Académique Documents
Professionnel Documents
Culture Documents
AU QUÉBEC
JESSIE AWAKOSSA
Aide-mémoire Loi 25
La Loi 25 est une loi québécoise qui a pour but de protéger nos données personnelles.
Selon cette loi, il est interdit de communiquer tout renseignements personnels sans
consentement. Vous devez vous conformer à cette loi si votre entreprise ou organisme
collecte, utilise ou partage des renseignements personnels.
Rappelons que les modifications apportées par la Loi 25 entrent progressivement en vigueur
sur une période de trois ans, jusqu'en 2024. La prochaine date à retenir est le 22 septembre
2023.
À compter du 22 septembre 2022, toute personne qui exploite une entreprise sera
responsable de la protection des renseignements personnels qu’elle détient. Pour
ce faire, la personne ayant la plus haute autorité devra veiller à assurer le respect
et la mise en œuvre de la Loi sur le privé.
La loi prévoit que cette personne exercera la fonction de responsable de la
protection des renseignements personnels, mais qu’elle pourra déléguer cette
fonction par écrit, en tout ou en partie, à toute personne.
Le titre et les coordonnées du responsable devront être publiés sur le site Internet
de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen
approprié.
Par exemple:
“L’objectif de cette politique de confidentialité est d’informer les utilisateurs de notre site
www.monsite.ca des données personnelles que nous recueillons ainsi que de leur utilisation.
MonSite se conforme strictement à la loi 25 du Québec en matière de protection des
données personnelles. Cette politique de confidentialité détaille également notre
engagement et les mesures prises pour garantir la sécurité de vos informations
personnelles.”
Par exemple:
● Adresse IP
● Lieu
● Détails matériels et logiciels
● Contenu que l’utilisateur consulte sur notre site
● Liens sur lesquels un utilisateur clique en allant sur le site
Données personnelles récoltées non automatiquement
Vos données personnelles sont collectées via:
● Formulaire de contact
● Formulaire de commande
● Création d’un compte
Cela inclut les données suivantes:
● Prénom
● Nom
● Adresse postale
● Date de naissance
● Âge
● Courriel
● Numéro de cellulaire
● Mot de passe de votre compte sur notre site
● Information de paiement”
Veuillez noter que nous ne collectons que les données qui nous aident à atteindre l’objectif
énoncé dans cette politique de confidentialité. Nous ne recueillerons pas de données
supplémentaires sans vous en informer au préalable.”
Si vous utilisez Google Analytics sur (UA ou GA4) sur votre site, assurez-vous
d’informer les visiteurs de votre site que vous utilisez Google Analytics et de la
manière dont leurs données sont collectées et utilisées. Google Analytics collecte
des cookies et des adresses IP, qui constituent des données à caractère personnel.
Par exemple:
“Lors de votre visite sur www.monsite.ca, nous collectons automatiquement des informations
sur votre appareil et votre interaction avec notre site via l’outil Google Analytics. Nous avons
besoin de ces données pour comprendre comment vous utilisez notre site web afin d'en
améliorer la conception et les fonctionnalités. Nous avons également besoin de ces données
pour tirer le meilleur parti de nos campagnes de marketing”
Par exemple:
“ Nous utilisons ces données pour:
● Exécuter des contrats
● Envoyer des offres promotionnelles et des communications ciblées via notre infolettre
● Faire des analyses statistiques pour améliorer le site
● Faire un suivi de commande
● Dans le cadre d’un protocole de sécurité des données.
Dans votre politique de confidentialité expliquez de manière simple avec qui sont
partagés les renseignements personnels des utilisateurs et dans quelle situation ou
finalité..
Par exemple:
“Notre engagement est clair : nous ne vendons pas et ne vendrons jamais vos
renseignements personnels à quiconque.
Cependant, il est possible que nous devions partager vos renseignements personnels avec
des tiers dans le cours normal des affaires.
Par exemple:
“Vos données sont stockées dans un environnement sécurisé et contrôlé. MonSite utilise
des protocoles SSL et des mesures de sécurité robustes avec double authentification pour
prévenir tout accès non autorisé.
Nous nous engageons à ne pas vendre ou partager vos données avec des tiers sauf si la loi
l’exige ou en cas de procédure judiciaire.
Nous pouvons divulguer à tout membre de notre organisation les données utilisateur dont il
a raisonnablement besoin pour réaliser les objectifs énoncés dans la présente politique.”
