Loi 25

AU QUÉBEC

JESSIE AWAKOSSA
 Aide-mémoire Loi 25

pour protéger les données de vos clients

La Loi 25 est une loi québécoise qui a pour but de protéger nos données personnelles.
Selon cette loi, il est interdit de communiquer tout renseignements personnels sans
consentement. Vous devez vous conformer à cette loi si votre entreprise ou organisme
collecte, utilise ou partage des renseignements personnels.
Rappelons que les modifications apportées par la Loi 25 entrent progressivement en vigueur
sur une période de trois ans, jusqu'en 2024. La prochaine date à retenir est le 22 septembre
2023.

Les étapes à respecter pour être conforme à la Loi 25

Nommer un responsable de la protection des renseignements personnels (PRP)

dans votre entreprise et établir une description de ses rôles et responsabilités.

À compter du 22 septembre 2022, toute personne qui exploite une entreprise sera
responsable de la protection des renseignements personnels qu’elle détient. Pour
ce faire, la personne ayant la plus haute autorité devra veiller à assurer le respect
et la mise en œuvre de la Loi sur le privé.
La loi prévoit que cette personne exercera la fonction de responsable de la
protection des renseignements personnels, mais qu’elle pourra déléguer cette
fonction par écrit, en tout ou en partie, à toute personne.
Le titre et les coordonnées du responsable devront être publiés sur le site Internet
de l’entreprise ou, si elle n’a pas de site, rendus accessibles par tout autre moyen
approprié.

Obtenez le consentement des visiteurs avant de commencer à collecter leurs

données (cookies). Vous pouvez utiliser des outils comme Cookiebot pour
automatiser le traitement des consentements. Cet outil s’occupe de la conformité, de
la surveillance et du contrôle de votre politique de cookies.L’outil propose une fenêtre
de consentement personnalisée et compréhensible pour votre site. Il génère un
 rapport mensuel sur le traitement de vos données, qui vous garantit la main mise sur
vos données. Vous pourrez les supprimer ou modifier à tout moment !
La durée légale d’un cookie est de douze mois. À cet effet, l’approbation est
automatiquement renouvelé par Cookiebot dès qu’un utilisateur se reconnecte après
un an d’activité.

Dans votre politique de confidentialité, indiquez l’objectif de votre entreprise à travers

cette politique de confidentialité.

Par exemple:
“L’objectif de cette politique de confidentialité est d’informer les utilisateurs de notre site
www.monsite.ca des données personnelles que nous recueillons ainsi que de leur utilisation.
MonSite se conforme strictement à la loi 25 du Québec en matière de protection des
données personnelles. Cette politique de confidentialité détaille également notre
engagement et les mesures prises pour garantir la sécurité de vos informations
personnelles.”

Dans votre politique de confidentialité, expliquer de manière simple le type de

renseignements personnels que vous collectez.et comment vous les collectez

Par exemple:

“Données personnelles récoltées automatiquement:

● Adresse IP
● Lieu
● Détails matériels et logiciels
● Contenu que l’utilisateur consulte sur notre site
● Liens sur lesquels un utilisateur clique en allant sur le site
Données personnelles récoltées non automatiquement
Vos données personnelles sont collectées via:
● Formulaire de contact
● Formulaire de commande
● Création d’un compte
Cela inclut les données suivantes:
● Prénom
● Nom
 ● Adresse postale
● Date de naissance
● Âge
● Courriel
● Numéro de cellulaire
● Mot de passe de votre compte sur notre site
● Information de paiement”

Veuillez noter que nous ne collectons que les données qui nous aident à atteindre l’objectif
énoncé dans cette politique de confidentialité. Nous ne recueillerons pas de données
supplémentaires sans vous en informer au préalable.”

Si vous utilisez Google Analytics sur (UA ou GA4) sur votre site, assurez-vous
d’informer les visiteurs de votre site que vous utilisez Google Analytics et de la
manière dont leurs données sont collectées et utilisées. Google Analytics collecte
des cookies et des adresses IP, qui constituent des données à caractère personnel.

Par exemple:
“Lors de votre visite sur www.monsite.ca, nous collectons automatiquement des informations
sur votre appareil et votre interaction avec notre site via l’outil Google Analytics. Nous avons
besoin de ces données pour comprendre comment vous utilisez notre site web afin d'en
améliorer la conception et les fonctionnalités. Nous avons également besoin de ces données
pour tirer le meilleur parti de nos campagnes de marketing”

Dans votre politique de confidentialité, expliquez de manière simple comment vous

utilisez les renseignements personnels des utilisateurs.

