J'utilise Google Analytics sur mon site, qu'est-ce que je dois faire ?

Si vous utilisez UA ou GA4 sur votre site, vous recueillez des données sur les visiteurs, ce qui peut inclure des renseignements personnels. Pour vous conformer à la Loi 25, vous devez vous assurer de : Informer les visiteurs de votre site que vous utilisez Google Analytics et de la manière dont leurs données sont collectées et utilisées. Obtenir le consentement des visiteurs avant de commencer à collecter leurs données. Offrir la possibilité aux visiteurs de refuser le suivi de leurs données ou de demander la suppression de leurs données. Configurer des paramètres pour respecter les lois sur la protection des données

Qu'est-ce qu'un renseignement personnel selon la Loi 25 ?

Un renseignement personnel est toute information concernant une personne physique qui permet de l'identifier. Cela peut inclure des informations telles que le nom, l'adresse, l'adresse électronique, le numéro de téléphone, la date de naissance, le numéro d'assurance sociale.

Que faire en cas de violation de données sur mon site web?

Si une violation de données se produit sur votre site web, vous devez immédiatement en informer la Commission d'Accès à l'Information (CAI) et les personnes concernées si la violation présente un risque sérieux de préjudice. Vous devez également tenir un registre des incidents de confidentialité et mettre en œuvre des mesures pour prévenir de futures violations.

Comment puis-je assurer la sécurité des données personnelles sur mon site web?

Pour protéger les données personnelles sur votre site web, vous devez mettre en place des mesures de sécurité appropriées telles que le chiffrement des données, la gestion des accès et la surveillance régulière des vulnérabilités. Vous devez également former vos employés sur les meilleures pratiques en matière de protection des renseignements personnels et de sécurité informatique.

Quels sont les droits des personnes concernées par la Loi 25?

Les personnes concernées ont plusieurs droits relatifs à leurs renseignements personnels. Elles ont le droit d'accéder à ces renseignements, de les corriger, de les supprimer (droit à l'oubli) et de limiter leur traitement. Elles peuvent également demander la portabilité de leurs données, c'est-à-dire les recevoir dans un format structuré transféré à une autre organisation. Enfin, les personnes concernées ont le droit d'être informées lorsqu'une décision les concernant est prise sur la base d'un traitement automatisé de leurs données.

Que faire si une entreprise ne répond pas à ma demande concernant mes informations personnelles?

Si une entreprise ne répond pas à votre demande dans un raisonnable, vous pouvez déposer une plainte auprès de la Commission d'Accès à l'Information (CAI). La CAI étudiera votre plainte et pourra prendre des mesures pour s'assurer que l'entreprise respecte la Loi 25. Cela peut inclure des enquêtes, des médiations, des sanctions administratives ou même des poursuites judiciaires, selon la gravité de l'infraction et la coopération de l'entreprise. Vous pouvez aussi envoyer une mise en demeure à l'entreprise, leur demandant de se conformer à vos demandes en vertu de la Loi 25. Assurez-vous de fournir des détails sur la demande initiale et les délais écoulés.

Loi 25 expliquée simplement: Les nouvelles règles sans jargon

23 mars 2023 · 9 minutes de lecture

Éléments clés

Qu'est-ce que la Loi 25?

Qui est concerné?

Les obligations à respecter

Sanctions en cas de non-conformité

Liste de vérification avant la date butoir

Le compte à rebours a commencé! La Loi 25 du Québec arrive pour protéger nos données personnelles dans l'ère numérique, et son impact sur les petites et grandes entreprises sera considérable.

Cette loi renforce la protection de nos informations et responsabilise les entreprises. Découvrons cette avancée majeure qui changera notre rapport au numérique!

C'est quoi la Loi 25?

La Loi 25 est une loi québécoise qui a pour but de protéger nos données personnelles. Elle a été mise en place en septembre 2022 et concerne toutes:

entreprises
villes
municipalités
organismes

qui collectent, utilisent ou divulguent des renseignements personnels.

En gros, elle vise à assurer que nos informations soient traitées de manière sécurisée et respectueuse de notre vie privée.

Qui est concerné?

La nouvelle loi peut s'appliquer à toutes les organisations faisant affaire avec les québécois. Elles doivent se conformer à cette loi si elles collectent, utilisent ou partagent des renseignements personnels. Peu importe l'emplacement ou les activités de ces organisations.

Oui, même les achats en ligne internationaux effectués par des clients québécois sont touchés!

Les obligations à respecter

Phase	Obligations	Dates butoirs
1	Nommer un responsable de la protection des renseignements personnels Créer un comité sur l'accès à l'information et la protection des renseignements personnels Procédure d'avis en cas d'incident de confidentialité Interdiction de communiquer tout renseignements personnels sans consentement Divulgation des banques de caractéristiques ou de mesures biométriques	22 septembre 2022
2	Politiques et pratiques de gouvernance des renseignements personnels Transparence (publication des règles de gouvernance, politique de confidentialité, etc.) Anonymisation des renseignements personnels Assujettissement des partis politiques provinciaux Évaluation des facteurs relatifs à la vie privée Offrir plus de contrôle aux individus sur la manière dont leurs données sont utilisées et partagées. Confidentialité par défaut dans les produits ou services technologiques Droit à la désindexation (effacement ou oubli) Interdiction de communiquer des renseignements personnels à l'extérieur du Québec Collecte de renseignements personnels concernant un mineur de moins de 14 ans Sanctions administratives pécuniaires imposées par la Commission	Septembre 2023
3	Droit à la portabilité des renseignements personnels Registre provincial des incidents (potentiellement)	Septembre 2024

Les sanctions en cas de non-conformité

Ne pas respecter la Loi 25 peut coûter cher! Les organisations risquent des amendes importantes si elles ne respectent pas les règles.