Par exemple:
“Nous stockons les données personnelles pour une durée de 5 ans. Nous veillerons à ce
que les utilisateurs soient avisés si leurs données sont conservées plus longtemps que cette
durée.”
Dans votre politique de confidentialité, offrez plus de contrôle aux individus sur la
manière dont leurs données sont utilisées et partagées. Expliquez comment les
utilisateurs peuvent exercer ces droits et vous contacter s’ils souhaitent modifier des
informations relatives à leurs données personnelles.
Par exemple:
“Si vous êtes résident du Québec, conformément à la loi 25, vous bénéficiez de droits
spécifiques concernant vos données personnelles: Droit d’être informé, droit d’accès, droit à
la rectification, droit à la portabilité des données.
Vous pouvez nous contacter si vous souhaitez apporter des modifications, supprimer ou
anonymiser vos données personnelles.
Vous avez le droit de vous opposer à l’utilisation de vos données et de les retirer. Pour
exercer ces droits, contactez notre responsable de la protection des données personnelles
Adresse: ____________________________
Courriel: ______________________
Téléphone: ______________________
Site web: ______________________
Par exemple:
Consentement et retrait
“Vous pouvez visiter notre site sans révéler votre identité. Cependant, certaines
fonctionnalités nécessitent la collecte de données personnelles. Vous avez toujours le choix
de ne pas fournir ces informations.
Mineurs
La loi 25 précise que les personnes de moins de 14 ans sont considérées comme des
mineurs aux fins de la collecte de données. Leurs renseignements personnels ne pourront
être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou
du tuteur, sauf lorsque cette collecte sera manifestement au bénéfice de ce mineur.”
Par exemple:
”Notre site peut contenir des liens vers d'autres sites internet. Nous ne sommes
pas responsables de leurs pratiques de confidentialité.”
Par exemple:
”Notre politique de confidentialité a été mise à jour le 13/10/2023
Pour toute question relative à cette politique de confidentialité, vous pouvez
nous contacter via [Courriel de contact].
En utilisant notre site [URL de votre site], vous acceptez les termes de cette
politique de confidentialité.”
Faites affaire de préférence avec un fournisseur de services québécois qui héberge
les données au Québec. Éviter de communiquer les renseignements personnels hors
du Québec. Mentionnez également si ces données sont transférées hors du Québec
ou partagées avec des tiers.
Par exemple:
“Les données utilisateur peuvent être consultées, traitées ou collectées dans les pays
suivants: Canada et États-Unis.”
Publier votre politique de confidentialité sur votre site Web et la rendre facilement
accessible via un lien en pied de page ou dans le menu principal.
🛠️
Vous pouvez utiliser un générateur de politique de confidentialité est un outil en
ligne qui crée une politique de confidentialité standardisée . Il vous suffit de
remplir certains critères et l’outil vous rédige automatiquement une politique de
confidentialité.Cependant, assurez-vous que le générateur est à jour avec la
législation en vigueur. Pour le Canada, nous vous conseillons cet outil générateur
de politique de confidentialité.
Publier des conditions d’utilisation sur votre site Web relativement aux services que
vous offrez
Vous pouvez utiliser un générateur de Conditions générales d'un site web. C’est
un outil gratuit et en ligne qui crée des Conditions générales standardisées 🛠️ . Il
vous suffit de remplir certains critères et l’outil vous rédige automatiquement les
Conditions générales d’utilisation de votre site Web. Cependant, assurez-vous que
le générateur est à jour avec la législation en vigueur. Pour le Canada, nous vous
conseillons ce générateur de conditions générales d’un site web.
Par exemple:
“ La Politique sur les témoins de connexion a pour but d'informer le public au sujet des
pratiques en matière de témoins de connexion, tel que requis par la Loi modernisant des
dispositions législatives en matière de protection des renseignements personnels (Loi 25).et
la loi Anti-pourriel.
Nous utilisons des témoins de connexion et des outils similaires sur le site Web [URL de
votre site], pour améliorer sa performance et bonifier l'expérience des utilisateurs. La
Politique sur les témoins de connexion (la « Politique ») décrit comment nous utilisons les
témoins. L’utilisateur peut désactiver l’utilisation des témoins sur le site Web à tout moment,
mais cela pourrait avoir une incidence sur l’expérience utilisateur.
