Mise en conformité à la Loi 25

Protection des renseignements personnels

La Loi 25 vise à renforcer les droits des individus en matière de protection des renseignements personnels. Elle oblige les entreprises à mettre en place les politiques et les processus nécessaires à l’atteinte de cet objectif. 

En marge de cette loi on définit une information personnelle comme étant un renseignement qui permet d'identifier une personne physique client ou employé, directement ou indirectement.

Qu’est-ce que la mise en conformité à la Loi 25?

La mise en conformité à la Loi 25 ne concerne pas les aspects technologiques. Elle ne touche que les politiques et les processus à mettre en place. C’est une fois que ceux-ci sont implantés que les entreprises seront en mesure, avec leur partenaire TI, de déterminer quelles solutions et quels outils seront nécessaires pour garantir cette confidentialité et la gérer.
 

Ce que les entreprises doivent faire pour se conformer maintenant

  • Désigner un responsable de la protection des renseignements personnels;
  • Établir et publier une politique pour la gestion des renseignements personnels;
  • Mettre en place les mécanismes nécessaires pour obtenir le consentement pour la collecte, l’utilisation et la communication des renseignements personnels;
  • Créer un registre des renseignements personnels et les formulaires nécessaires pour répondre et documenter les demandes d’accès, de correction et de désindexation des clients et des employés
  • Établir le processus permettant de déterminer si un incident de confidentialité a eu lieu et comment le gérer;
  • Créer et maintenir un registre des incidents ainsi que la procédure pour informer les parties concernées en cas de bris de confidentialité.
  • Avoir en place un processus d’évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels ou avant de communiquer un renseignement personnel à l’extérieur du Québec.
     

Une démarche en 4 étapes vers votre mise en conformité

  1. Survol de la Loi 25, identification des renseignements personnels qui vous concernent et analyse de la position actuelle en matière de sécurité de l’information;
  2. Élaboration de votre politique de protection adaptée à votre contexte d’affaire;
  3. Préparation des formulaires et ajustements aux processus et procédures;
  4. Formation pour la mise en place, la gestion de la conformité, les processus et procédures.


Les livrables

  • Gabarit pour faire l’inventaire des renseignements personnels
  • Politique pour la protection des renseignements personnels
  • Préparation des formulaires requis (entre 10 et 15 selon les activités de l’entreprise)
  • Politique pour la conservation, la destruction et l’anonymisation des renseignements personnels
  • Processus et procédures pour la gestion des incidents de confidentialité
  • Processus et procédures pour les demandes d’accès
  • Processus et procédures pour le traitement des plaintes
  • Processus et procédures pour la suppression et la désindexation
  • Processus d’évaluation des facteurs relatifs à la vie privée (ÉFVP)
  • Bonnes pratiques et outils recommandés pour garantir la confidentialité et gérer la conformité

Selon les disponibilités des membres de votre équipe impliqués, le processus peut être complété en 3-4 semaines. Veuillez prévoir environ 4,5 heures de votre temps pour les ateliers et les formations.

Notre outil pour automatiser votre conformité

Évitez de devoir gérer manuellement votre conformité et ses processus. 42 par 8 propose une plateforme unique permettant de gérer simplement et de façon centralisée tous vos consentements et toutes les demandes relatives à la Loi 25. 

We need your consent to load the translations

We use a third-party service to translate the website content that may collect data about your activity. Please review the details in the privacy policy and accept the service to view the translations.