Par exemple:
“ Nous utilisons ces données pour:
● Exécuter des contrats
● Envoyer des offres promotionnelles et des communications ciblées via notre infolettre
● Faire des analyses statistiques pour améliorer le site
● Faire un suivi de commande
● Dans le cadre d’un protocole de sécurité des données.

Dans votre politique de confidentialité expliquez de manière simple avec qui sont
partagés les renseignements personnels des utilisateurs et dans quelle situation ou
finalité..

Par exemple:
“Notre engagement est clair : nous ne vendons pas et ne vendrons jamais vos
renseignements personnels à quiconque.
Cependant, il est possible que nous devions partager vos renseignements personnels avec
des tiers dans le cours normal des affaires.

Dans l’entreprise: Détailler qui et comment

Aux tribunaux, aux autorités et autres organismes: Détailler qui et comment
Aux autres entités
À des fournisseurs et partenaires
Ceux-ci doivent s'engager par contrat à se conformer et à respecter nos normes strictes en
matière de protection et de confidentialité de vos renseignements personnels, telles
qu'exposées dans cette Politique.
En plus d'être soumis aux obligations de confidentialité, le personnel des fournisseurs qui
ont accès à des renseignements personnels doit aussi respecter rigoureusement nos règles
contractuelles. Enfin, les fournisseurs et partenaires doivent appliquer des mesures de
sécurité physiques, informatiques et administratives adéquates.
Si un nouveau besoin se présentait, nous vous en informerions, à moins que la loi nous
autorise à les partager sans votre consentement. Dans tous les cas, nous assurons la
protection et la confidentialité des renseignements que nous partageons.

Dans votre politique de confidentialité, expliquez comment vous protégez les

renseignements personnels des utilisateurs.

Par exemple:
“Vos données sont stockées dans un environnement sécurisé et contrôlé. MonSite utilise
des protocoles SSL et des mesures de sécurité robustes avec double authentification pour
prévenir tout accès non autorisé.
Nous nous engageons à ne pas vendre ou partager vos données avec des tiers sauf si la loi
l’exige ou en cas de procédure judiciaire.
Nous pouvons divulguer à tout membre de notre organisation les données utilisateur dont il
a raisonnablement besoin pour réaliser les objectifs énoncés dans la présente politique.”

Dans votre politique de confidentialité, indiquez la durée pendant laquelle les

données seront conservées.

Par exemple:
“Nous stockons les données personnelles pour une durée de 5 ans. Nous veillerons à ce
que les utilisateurs soient avisés si leurs données sont conservées plus longtemps que cette
durée.”

Dans votre politique de confidentialité, offrez plus de contrôle aux individus sur la
manière dont leurs données sont utilisées et partagées. Expliquez comment les
utilisateurs peuvent exercer ces droits et vous contacter s’ils souhaitent modifier des
informations relatives à leurs données personnelles.
Par exemple:
“Si vous êtes résident du Québec, conformément à la loi 25, vous bénéficiez de droits
spécifiques concernant vos données personnelles: Droit d’être informé, droit d’accès, droit à
la rectification, droit à la portabilité des données.

Vous pouvez nous contacter si vous souhaitez apporter des modifications, supprimer ou
anonymiser vos données personnelles.
Vous avez le droit de vous opposer à l’utilisation de vos données et de les retirer. Pour
exercer ces droits, contactez notre responsable de la protection des données personnelles

Adresse: ____________________________
Courriel: ______________________
Téléphone: ______________________
Site web: ______________________

Offrez la possibilité aux visiteurs de refuser le suivi de leurs données ou de

demander la suppression de leurs données. Configurer des paramètres pour
respecter les lois sur la protection des données.

Par exemple:
Consentement et retrait
“Vous pouvez visiter notre site sans révéler votre identité. Cependant, certaines
fonctionnalités nécessitent la collecte de données personnelles. Vous avez toujours le choix
de ne pas fournir ces informations.

Mineurs
La loi 25 précise que les personnes de moins de 14 ans sont considérées comme des
mineurs aux fins de la collecte de données. Leurs renseignements personnels ne pourront
être recueillis auprès de celui-ci sans le consentement du titulaire de l’autorité parentale ou
du tuteur, sauf lorsque cette collecte sera manifestement au bénéfice de ce mineur.”

