Loi 25 : votre site web est-il conforme?

Avez-vous entendu parler de la Loi 25? Si vous faites des affaires au Québec, il y a de fortes chances que vous soyez concerné par cette loi et que vous ayez des actions à prendre. Continuez de lire, car dès septembre 2023, des sanctions commenceront à être émises pour les organisations qui ne respectent pas cette loi.

Pas de panique! Nous sommes là pour vous aider à comprendre ce qu’est la loi et, surtout, ce que vous devez faire pour vous y conformer.

Dans cet article, nous aborderons :

Table des matières

Avant toute chose, mentionnons que cet article ne remplace en aucun cas un avis juridique. Pour s’assurer de l’entière conformité de votre entreprise à l’égard de la Loi 25, nous vous suggérons de contacter un avocat spécialisé en la matière.

Qu’est-ce que la Loi 25?

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (si ça vous va, on va continuer de l’appeler Loi 25 😉) est une loi québécoise adoptée en 2021 et entrée en vigueur le 22 septembre 2022.

 

Elle vise à protéger les internautes québécois et à leur offrir un plus grand contrôle quant aux renseignements personnels qui sont récoltés, stockés et utilisés à leur sujet. 

Quand on parle de “renseignements personnels”, on parle de tout renseignement permettant d’identifier une personne. Par exemple:

  • Son nom
  • Son adresse postale
  • Son courriel
  • Ses identifiants en ligne
  • Ses informations bancaires
  • Son adresse IP
  • Etc.

Qui est visé par la Loi 25?

Toute organisation, entreprise ou personne qui fait du commerce avec les Québécois est visée par cette loi. Peu importe la taille de votre organisation, peu importe la nature de vos activités. Même si vous êtes un travailleur autonome. Même si vous êtes un organisme à but non lucratif. Bref, peu de chances que vous vous en sortiez…

Ce que vous devez faire pour vous conformer

La loi est déployée en trois phases, s’échelonnant de septembre 2022 à septembre 2024. Nous vous résumons ci-dessous les principales mesures à mettre en place concernant votre site web* pour chacune de ces phases.

Phase 1 : Septembre 2022

Eh oui, certaines mesures sont déjà en vigueur. Le saviez-vous?

  • Nommer une personne responsable de la protection des renseignements personnels au sein de votre organisation et rendre ses coordonnées accessibles sur votre site web. On retrouve généralement cette information dans la politique de confidentialité. 

  À défaut d’avoir un site web, ces informations doivent être disponibles sur tout autre document accessible publiquement. 

  • Faire l’inventaire des renseignements personnels récoltés par votre organisation et évaluer leur sensibilité. Dans le cas de votre site Web, faites l’inventaire de tous les renseignements personnels que vous collectez au sujet des visiteurs de votre site, que ce soit via des formulaires de contact, des achats en ligne, ou encore, des applications de traçage ou de statistiques… 

 

  • Tenir un registre des incidents et obligations de communication

Phase 2 : Septembre 2023

La phase 2 est celle qui aura le plus d’impact sur votre site Web. 

 

  • Publier sur votre site web une politique de confidentialité, rédigée en termes simples et clairs, indiquant notamment quels sont les renseignements personnels qui sont collectés et de quelle façon ils sont utilisés et stockés. 

 

Heureusement, il existe des générateurs de politique de confidentialité qui peuvent grandement vous aider. Nous utilisons et recommandons celle-ci : https://www.politiquedeconfidentialite.ca/ C’est gratuit!

 

  • Respecter les nouvelles règles concernant le consentement à la collecte des renseignements personnels ainsi qu’à l’utilisation et à la communication de ceux-ci.

 

Quand un visiteur se promène sur votre site Web, des données sont récoltées à son sujet, et ce, souvent à son insu. Sans même qu’il n’ait fait un achat ou rempli un formulaire, vous détenez probablement déjà de l’information sur lui, notamment via des outils tels que Google Analytics, le pixel Facebook et bien d’autres.

 

Désormais, vous n’avez plus le droit de récolter ces informations à moins d’obtenir un consentement de la part de l’utilisateur. Vous devez également consigner le consentement dans un registre numérique.

 

Bonne nouvelle : il existe des extensions qui permettent de gérer tout ça pour vous. Nous utilisons et recommandons la plateforme illow.io.  

 

Cette extension permettra d’installer une bannière d’acceptation des cookies (cookie bar) sur votre site et de gérer, sans trop d’efforts, toutes vos obligations en lien avec le consentement des visiteurs de votre site web. 


Autre bonne nouvelle, si vous faites des affaires à l’extérieur du Québec, illow.io permet non seulement de se conformer aux exigences de la Loi 25, mais également à toutes les réglementations en vigueur dans le monde concernant la protection de la vie privée. (Parce que oui, chaque pays a ses propres règles!)

Phase 3 : Septembre 2024

  • Garantir le droit à la portabilité des données. Vous devrez être en mesure de fournir, à toute personne qui en fait la demande, les renseignements personnels que vous détenez à son sujet, et ce, dans un format électronique accessible.

Les sanctions en cas d’infractions

Dès septembre 2023, des sanctions/amendes pourront être émises envers les organisations qui ne respectent pas les réglementations en vigueur de la Loi 25. 

 

Un travailleur autonome non conforme s’expose ainsi à une amende pouvant aller jusqu’à 100 000 $.

 

Une entreprise privée non conforme s’expose à une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires, ou jusqu’à 25 millions de dollars, selon le montant le plus élevé. 

Écrit par Alexandre Gauthier
[email protected]

Autres conseils à découvrir