090 – Loi 25 : comment s’y conformer sans y passer ses journées? | Entrevue avec Emeline Manson de CY-clic

Que l’on soit une PME ou un OBNL, la loi 25 nous oblige à protéger les renseignements personnels que l’on collecte. Mais comment faire et par où commencer pour s’y conformer?

Entre le consentement, les registres et les sanctions, on a vite l’impression qu’il faudrait une équipe à temps plein pour gérer les exigences de la loi 25. Et pourtant, protéger les renseignements personnels n’est pas sorcier. Il suffit de savoir par où commencer et comment s’organiser pour rester conformer sans y passer nos journées.

Dans cet épisode du balado J’aime ta compagnie, Marie-Michèle aborde la Loi 25 et la protection des renseignements personnels avec Emeline Manson, formatrice en prévention des fraudes et en cybersécurité. Elle est la fondatrice de Formation CY-clic, qui accompagne concrètement des équipes à se conformer à la Loi 25. L’équipe clarifie ce qui est obligatoire, ce qui est vraiment utile et comment s’organiser efficacement pour protéger les données.

Pourquoi écouter cet épisode?

• Comprendre simplement ce qu’est la Loi 25 et à qui elle s’applique.
• Savoir comment obtenir un consentement valide.
• Mettre en place les 3 fondations essentielles pour se conformer.
• Apprendre à gérer les incidents de confidentialité.
• Connaître les risques auxquels on s’expose si on ne se conforme pas.
• Connaître les étapes pour avancer pas à pas.

Comprendre la Loi 25

La Loi 25 responsabilise toutes les organisations qui collectent, conservent ou utilisent des renseignements personnels sur les citoyens au Québec. Ce n’est pas seulement une question de site web. On parle aussi de formulaires, courriels, téléphone, événements, bénévolat, outils comptables, etc.

Qu’est-ce qu’un renseignement personnel?

Un renseignement personnel, c’est toute information qui permet d’identifier une personne, directement ou indirectement.

• Direct : nom, prénom, courriel, téléphone, adresse, numéro d’assurance sociale, photo, etc.
• Indirect : numéro d’employé, identifiant interne, adresse IP, etc.

Dans nos organisations, cela concerne plusieurs groupes.

• Employés, administrateurs et bénévoles.
• Donateurs et bénéficiaires.
• Usagers, clients ou participants.

Chaque point de contact est une porte d’entrée. Protéger les renseignements personnels, c’est surtout protéger les personnes qui font vivre nos organisations, pas seulement les données comme telles.

Les 4 critères du consentement selon la Loi 25

Comment peut-on le collecter et utiliser les données de façon légale? La Loi 25 encadre cette pratique à travers 4 critères très clairs.

1. Manifeste. La personne doit poser une action claire. Par exemple, cocher elle-même une case pour s’abonner à une infolettre.
2. Libre. Le consentement doit être donné sans contrainte. Par exemple, refuser les « cookies ». ne doit pas bloquer l’accès à un site.
3. Éclairé. La personne doit savoir exactement à quoi elle consent. Par exemple, préciser la fréquence d’envoi lors de l’inscription à l’infolettre.
4. Spécifique. Chaque donnée doit être utilisée pour une seule fin précise. Par exemple, une date de naissance donnée pour l’embauche ne peut pas être réutilisée pour souhaiter « bonne fête ».

Respecter ces quatre principes permet d’assurer un consentement clair, en cohérence avec les exigences de la loi 25.

Gérer les incidents de confidentialité

Même avec les meilleures pratiques, des incidents vont arriver. L’important, c’est de savoir comment les reconnaître et quoi faire quand ça se produit. Un incident peut prendre 4 formes.

• Un accès non autorisé. Par exemple, un dossier mal classé qui permet à des personnes non autorisées d’y avoir accès.
• Une utilisation non autorisée. Par exemple, réutiliser une donnée RH pour une autre fin.
• Une communication non autorisée. Par exemple, envoyer un courriel en CC à des personnes qui n’auraient pas dû voir l’information.
• Une perte de renseignement. Par exemple, des documents volés ou perdus.

Émeline donne des exemples concrets.