Type d'organisation	Infraction	Pénalités
Entreprises	Non-respect de la réglementation	$10 M ou 2% du chiffre d'affaires mondial de l'exercice précédent
Entreprises	Sanctions pénales (faute lourde ou mauvaise intentions)	4% des ventes ou entre $15 000 et $25 M
Organismes publiques	Non-respect de la réglementation (Catégorie 1)	Entre $3 000 et $30 000
Organismes publiques	Non-respect de la réglementation (Catégorie 2)	Entre $15 000 et $150 000
Personne physique	Infractions	Entre $5 000 et $100 000

En cas de sanction administrative pécuniaire, une entente avec la CAI est possible pour déterminer les mesures à prendre.

Les citoyens peuvent intenter une poursuite civile, avec des dommages-intérêts à partir de $1 000 par personne. Les organisations pourraient également être passibles d'amendes en vertu du Code civil du Québec.

Qu'est-ce que cela signifie pour vous en tant que propriétaire de site web

Il est essentiel de garantir que votre site web ou service en ligne respecte les règles établies. Ceci est primordial pour protéger les données personnelles de vos utilisateurs.

Voici un aide mémoire pour les propriétaires de site web.

Politique de confidentialité expliquant de manière simple comment vous collectez, utilisez et protégez les données personnelles des utilisateurs.

Obtenir le consentement explicite pour la collecte de données sur le site. Options claires pour retirer le consentement.

Nommer un responsable de la protection des données et publier les coordonnées sur le site.

Créer un comité de protection des données. Exemple, un membre du département juridique, un de la sécurité informatique et le porte parole. Ils peuvent être externes à l'entrepise.

Procédures de notification et registre d'incident. Déterminer qui va informer les personnes concernées, communiquer avec la comission et comment.

Ne pas communiquer les renseignements personnel hors du Québec, sauf dans certaines circonstances spécifiques.

Mettre en place des processus pour anonymiser les données personnelles lorsque cela est possible.

Google Analytics et Facebook Pixel ont des fonctionnalités qui permettent de mettre en place ces mesures de protection des données.

Par exemple, Google Analytics permet de masquer les adresses IP des utilisateurs et de configurer des paramètres pour respecter les lois sur la protection des données.

Facebook Pixel offre également des options pour protéger les données, telles que la possibilité d'activer la fonctionnalité de restriction du traitement des données.

Optionnel

Si vous prenez des décisions basées exclusivement sur un traitement automatisé, assurez-vous d'informer les personnes concernées.

Divulguer les technologies d'identification et de localisation et offrir la possibilité d'activer ou désactiver ces fonctions.

En prenant ces mesures avant septembre 2023, vous serez en mesure de vous conformer aux nouvelles exigences.

Le rôle de la Commission d'Accès à l'Information (CAI)

La CAI est l'organisme chargé de veiller au respect de la Loi 25. L'autorité est chargée de recevoir les signalements d'incidents de confidentialité. Elle peut aussi sanctionner financièrement les organisations qui ne respectent pas les obligations prévues par la loi. Elle peut également intenter des poursuites pénales pour les infractions. La CAI a pour mission de garantir que les organisations protègent correctement nos données personnelles et respectent nos droits en matière de vie privée.

Porter plainte auprès de la Commission d'Accès à l'Information

Voici les étapes à suivre:

1. Rendez-vous sur le site web de la CAI à l'adresse : https://www.cai.gouv.qc.ca/
2. Cliquez sur l'onglet "Déposer une plainte" ou "Porter plainte" sur la page d'accueil.
3. Vous trouverez des informations détaillées sur le processus de dépôt de plainte, y compris les différents motifs de plainte possibles.
4. Remplissez le formulaire de plainte en ligne ou téléchargez-le et remplissez-le manuellement.
5. Envoyez le formulaire complété par courriel, par la poste ou en personne à l'adresse indiquée sur le site web de la CAI. Assurez-vous de fournir autant d'informations que possible pour aider la CAI à traiter votre plainte. Gardez à l'esprit que la CAI pourrait vous contacter pour obtenir des informations supplémentaires ou des clarifications sur votre plainte.

Résumé et conclusion

La Loi 25 est une législation québécoise importante qui vise à protéger nos données personnelles. La CAI impose des obligations aux organismes qui collectent, utilisent ou divulguent des renseignements personnels.

Le non-respect de cette loi peut entraîner des sanctions financières importantes pour ces organisations. La CAI joue un rôle crucial dans la surveillance et l'application de cette loi.

C'est notre responsabilité de veiller à la protection de nos renseignements personnels et d'être conscients des droits que nous avons en matière de vie privée. N'hésitez pas à partager cet article avec vos amis et votre famille pour les informer sur l'importance de la protection des données personnelles. Ensemble, protégeons notre vie privée en ligne!

La Loi 25: Le compte à rebours est lancé!

Éléments clés

C'est quoi la Loi 25?

Qui est concerné?

Les obligations à respecter

Les sanctions en cas de non-conformité

Qu'est-ce que cela signifie pour vous en tant que propriétaire de site web

Optionnel

Le rôle de la Commission d'Accès à l'Information (CAI)

Porter plainte auprès de la Commission d'Accès à l'Information

Résumé et conclusion

Foire aux questions

à propos de l'auteur