La mise en conformité à la Loi 25 ne concerne pas les aspects technologiques. Elle ne touche que les politiques et les processus à mettre en place. C’est une fois que ceux-ci sont implantés que les entreprises seront en mesure, avec leur partenaire TI, de déterminer quelles solutions et quels outils seront nécessaires pour garantir cette confidentialité et la gérer.
 

Ce que les entreprises doivent faire pour se conformer maintenant

• Désigner un responsable de la protection des renseignements personnels;
• Établir et publier une politique pour la gestion des renseignements personnels;
• Mettre en place les mécanismes nécessaires pour obtenir le consentement pour la collecte, l’utilisation et la communication des renseignements personnels;
• Créer un registre des renseignements personnels et les formulaires nécessaires pour répondre et documenter les demandes d’accès, de correction et de désindexation des clients et des employés
• Établir le processus permettant de déterminer si un incident de confidentialité a eu lieu et comment le gérer;
• Créer et maintenir un registre des incidents ainsi que la procédure pour informer les parties concernées en cas de bris de confidentialité.
• Avoir en place un processus d’évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels ou avant de communiquer un renseignement personnel à l’extérieur du Québec.
   

Une démarche en 4 étapes vers votre mise en conformité

1. Survol de la Loi 25, identification des renseignements personnels qui vous concernent et analyse de la position actuelle en matière de sécurité de l’information;
2. Élaboration de votre politique de protection adaptée à votre contexte d’affaire;
3. Préparation des formulaires et ajustements aux processus et procédures;
4. Formation pour la mise en place, la gestion de la conformité, les processus et procédures.

Les livrables

• Gabarit pour faire l’inventaire des renseignements personnels
• Politique pour la protection des renseignements personnels
• Préparation des formulaires requis (entre 10 et 15 selon les activités de l’entreprise)
• Politique pour la conservation, la destruction et l’anonymisation des renseignements personnels
• Processus et procédures pour la gestion des incidents de confidentialité
• Processus et procédures pour les demandes d’accès
• Processus et procédures pour le traitement des plaintes
• Processus et procédures pour la suppression et la désindexation
• Processus d’évaluation des facteurs relatifs à la vie privée (ÉFVP)
• Bonnes pratiques et outils recommandés pour garantir la confidentialité et gérer la conformité

Selon les disponibilités des membres de votre équipe impliqués, le processus peut être complété en 3-4 semaines. Veuillez prévoir environ 4,5 heures de votre temps pour les ateliers et les formations.