Informer sur l’usage des liens externes.

Par exemple:
”Notre site peut contenir des liens vers d'autres sites internet. Nous ne sommes
pas responsables de leurs pratiques de confidentialité.”

Informer sur l’usage des liens externes.

Par exemple:
”Notre politique de confidentialité a été mise à jour le 13/10/2023
Pour toute question relative à cette politique de confidentialité, vous pouvez
nous contacter via [Courriel de contact].
En utilisant notre site [URL de votre site], vous acceptez les termes de cette
politique de confidentialité.”
 Faites affaire de préférence avec un fournisseur de services québécois qui héberge
les données au Québec. Éviter de communiquer les renseignements personnels hors
du Québec. Mentionnez également si ces données sont transférées hors du Québec
ou partagées avec des tiers.

Par exemple:
“Les données utilisateur peuvent être consultées, traitées ou collectées dans les pays
suivants: Canada et États-Unis.”

Publier votre politique de confidentialité sur votre site Web et la rendre facilement
accessible via un lien en pied de page ou dans le menu principal.

🛠️
Vous pouvez utiliser un générateur de politique de confidentialité est un outil en
ligne qui crée une politique de confidentialité standardisée . Il vous suffit de
remplir certains critères et l’outil vous rédige automatiquement une politique de
confidentialité.Cependant, assurez-vous que le générateur est à jour avec la
législation en vigueur. Pour le Canada, nous vous conseillons cet outil générateur
de politique de confidentialité.

Publier des conditions d’utilisation sur votre site Web relativement aux services que
vous offrez

Vous pouvez utiliser un générateur de Conditions générales d'un site web. C’est
un outil gratuit et en ligne qui crée des Conditions générales standardisées 🛠️ . Il
vous suffit de remplir certains critères et l’outil vous rédige automatiquement les
Conditions générales d’utilisation de votre site Web. Cependant, assurez-vous que
le générateur est à jour avec la législation en vigueur. Pour le Canada, nous vous
conseillons ce générateur de conditions générales d’un site web.

Adopter des politiques et pratiques qui encadrent la gestion des témoins de

connexion (cookies).

Par exemple:
“ La Politique sur les témoins de connexion a pour but d'informer le public au sujet des
pratiques en matière de témoins de connexion, tel que requis par la Loi modernisant des
dispositions législatives en matière de protection des renseignements personnels (Loi 25).et
la loi Anti-pourriel.

Nous utilisons des témoins de connexion et des outils similaires sur le site Web [URL de
votre site], pour améliorer sa performance et bonifier l'expérience des utilisateurs. La
Politique sur les témoins de connexion (la « Politique ») décrit comment nous utilisons les
témoins. L’utilisateur peut désactiver l’utilisation des témoins sur le site Web à tout moment,
mais cela pourrait avoir une incidence sur l’expérience utilisateur.

Témoins : définition et utilité

Les témoins sont de petits fichiers texte qu’un site Web peut placer sur un appareil lorsqu’un
site ou une page est visité. Les témoins aideront le site Web à reconnaître l’appareil utilisé
lors d’une prochaine visite.

Nous utilisons des témoins persistants ou temporaires. Un témoin temporaire est un fichier
qui n’est actif que pendant la visite sur le site Web et qui est supprimé lorsque le navigateur
est fermé. Les témoins persistants, quant à eux, demeurent dans l’appareil pour une
certaine période ou une période indéterminée.

Pour analyser les visites sur notre site, nous utilisons le logiciel Google Analytics qui utilise
les fichiers témoins pour enregistrer certains comportements des visiteurs, comme le
nombre de visites sur le site, le chemin parcouru et la durée de la visite.

La plupart des témoins ne collectent pas de renseignements qui permettent d'identifier

l’utilisateur, mais recueillent plutôt des renseignements généraux comme la façon dont les
utilisateurs accèdent au site Web et dont ils l’utilisent.

