Nombreuses sont les entreprises qui mentionnent ne pas avoir l’intention de se conformer à la Loi 25 dont l’application sur le terrain semble être le parcours du combattant.
- Par où commencer ?
- Qui doit être responsable de la protection des renseignements personnels au sein de l’entreprise ?
- Quelles sont ses responsabilités ?
- Et qu’en est-il de nos données stockées chez des entreprises hors Québec ?
Ce webinaire animé par Khady Niang Ly, juriste spécialisée en droit des technologies de l’information et de la protection des renseignements personnels, vous offre un éclairage pragmatique sur l’application de la Loi 25.
De nouvelles obligations concrètes
Le premier point clé concerne la nomination d’un responsable de la protection des renseignements personnels (RPRP), qui devient obligatoire. Cette personne doit veiller à la conformité de l’organisation, en mettant en place les politiques et les mécanismes nécessaires pour assurer une gestion sécuritaire et transparente des données.
Au-delà de cette responsabilité officielle, la loi oblige aussi les entreprises à revoir plusieurs aspects de leurs pratiques : obtention du consentement, conservation des données, accès aux renseignements, transparence envers les clients et partenaires, et mesures en cas d’incident de sécurité.
Un autre enjeu important porte sur les données hébergées à l’extérieur du Québec, notamment lorsqu’elles sont stockées sur des serveurs situés aux États-Unis. La Loi 25 exige désormais une évaluation des facteurs relatifs à la vie privée avant de communiquer des renseignements personnels hors du Québec, afin de s’assurer qu’un niveau de protection équivalent soit garanti.
Par où commencer?
Pour s’y conformer, plusieurs étapes concrètes peuvent être amorcées sans attendre : rédiger ou mettre à jour sa politique de confidentialité, dresser un registre des activités de traitement des données, former les employés, sécuriser les systèmes informatiques, et prévoir un plan de gestion des incidents.
Même si l’ensemble peut sembler complexe, la mise en conformité peut se faire progressivement. L’essentiel est d’adopter une démarche structurée, alignée avec les réalités de l’organisation, et de favoriser une culture interne axée sur la responsabilité et la transparence.
La Loi 25 représente une occasion de renforcer la confiance des clients, des employés et des partenaires en assurant une gestion rigoureuse des informations personnelles. Au-delà de l’obligation légale, il s’agit aussi d’un levier stratégique pour toute organisation soucieuse d’éthique et de pérennité.
Pour aller plus loin :
Loi 25 : se mettre en conformité