Des amendes qui peuvent coûter cher
La nouvelle loi 25 sur la protection des données personnelles, dont certaines des plus importantes mesures sont entrées en vigueur en septembre 2023, vous concerne presque à coup sûr. En effet, toutes les entreprises et organisations qui collectent des données personnelles sur une plateforme Web sont touchées et ça fait beaucoup beaucoup de monde.
La loi impose des responsabilités et des obligations qui sont loin d’être mineures, mais commençons par le plus frappant : les sanctions auxquelles vous vous exposez peuvent aller jusqu’à 25 millions de dollars ou 4% de votre chiffre d’affaire.
Cette loi vise à protéger les données sensibles des citoyens, mais pour y parvenir il y a une foule de dispositions à respecter désormais pour le traitement des renseignements personnels.
Des mesures à mettre en place sans délais
Si certaines mesures prendront effet en 2024, certaines autres sont déjà en vigueur ou sont sur le point de l’être à la fin de cet été :
- Nommer un responsable de la protection des données personnelles dans votre organisation, qui sera chargé de mettre en place une politique sur les pratiques et les mesures de sécurité informatique afin de protéger ces données. Son nom et ses coordonnées doivent être indiqués sur votre site web.
- Il faudra recenser les divers types de données récoltées et hiérarchiser la gravité des incidents pouvant se produire en vertu de ces types de données.
- Informer la commission d’accès à l’information de toute fuite de données ou de violation des données personnelles, et instaurer un registre à cet effet.
- Les entreprises devront aussi mettre en place sur leur site web ou leur application mobile Web des outils de gestion du consentement pour les témoins ou cookies. (septembre 2023)
- Créer (ou mettre à jour) votre politique de confidentialité et la publier (septembre 2023).
Concernant la gestion du consentement des témoins (cookies), mbiance a prévu le coup et propose une solution simple à intégrer à votre plateforme Web, que celle-ci ait été ou non conçue par notre agence Web. Nous pouvons aussi vous aider à mettre sur pied votre nouvelle politique de confidentialité.
Remplissez le formulaire au bas de cette page à ce sujet pour de plus amples détails, ou rendez-vous à notre page de contact.
Ne mettez pas à risque votre plateforme Web
Si par exemple votre site ou votre application utilisent des plateformes de paiement externes ou des sites tiers, comme paypal, Stripe, Moneris ou autres, les données personnelles que fournissent vos utilisateurs à ces sites sont concernées par la loi, même si l’entreprise opère hors du Québec ou du pays. Que votre utilisateur ne soit pas canadien ne l’exclut pas de la protection de la loi si votre entreprise ou organisme est basé au Québec. D’où l’importance de bien choisir à quelles plateformes ou passerelles tierces votre site ou votre app sera liée, et de bien remplir les obligations de la nouvelle loi à propos de l’utilisation de données par des tiers.
Si votre site Web est réalisé avec WordPress, Joomla, Drupal ou un plugin comme Woo Commerce, vous êtes beaucoup plus à risque car ces plateformes sont des cibles de choix pour des cyberattaques et des malwares.
D'autant plus que c’est directement votre entreprise qui collecte les données personnelles via ces CMS open source génériques. Plus que jamais, réaliser un site Web ou une application open source sur mesure peut vous éviter les graves problèmes de sécurité que posent les plateformes comme WordPress.
Des problèmes qui ne sont plus seulement des problèmes corporatifs ou d'affaires, mais qui deviennent aussi des problèmes juridiques majeurs.
L’importance de votre partenaire Web
Depuis septembre 2023 et aussi en septembre 2024, certaines mesures critiques de la loi sont entrées et entreront en vigueur et nécessitent dès maintenant votre attention. Entre autres, les consommateurs pourront exiger le retrait de leurs informations personnelles, et obtenir sur simple demande une copie numérique des informations recueillies par une entreprise à propos d’eux.
On voit tout de suite le défi que cela représentera pour les PME, les start-ups et les petits organismes. Si leur fournisseur Web ou leur agence Web ou marketing a conçu pour eux les outils pouvant récolter ces données, c'est l’entreprise qui possède le site Web ou l’application qui demeure tenue de faire supprimer des données ou qui doit faire acheminer une copie numérique aux utilisateurs qui le réclament. D’où l’importance de choisir un partenaire Web fiable et reconnu comme mbiance, bien au fait de la nouvelle Loi 25, et apte à fournir rapidement les copies numériques demandées ou à effectuer la suppression exigée.
D’autres mesures de la Loi 25 nécessiteront des changements à l’interne des organisations, tels que revoir les contrats afin de les ajuster à la nouvelle Loi, bien former le personnel, bien réglementer et ajuster les contrats de travail en fonction de la protection des données, entre autres concernant le télétravail.
Envers les clients, consommateurs et utilisateurs, les politiques de confidentialité et de protection des données devront être affichées sur une page Web, et le consentement devra être décrit et demandé rigoureusement avant l’amorce d’une transaction sur le Web.
Sur toutes ces questions, le choix de votre partenaire Web sera de la plus haute importance afin d'alléger le fardeau de ces nouvelles obligations. N'hésitez pas à nous contacter via le formulaire ci-dessous, à propos de votre projet Web ou de vos préoccupations sur ces questions!
AVIS : Ce contenu est à titre indicatif. Il ne peut être considéré comme un avis juridique ou se substituer à une évaluation professionnelle. Veuillez consulter l'information disponible sur le site du gouvernement du Québec, ici.