Les différents types de témoins que nous utilisons:

● Témoins nécessaires : certains témoins sont essentiels pour permettre le

fonctionnement du site Web. Si vous choisissez de désactiver ces témoins, vous ne
serez pas en mesure d’utiliser ou d’accéder à toutes les fonctions que le site Web
comprend.
● Témoins de performance et d’analyse : nous utilisons d’autres témoins pour
analyser l’utilisation du site Web par ses visiteurs et pour surveiller sa performance.
Cela permet de collecter des informations et de générer des rapports sur les
statistiques d’utilisation du site Web sans que les utilisateurs individuels soient
identifiés personnellement.
● Témoins fonctionnels :nous utilisons des témoins fonctionnels pour lui permettre de
retenir les préférences des utilisateurs qui influencent le fonctionnement ou
l’apparence du site Web et pour leur offrir un contenu ciblé.
 ● Témoins de sécurité :nous utilisons des témoins de sécurité pour authentifier les
utilisateurs, empêcher l’utilisation frauduleuse d’informations de connexion et
protéger les données des utilisateurs contre les tiers non autorisés.

Autres technologies utilisées

Tout comme pour l’utilisation des fichiers témoins, nous utilisons également l’adresse IP afin
de reconnaître l’appareil de l’utilisateur et ainsi d’imposer un nombre limité de recherches
quotidiennes dans les outils de recherche. L’utilisation de l’adresse IP permet de contrôler
l’identité de l’appareil de l’utilisateur uniquement lorsqu’il utilise cette application. Cette
mesure permet de se protéger contre les attaques informatiques par déni de service qui a
pour but de rendre indisponible un service, d’empêcher les utilisateurs légitimes d’un service
de l’utiliser en surchargeant ses sites.

Utilisation des témoins par des tiers

Nous pouvons également utiliser des témoins tiers pour l’aider à étudier le marché, à
améliorer les fonctionnalités du site et à assurer la conformité avec notre politique en
vigueur.

Blocage des témoins

Les témoins aident l’utilisateur à maximiser son utilisation du site Web. Toutefois, si
l’utilisateur souhaite désactiver les témoins, il peut le faire en modifiant les paramètres de
son navigateur ou de son appareil mobile. Cependant, si les témoins sont désactivés,
certaines sections du site Web pourraient ne pas fonctionner correctement.

Autres renseignements
Il est possible d’obtenir davantage de détails sur la façon dont les organisations utilisent les
témoins en général sur leur site Web en consultant le site www.allaboutcookies.org (anglais
seulement).

Nous joindre
Pour tout commentaire ou question concernant nos pratiques de gestion des témoins de
connexion , veuillez communiquer avec la responsable de la protection des renseignements
personnels via [Courriel de contact].

Créer des procédures relatives à la réception et au traitement de plaintes et de

demandes des personnes concernées souhaitant exercer leurs droits

Par exemple:
“ Une personne peut nous soumettre une plainte relative à la protection des renseignements
personnels la concernant.
Cette plainte doit être soumise dans le délai de 15 jours suivant le jour auquel la personne
constate un événement donnant lieu à sa plainte.
La plainte doit être adressée par écrit à l’attention du Responsable de l’accès à l’information
et la protection des renseignements personnels à l’adresse suivante :
[Adresse complète]

Ou par courriel à l’adresse [Courriel de contact].

Toute plainte doit indiquer les éléments suivants : le nom du plaignant, ses coordonnées et
l’exposé succinct des raisons donnant lieu à sa plainte.
Une plainte anonyme est considérée comme non reçue.
Nous accusons réception de la plainte dans les 5 jours ouvrables suivant sa réception.
Ensuite, nous faisons enquête sur les allégations de manquements à la protection des
renseignements personnels contenus dans la plainte, s’il y a lieu. Le responsable de l’accès
à l’information et la protection des renseignements personnels peut s’adjoindre les
personnes nécessaires pour effectuer son enquête.
Dans le délai de 30 jours à compter de la réception de la plainte, le Responsable de l’accès
à l’information et la protection des renseignements personnels communique à la personne
concernée ses conclusions.
À défaut de répondre à la personne concernée dans le délai ci-dessus mentionné, le
Responsable de l’accès à l’information et la protection des renseignements personnels est
réputé avoir rejeté la plainte.

Créer une procédure pour l’évaluation des facteurs relatifs à la vie privée

Par exemple:
“ L'échelle de risque chiffrée est présentée en ordre croissant :
● Le niveau 1 représente le niveau de risque le plus bas pour le secteur;
● Le niveau 4 représente le niveau de risque le plus haut pour le secteur.

