Blogue de GOrendezvous

La loi 25: comment y adhérer

Rédigé par Alyssa Therrien-Coulombe | 16/01/23 18:31

 

Explication de la loi 25 et de ses effets 

Avec le développement de la technologie et l'utilisation croissante des données numériques, le respect de la vie privée et la sécurité des données sont des préoccupations plus importantes que jamais. Certaines dispositions de la loi 25 ont été modifiés le 22 septembre 2022, dans une initiative visant à mieux protéger les données personnelles des particuliers et rehausser la sécurité des données dans les entreprises. 

Les obligations de la Loi sur la protection des renseignements personnels dans le secteur privé et les exigences qui y sont associées sont applicables à toutes les organisations du Québec. 

Cela inclut les organisations privées et publiques, grandes et petites, qui détiennent, traitent et communiquent des renseignements personnels. Les organisations doivent respecter les principes généraux et les exigences particulières énoncés dans la loi et se conformer à toutes les exigences.

Depuis l’ajout de nouvelles dispositions à la loi, les entreprises doivent notamment :

  • Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l'entreprise. 

    Si vous ne souhaitez pas exercer cette fonction, désignez une personne pouvant assumer efficacement ce rôle ; celle-ci devrait avoir les compétences requises et un pouvoir décisionnel important dans votre entreprise.
     
    Cette personne devrait faire l’inventaire des renseignements personnels détenus par votre entreprise et évaluer leur sensibilité.

  • Mettez en place des mesures pour prévenir ou limiter les conséquences d’un incident de confidentialité impliquant un renseignement personnel. Si un renseignement personnel est divulgué :

    • Prendre les mesures pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents se produisent.

    • Aviser la Commission d’accès à l’information et la personne concernée si l’incident présente un risque de préjudice sérieux.

    • Instaurez des pratiques qui vous permettront de réagir adéquatement et rapidement en cas d’incident de confidentialité impliquant un renseignement personnel (ex. : plan de réponse aux incidents et directive au personnel).

    • Tenir un registre des incidents dont une copie doit être transmise à la Commission à sa demande. 

  • Respecter le nouvel encadrement de la communication de renseignements personnels et procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) si vous n’avez pas le consentement de la personne concernée dans le cadre d’une transaction commerciale.
  • Divulguer préalablement à la Commission la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques (ex. : empreintes digitales, reconnaissance faciale ou vocale). Si vous prévoyez d'utiliser une technique biométrique, informez-vous au préalable de vos obligations en la matière.

Comment GOrendezvous s'adapte à la loi 25 ?

Nous avons fait l'exercice avec des avocats spécialisés en cybersécurité, droits des technologies et vie privée, pour nous assurer que nous suivions bien les lois québécoises et canadiennes. La Loi 25 suit globalement les mêmes directives que les lois auxquelles nous sommes déjà conformes. 

Nous vous confirmons donc que nos normes de protection des renseignements personnels répondent aux exigences gouvernementales, de même que celles exigées par les ordres professionnels.
  • LPRPDE (Canada)
  • LPRPSP (Québec)
  • Loi 25 (Québec)
  • PHIPA (Ontario)

GOrendezvous répond donc aux nouvelles exigences demandées par la loi 25, ceci n'a pas d'impact sur la gestion de vos données clients.

Pour vous, les professionnels 

Pour les professionnels qui utilisent GOrendezvous, le propriétaire du compte fait office de personne responsable de la protection des données personnelles. Cette personne est habituellement le ou la propriétaire de la clinique. 

Dans votre compte GOrendezvous, vous avez accès à plusieurs audits pour tracer tous les changements apportés au profil d’un client, à son dossier, à ses rendez-vous, etc. La date, l’heure et le nom de la personne qui a effectué les changements sont visibles dans les audits.


Le consentement des clients est également demandé lors de la prise de rendez-vous afin de mieux vous protéger. De cette façon, ils acceptent l'avis de confidentialité de GOrendezvous qui vous autorise à récolter leurs données personnelles dans le cadre du traitement.

 

 

Si vous n’avez pas de site Web, vous pouvez publier les coordonnées de la personne responsable sur votre page d’accueil GOrendezvous, il y a une section qui permet d'ajouter du texte et de personnaliser l'information à transmettre. Il est aussi possible de personnaliser les courriels automatisés.


Quels sont les moyens pris par GOrendezvous en termes de protection des renseignements personnels ?

GOrendezvous prend la cybersécurité au sérieux et nous avions déjà plusieurs mesures mises en place avant l’avènement des nouvelles dispositions de la loi 25.

Par exemple :

  • Les adresses IP de certains pays sont bloquées.
  • Nos serveurs sont hébergés au Canada.
  • Les employés de GOrendezvous ont récemment suivi une formation sur la cybersécurité.
  • Les utilisateurs peuvent activer la double authentification pour se connecter à leur compte.
  • Notre équipe technique reçoit des alertes en temps réel.
  • Nous nous sommes assurés que nos fournisseurs aient les certifications ou répondent aux normes attendues pour la protection des renseignements personnels et des documents électroniques.

Il y a une panoplie d'autres actions prises, mais il est difficile de tout mentionner pour deux raisons. La première est que c'est très technique. La deuxième est que nous préférons ne pas tout mentionner, justement pour des raisons de sécurité.

Outre les moyens techniques, GOrendezvous se conforme aussi aux processus à suivre pour communiquer avec les instances canadiennes et québécoises. 

La loi 25 vise à protéger les données personnelles et à assurer la sécurité des données dans les entreprises. Pour en savoir plus sur la sécurité des données chez GOrendezvous, vous pouvez consulter notre page FAQ ici.

Une formation est aussi disponible pour les membres des ordres professionnels sur le site du Conseil Interprofessionnel du Québec. 

 



Sources :

https://www.quebec.ca/nouvelles/actualites/details/loi-25-nouvelles-dispositions-protegeant-la-vie-privee-des-quebecois-certaines-dispositions-entrent-en-vigueur-aujourdhui-43212
 
https://www.intact.ca/blog/fr/loi-25.html