Les 3 mythes qui persistent concernant la loi 25 sur la protection des renseignements personnels

27 octobre 2024

La nouvelle loi québécoise sur la protection des renseignements personnels (Loi 25) est annoncée et discuté depuis septembre 2021, avec une application progressive sur trois ans (de septembre 2022 à septembre 2024). Durant cette période, les spécialistes en cybersécurité multiplient les interventions pour en expliquer la teneur. Pourtant, cette loi demeure un mystère pour bien des entrepreneurs et gestionnaires.

C’est ce que constate Emeline Manson, formatrice en prévention des fraudes et en cybersécurité, dans ses mandats auprès de PME, d’OBNL et de solopreneurs. Nous abordons avec elle trois mythes, aspects ignorés ou mauvaises compréhensions de la loi 25, pleinement en vigueur depuis septembre passé.

1. Le site Web, une conformité de façade

Beaucoup de soi-disant experts insistent lourdement sur la publication d’une politique de confidentialité des données et la présence d’un formulaire de consentement pour la collecte des cookies sur le site web, comme si c’était tout ce qu’y avait à faire pour se conformer à la loi 25, alors que c’est faux », annonce la spécialiste en cybersécurité.

En arrière-boutique, rappelle-t-elle, les entreprises doivent faire un travail de réflexion sur la gouvernance des données ; elles doivent s’assurer de savoir où sont entreposées leurs données, qui y a accès et comment elles sont protégées. Lors d’un changement d’application ou de système d’exploitation, elles doivent d’ailleurs faire une évaluation des facteurs relatifs à la vie privée (ÉFVP).

2. Une portabilité « manuelle » possible

Être en mesure de « répondre aux demandes de portabilité des renseignements personnels » est la dernière obligation à être entrée en vigueur, en septembre dernier. Sans doute est-ce pour cela qu’elle n’est pas tout à fait compris des entrepreneurs ?

Il y a une rumeur qui dit que, sur nos sites web, on devrait avoir un bouton qui permet aux gens de simplement cliquer pour avoir accès à leurs renseignements personnels. Que c’est ça, le droit à la portabilité. C’est faux également », dit Emeline Manson.

La spécialiste en cybersécurité doit actuellement rassurer beaucoup de gens sur ce point. Elle rappelle que les organisations – surtout les petites entreprises ou les OBNL – peuvent très bien traiter les demandes de portabilité à la pièce, en fonction de ce que demande l’utilisateur.

Ce n’est pas vrai qu’on va recevoir 15 demandes de portabilité par semaine. On va peut-être en recevoir 3 par année, dépendamment du domaine d’activité. Allons-y un pas à la fois. »   

Toutefois, elle précise aussi que les renseignements doivent être transmis dans un fichier structuré permettant une utilisation facile des données. Un document Excel, c’est oui. Un document PDF… c’est non.

3. La gouvernance des données, une responsabilité ignorée

En 2022, une des premières obligations prévues à la loi 25 était de nommer un responsable de la protection des renseignements personnels au sein de chaque entreprise. Si aucun responsable n’est nommé, c’est la plus haute autorité de l’entreprise qui assume de facto ce titre.  

Encore aujourd’hui, je suis souvent en train d’annoncer à des gens qu’ils occupent ce rôle-là alors qu’ils ne le savent pas. 15 à 20% de mes clients ignorent qu’ils ont cette responsabilité. » 

Entrepreneurs… Vous voilà maintenant informés!

---