Élément

Nature du risque

Niveau du risque

Mécanismes de
réduction des
risques
Recenser les fournisseurs de services traitant des renseignements personnels pour
votre compte et déterminer si un contrat écrit conforme aux exigences légales a bien
été conclu avec chacun d’eux.

Communiquer avec vos fournisseurs de services qui traitent des renseignements

personnels se trouvant en dehors du Québec afin de vous assurer que ceux-ci sont
conformes aux nouvelles exigences de la Loi sur le privé. Si le fournisseur de
services se trouve en dehors du Québec, il se pourrait que vous ayez à effectuer une
évaluation des facteurs relatifs à la vie (« EFVP ») relative au transfert des données.

Effectuer une cartographie (data mapping) des renseignements personnels recueillis

afin de déterminer ceux qui sont de nature sensible, ceux appartenant à des
mineurs, le cas échéant, et ceux qui sont exclus du champ d’application de la Loi sur
le privé (p. ex. : les coordonnées d’affaires).

Effectuer un inventaire des formulaires de consentement ou autres documents

utilisés pour obtenir le consentement des individus concernés (clients ou employés)

Réviser vos formulaires de consentement pour vous assurer qu’ils sont conformes
aux nouvelles exigences de la Loi sur le privé. Les éléments suivants doivent
notamment s’y retrouver :raison pour laquelle les renseignements personnels sont
collectés, moyens par lesquels ils sont collectés, droits d’accès, de rectification et de
retrait du consentement, nom du tiers pour qui la collecte est faite, catégories des
fournisseurs de services ayant accès aux renseignements personnels, transfert des
renseignements à l’extérieur du Québec.S’assurer également qu’un consentement
explicite est obtenu des individus concernés lorsque des renseignements personnels
sensibles sont collectés. Attention également à la collecte de renseignements
personnels concernant un mineur de moins de 14 ans

Mettre en place des mesures de sécurité appropriées telles que le chiffrement des
données, la gestion des accès et la surveillance régulière des vulnérabilités. Vous
devez également former vos employés sur les meilleures pratiques en matière de
protection des renseignements personnels et de sécurité informatique.

Si une violation de données se produit sur votre site web, vous devez
immédiatement en informer la Commission d'Accès à l'Information (CAI) et les
personnes concernées si la violation présente un risque sérieux de préjudice. Mettre
en place une procédure en cas d’incident de sécurité de l’information : qui va
informer les personnes concernées, qui va communiquer avec la commission et
comment. Vous devez également mettre en œuvre des mesures pour prévenir de
futures violations

Mettre en place une procédure en cas d’incident de confidentialité et processus de

réponse aux incidents.
Par exemple:
“En cas de fuite de vos données personnelles, nous nous engageons à vous en tenir
informé ainsi que la Commission d’Accès à l’Information du Québec.”

Réviser votre assurance responsabilité civile pour déterminer si les incidents de

sécurité sont couverts. À défaut, souscrire à une police d’assurance couvrant ces
risques.

Établir une grille ou un document similaire qui fournira les critères permettant de
déterminer si un incident de confidentialité présente un risque de préjudice sérieux
pour les personnes concernées, auquel cas il devra être notifié à la Commission
d’Accès à l'information (CAI) et aux personnes concernées par l’incident. Les
facteurs à considérer sont : la sensibilité des renseignements en cause ; les
conséquences appréhendées de leur utilisation, et la probabilité qu’ils soient utilisés
à des fins préjudiciables.

Tenir un registre pour les incidents de confidentialité et ce, même s’ils ne comportent
pas de risque de préjudice sérieux .Les renseignements contenus au registre doivent
être tenus à jour et conservés pendant une période minimale de cinq ans après la
date ou la période au cours de laquelle l’organisation a pris connaissance de
l’incident. Le registre doit être communiqué à la CAI sur demande. En savoir plus.

Si nécessaire, mettre à jour vos contrats existants, notamment les clauses de

confidentialité, afin de tenir compte des nouvelles exigences en matière de protection
de la vie privée.

Ce guide vous a donné toutes les clés et les bonnes pratiques pour vous lancer dans la
rédaction d’une politique de confidentialité conforme à la loi 25.Il ne constitue pas une
opinion ou un avis juridique. La loi 25 évolue! Pour connaître les règles particulières à votre
situation, veuillez vous référer à un avocat.