Nous utilisons des témoins persistants ou temporaires. Un témoin temporaire est un fichier
qui n’est actif que pendant la visite sur le site Web et qui est supprimé lorsque le navigateur
est fermé. Les témoins persistants, quant à eux, demeurent dans l’appareil pour une
certaine période ou une période indéterminée.
Pour analyser les visites sur notre site, nous utilisons le logiciel Google Analytics qui utilise
les fichiers témoins pour enregistrer certains comportements des visiteurs, comme le
nombre de visites sur le site, le chemin parcouru et la durée de la visite.
Autres renseignements
Il est possible d’obtenir davantage de détails sur la façon dont les organisations utilisent les
témoins en général sur leur site Web en consultant le site www.allaboutcookies.org (anglais
seulement).
Nous joindre
Pour tout commentaire ou question concernant nos pratiques de gestion des témoins de
connexion , veuillez communiquer avec la responsable de la protection des renseignements
personnels via [Courriel de contact].
Par exemple:
“ Une personne peut nous soumettre une plainte relative à la protection des renseignements
personnels la concernant.
Cette plainte doit être soumise dans le délai de 15 jours suivant le jour auquel la personne
constate un événement donnant lieu à sa plainte.
La plainte doit être adressée par écrit à l’attention du Responsable de l’accès à l’information
et la protection des renseignements personnels à l’adresse suivante :
[Adresse complète]
Créer une procédure pour l’évaluation des facteurs relatifs à la vie privée
Par exemple:
“ L'échelle de risque chiffrée est présentée en ordre croissant :
● Le niveau 1 représente le niveau de risque le plus bas pour le secteur;
● Le niveau 4 représente le niveau de risque le plus haut pour le secteur.
Élément
Nature du risque
Niveau du risque
Mécanismes de
réduction des
risques
Recenser les fournisseurs de services traitant des renseignements personnels pour
votre compte et déterminer si un contrat écrit conforme aux exigences légales a bien
été conclu avec chacun d’eux.
Réviser vos formulaires de consentement pour vous assurer qu’ils sont conformes
aux nouvelles exigences de la Loi sur le privé. Les éléments suivants doivent
notamment s’y retrouver :raison pour laquelle les renseignements personnels sont
collectés, moyens par lesquels ils sont collectés, droits d’accès, de rectification et de
retrait du consentement, nom du tiers pour qui la collecte est faite, catégories des
fournisseurs de services ayant accès aux renseignements personnels, transfert des
renseignements à l’extérieur du Québec.S’assurer également qu’un consentement
explicite est obtenu des individus concernés lorsque des renseignements personnels
sensibles sont collectés. Attention également à la collecte de renseignements
personnels concernant un mineur de moins de 14 ans
Mettre en place des mesures de sécurité appropriées telles que le chiffrement des
données, la gestion des accès et la surveillance régulière des vulnérabilités. Vous
devez également former vos employés sur les meilleures pratiques en matière de
protection des renseignements personnels et de sécurité informatique.
Si une violation de données se produit sur votre site web, vous devez
immédiatement en informer la Commission d'Accès à l'Information (CAI) et les
personnes concernées si la violation présente un risque sérieux de préjudice. Mettre
en place une procédure en cas d’incident de sécurité de l’information : qui va
informer les personnes concernées, qui va communiquer avec la commission et
comment. Vous devez également mettre en œuvre des mesures pour prévenir de
futures violations
Établir une grille ou un document similaire qui fournira les critères permettant de
déterminer si un incident de confidentialité présente un risque de préjudice sérieux
pour les personnes concernées, auquel cas il devra être notifié à la Commission
d’Accès à l'information (CAI) et aux personnes concernées par l’incident. Les
facteurs à considérer sont : la sensibilité des renseignements en cause ; les
conséquences appréhendées de leur utilisation, et la probabilité qu’ils soient utilisés
à des fins préjudiciables.
Tenir un registre pour les incidents de confidentialité et ce, même s’ils ne comportent
pas de risque de préjudice sérieux .Les renseignements contenus au registre doivent
être tenus à jour et conservés pendant une période minimale de cinq ans après la
date ou la période au cours de laquelle l’organisation a pris connaissance de
l’incident. Le registre doit être communiqué à la CAI sur demande. En savoir plus.
Ce guide vous a donné toutes les clés et les bonnes pratiques pour vous lancer dans la
rédaction d’une politique de confidentialité conforme à la loi 25.Il ne constitue pas une
opinion ou un avis juridique. La loi 25 évolue! Pour connaître les règles particulières à votre
situation, veuillez vous référer à un avocat.