• Une employée qui était en arrêt maladie transmet son billet médical à son gestionnaire. Le gestionnaire ne place pas le billet médical dans le bon dossier et d’autres employés ont accès à l’information confidentielle.
• Une éducatrice envoie un courriel à tous les parents pour annoncer une activité sans mettre les courriels en CCI. Une adresse courriel de parents est un renseignement personnel. Le fait que celle-ci soit visible pour tout le monde est un incident de confidentialité.

Avec des exemples comme ceux-là, on comprend que les incidents ne sont pas toujours des cyberattaques spectaculaires. Souvent, ce sont de simples erreurs du quotidien qui rappellent l’importance d’avoir de bons réflexes.

3 éléments de base à mettre en place

Dès le départ, il y a trois actions à faire pour être conformes à la loi.

1. Nommer une personne responsable et rendre ses coordonnées accessibles. Par défaut, c’est la personne d’autorité. Dans un OBNL, c’est la présidente du conseil d’administration. Les informations sur la personne doivent être communiquées sur notre site Web ou tout autre lieu public.
2. Tenir un registre des incidents. Ça peut être aussi simple qu’un tableau Excel.
3. Revoir nos mécanismes de consentement tels que nos formulaires, infolettres, bannières de témoins, etc.

Ces 3 éléments sont un minimum à respecter, mais c’est déjà énorme pour se conformer et réduire les risques.

Faire l’inventaire des données

Se conformer à la Loi 25, c’est aussi mieux connaître notre propre réalité. Faire un inventaire des données permet d’identifier la sensibilité des données et de prioriser nos efforts de sécurisation.

• Lister les plateformes utilisées
• Lister les types de données collectées

En faisant cet inventaire, on sait quelles informations on collecte, où elles se trouvent et comment on doit les protéger. Formation CY-clic offre d’ailleurs plusieurs outils gratuits sur leur site, dont une liste pour faire notre inventaire.

Prendre de bonnes habitudes

La conformité, ce n’est pas que de la paperasse. Certaines mesures techniques peuvent avoir un gros impact pour réduire les risques.

• Activer la double authentification (MFA)
• Nettoyer les boîtes courriel et corbeilles
• Utiliser la CCI par défaut
• Limiter les accès et révoquer rapidement les anciens comptes

Ces gestes simples sont comme des verrous supplémentaires. C’est facile à faire et très efficace.

Sanctions et assurance

La Loi 25 prévoit des conséquences sérieuses en cas de manquement. Un manquement, ce n’est pas seulement une cyberattaque ou un vol massif de données. C’est aussi le fait de ne pas appliquer correctement la loi dans nos pratiques quotidiennes.

Les sanctions peuvent être lourdes.

• Amendes administratives jusqu’à 10 M$ ou 2 % du chiffre d’affaires.
• Amendes pénales jusqu’à 25 M$ ou 4% du chiffres d’affaires.
• Conséquences importantes sur notre réputationnels.

On doit vérifier également si notre assurance cyber couvre la défense, les recours et les frais. Ça peut faire peur, mais si on fait les bonnes actions en amont et qu’on est bien assurés, on minimise grandement les risques.

Avancer un pas à la fois pour bâtir la confiance

Se lancer dans la conformité ne veut pas dire tout changer d’un coup. Émeline insiste sur l’importance d’avancer pas à pas, en priorisant ce qui réduit le plus les risques.

En adoptant cette approche, la conformité devient réaliste et accessible. Chaque petit pas vient protéger les personnes derrière les données et protéger notre PME ou notre OBNL de possibles sanctions.

Alors, quel sera votre premier pas?

Pour joindre Emeline et CY-clic

• Site Web
• Instagram
• Facebook
• LinkedIn

Pour aller plus loin

• 058 – Et si vous étiez à risque de perdre tout ce qui a été investi sur les réseaux sociaux? | Entrevue avec Julien Teste-Harnois de resolock
• 064 – Quoi faire quand on pense s’être fait copier?

Vous avez des questions pour La Firme ou besoin d’accompagnement?  Planifions une rencontre exploratoire gratuite.

Abonnez-vous au balado sur Spotify ou Apple Podcast.

L’équipe de La Firme