Marketing et relation client
Article
Nouvelle
Étude de cas
Portrait de formateur

Loi 25 : les entreprises tardent à se conformer

Technologia
par Technologia
Technologia
Loi 25 : les entreprises tardent à se conformer

En septembre 2023 entrait en vigueur la deuxième phase de la Loi 25 protégeant la vie privée et les renseignements personnels des Québécois·es. Elle a engendré plusieurs enjeux pour les organisations, en ce qui a trait à l’utilisation des réseaux et de leurs efforts marketing pour récolter un maximum de données sur leurs utilisateurs et, par conséquent, leurs client·es. Toutefois, il semble que les entreprises ne suivent pas la cadence afin de se conformer aux exigences de la loi dans les délais impartis.

Retour en arrière : qu’est-ce que la Loi 25? 

La loi 25 impose de nouvelles obligations aux organisations en matière de protection des données et renseignements personnels des citoyen·nes. Du travail est à prévoir du côté des services de ressources humaines quant à la création de l’inventaire des renseignements personnels et sa gestion. Pourquoi la loi 25 concerne-t-elle particulièrement les services des ressources humaines (RH)? Parce que celles-ci détiennent de nombreux renseignements personnels sur les employé·es, des informations qui doivent impérativement être protégées. 

Selon la Commission d’accès à l’information du Québec, « les renseignements personnels sont ceux qui portent sur une personne physique et permettent de l’identifier. Ils sont confidentiels. Sauf exceptions, ils ne peuvent être communiqués sans le consentement de la personne concernée. » 

Les faits : un retard majeur pour la plupart des entreprises 

Ce retard n’est théoriquement pas une catastrophe puisque les entreprises ont jusqu’en septembre 2024 pour finaliser leur conformité à la Loi 25. Néanmoins, on ne recense que 3 % des organisations qui ont procédé à des changements concrets pour se mettre à jour. Qui plus est, environ 60 % des quelque 255 000 PME québécoises déclarent n’avoir aucune intention réelle de se conformer à la loi 25. La loi semble encore loin de s'imposer pleinement malgré les sanctions pécuniaires non négligeables à la clé. Reste à voir quelles seront les réactions des réfractaires quand ils devront verser une part de leur chiffre d’affaires en amende. 

Simple à appliquer, la Loi 25? 

Les chiffres énoncés précédemment sont issus d’un audit automatisé des sites Web québécois, permettant d'identifier ceux qui demandnt le consentement de leurs visiteurs ainsi que les données collectées. Cependant, bien que plus de 3 % des sites aient mis en place un formulaire de consentement, cela ne garantit pas une conformité totale.  

Une entreprise qui demande à un technicien d’installer un simple bandeau de consentement sur son site web n’est pas automatiquement conforme à la Loi.  

Se conformer à la Loi 25 : par où commencer? 

  1. Commencez par faire l’inventaire de tous les renseignements personnels que vous détenez et ce, à tous les niveaux : client·es, fournisseurs, employé·es, dirigeant·es, etc. Vous serez peut-être même surpris·e de constater que de nombreuses données personnelles se trouvaient à l’intérieur de fichiers qui n’étaient pas protégés. Ainsi, un grand ménage s’impose! 
  2. Identifiez le niveau de confidentialité des informations que vous détenez. Par exemple, des numéros d’assurance sociale sont ultra confidentielles, alors que l’âge d’une personne l’est sans doute moins.
  3. Déterminez qui a accès à ces renseignements personnels et qui en aura le contrôle total. Prévoyez une procédure de mise à jour des accès (par exemple) lors du départ d’un employé. 
  4. Validez quelle sera la période pendant laquelle ces renseignements personnels seront stockés. Bien sûr, une analyse approfondie par un professionnel est de mise afin de vous assurer d’être entièrement en conformité avec la Loi. 

Pour conclure 

Saviez-vous qu’avec la Loi 25, il est recommandé d’ajouter une clause au contrat d’embauche qui mentionne qu’à la signature de ce document, l’employé·e consent à ce que l’entreprise utilise ses renseignements personnels selon la politique de protection des renseignements personnels? Cette politique que le travailleur·euse en question pourra consulter sur le site web de l’entreprise. En effet, on pense souvent à la Loi 25 pour les éléments externes à l’entreprise (client·es, fournisseurs, etc.), mais l’implantation des principes de cette règle devrait maintenant commencer dès l’embauche. En définitive, si certaines entreprises tardent à s’y conformer, il n’en demeure pas moins que loi vise à mieux protéger la vie privée et les données confidentielles de l’ensemble de la population. 

Pour aller plus loin :

Loi 25 : consentement des utilisateurs et actions marketing

 

Sources :  

Revue Gestion - La loi 25 et les RH : les 3 principales procédures à mettre en place 

Le Devoir - Seule une poignée d’entreprises sont conformes à la nouvelle loi sur les renseignements personnels 

Axeptio - Loi 25: seulement 30% des entreprises québécoises conformes en septembre 2024 

Articles similaires

Voir tous les articles de blogue