Êtes-vous conformes à la Loi 25?, par Frédéric Gonzalo

Techno, Marketing · publié le 19 septembre 2023 · Commenter

À partir du 22 septembre 2023 – dans quelques jours à peine – vous devez avoir mis en place des mécanismes pour assurer la conformité avec la Loi sur la protection des renseignements personnels dans le secteur privé, communément appelée la Loi sur le privé. Ou Loi 25.

Oui, oui, il existe bien deux lois 25 présentement sous les feux des projecteurs – je ne suis pas spécialiste des lois ni de politique, alors ne me demandez pas pourquoi!

Ici sur TourismExpress, vous avez certainement vu passer plusieurs articles au sujet de la Loi 25, récemment adoptée et visant à lutter contre l’hébergement illégal. Ce n’est pas de cela dont il sera question ici!

Une loi qui vous concerne

La Loi sur le privé, donc, ça doit concerner uniquement les entreprises privées, hein? Non, justement. Elle s’applique ainsi que vous soyez une entreprise, un travailleur autonome, une OBNL, une association, un regroupement ou une coopérative! Bref, ça ratisse large!

Cette loi, dont la première portion est entrée en vigueur en septembre 2022, concerne toute entreprise ou organisation qui collecte des données ou de l’information au sujet de sa clientèle, que ce soit sur son site web ou par l’entremise d’outils physiques.

Vous avez installé Google Analytics sur votre site web pour capter de la donnée au sujet du comportement des utilisateurs? Vous devez vous conformer à cette loi.

Vous maintenez des bases de données de clients, passés ou actuels, suite à des transactions, achats, réservations, ou participation à des concours? Vous devez vous conformer à cette loi.

Ce qui devrait déjà être fait

Voici les 5 éléments qui devraient déjà être en place, exigés depuis septembre 2022 : (Source : Commission d’accès à l’information du Québec)

Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié.
En cas d’incident de confidentialité impliquant un renseignement personnel :
1. prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
2. aviser la Commission et la personne concernée si l’incident présente un risque de préjudice sérieux;
3. tenir un registre des incidents dont une copie devra être transmise à la Commission à sa demande;
Respecter le nouvel encadrement de la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre d’une transaction commerciale;
Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées à des fins d’étude, de recherche ou de production de statistiques;
Divulguer préalablement à la Commission la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques.

Ce qu’il faut faire maintenant

Je ne vous embêterai pas avec toutes les procédures à mettre en place d’ici le 22 septembre 2023, sinon je dépasserais largement le cadre de cette chronique. Je vous réfère néanmoins vers ces deux ressources qui pourront mieux vous aiguiller :

Il n’est jamais trop tard pour entamer la mise en place des processus qui vous mèneront vers la conformité même si, j’en conviens, c’est loin d’être le sujet le plus sexy!

Frédéric Gonzalo est consultant et conférencier, spécialiste en marketing numérique. Il collabore à TourismExpress depuis 2012. Cette chronique « Tourisme et marketing numérique » est publiée à toutes les deux semaines. Questions? Suggestions de sujets? Contactez-le directement à frederic@gonzomarketing.biz.

Lire aussi: