguer dans le site mais aucune information ne sera collectée sur lui. Ce qui veut dire: Google Analytics ne sera pas téléchargé, par exemple.
6. Créer les procédures de gestion des renseignements personnels concernant le droit à l'oubli, la destruction des données superflues/périmées, les copies de sauvegardes...
Fait par: Vous et Siatris inc.
Le droit à l’oubli: Vous devez mettre à disposition des moyens que les utilisateurs du site pourront prendre pour cesser la diffusion ou retirer leurs informations personnelles.
En simple, Siatris inc. peut programmer un formulaire pour demander la suppression des renseignements personnels, envoyé à la personne responsable. Vous devez cependant honorer cette demande et supprimer les infos de l’utilisateur à l’interne, ainsi que communiquer avec Siatris inc. pour vous aider avec les informations conservées sur le site.
La destruction des données: Si vous déterminez garder les renseignements personnels pour une durée de 7 ans, vous devez supprimer toutes les informations datant de plus de 7 ans, et à chaque année, détruire les infos périmées. Profitez-en pour détruire les données superflues (avez-vous vraiment besoin de la date de naissance?) et de changer vos procédures afin de ne plus prendre ces données en note. Veuillez en avertir Siatris inc. qui s’en occupera sur le site.
Dans le même esprit, vous devez anonymiser ou supprimer les données personnelles une fois utilisées pour les fins annoncées (par exemple, des personnes ont participé à un concours et le concours est terminé).
Copies de sauvegarde: Il est important de faire des copies de sauvegardes de vos données, mais vous devez aussi vous assurez de leur sécurité ET de les détruire si elles sont expirées.
DONC déterminer:
– La durée de conservation des renseignements personnels;
– L’anonymisation des renseignements personnels, si vous le pouvez;
– Le droit à l’oubli (comment allez-vous supprimer toutes les infos et communiquer les résultats).
7. Réaliser une évaluation de facteurs relatifs à la vie privée (ÉFVP)
Fait par: Vous
Facultatif! Obligatoire seulement pour les organismes du secteur public.
8- Garantir le droit à la portabilité des données
En vigueur à partir du 22 septembre 2024
Tel que stipulé dans la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le secteur privé ») et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (« Loi sur l’accès ») :
Un utilisateur de votre site web doit avoir la possibilité d’exporter les renseignements personnels collectés sur lui, quels qu’ils soient.
Le droit à la portabilité des données s’applique à toutes les entreprises privées et aux organismes publics, également sans but lucratif, de toutes tailles, qui ont recueilli électroniquement (via un site web, un formulaire en ligne, un logiciel, une application, un portail) des renseignements personnels de leurs employés et/ou de leurs clients ou usagers qui sont des personnes physiques.
Cela implique la mise en place de procédures écrites (de votre côté au bureau) et de systèmes permettant d’extraire et de transférer les données de manière sécurisée et dans un format structuré. La bonne nouvelle : ce système est inclus dans le logiciel installé sur votre site WordPress. Cependant si votre site n’est PAS en wordpress, vous ne serez pas conforme.
