La protection des renseignements personnels est au cœur des nouvelles exigences de la Loi. Voici un guide précieux pour s’y conformer, en toute sérénité.

Face à l’augmentation des incidents de sécurité et des fuites de données, la protection des renseignements personnels est devenue une priorité pour le gouvernement du Québec. C’est ce qui fait que la deuxième série de mesures en lien avec la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) est entrée en vigueur à l’automne 2023.

Si autant d’entreprises tardent à s’y conformer, c’est sans aucun doute en raison du manque d’instructions claires quant aux mesures à prendre. Pour surmonter ce défi, voici un résumé clair et concret des procédures internes à mettre en place dans votre entreprise, pour être zen avec la Loi 25.

Procédure de conservation, de destruction et d’anonymisation des renseignements personnels

Cette procédure vise avant tout à garantir la protection de la vie privée des individus (employés, membres du conseil d’administration et clients) et à prévenir les incidents de confidentialité qui impliquent des renseignements personnels. Par conséquent, elle va aussi contribuer à maintenir la confiance de vos clients et à protéger la réputation de votre organisation.

Elle sert entre autres à répondre aux questions suivantes :

- Quelle est la durée de conservation des données?

- Quelles sont les méthodes de stockage sécurisées?

- Quelles sont les actions à réaliser pour détruire et anonymiser les renseignements personnels?

Procédure de demande d’accès aux renseignements personnels et de traitement des plaintes

Vos employés et clients ont le droit de demander à accéder aux renseignements personnels que votre entreprise détient sur eux, ou de formuler une plainte. Grâce à cette procédure, vous fixez des balises qui garantissent que toutes les demandes d’accès et plaintes seront traitées de manière confidentielle, rapide et précise.

Elle sert entre autres à répondre aux questions suivantes :

- Comment soumettre une demande ou une plainte?

- Qui reçoit la demande ou la plainte?

- Combien de temps le responsable dispose-t-il pour la traiter?

- Comment doit-il la traiter et y répondre?

- Comment doivent être colligées toutes les demandes et plaintes reçues?

Procédure de demande de désindexation et de suppression des renseignements personnels

Cette procédure vise à faciliter la gestion des demandes de désindexation et de suppression des renseignements personnels qui proviennent de clients. Elle comprend toutes les informations publiées sur vos plateformes en ligne : site Web, applications mobiles, base de données

Elle sert entre autres à répondre aux questions suivantes :

- Comment soumettre une demande?

- Quelles sont les raisons qui motivent un refus?

- En cas d’acception, qui est responsable de supprimer les renseignements?

- Comment doivent être consignées toutes les demandes?

Procédure de gestion des incidents de sécurité et violations des renseignements personnels

L’objectif de cette procédure est de s’assurer que votre entreprise est prête à intervenir en cas de cyberincident afin qu’elle reprenne rapidement ses activités.

Elle sert entre autres à répondre aux questions suivantes :

- Comment reconnaître un cyberincident?

- Qui sont les personnes-ressources à joindre et comment communiquer avec elles rapidement?

- Quelles actions doivent être posées pour chaque type d’incident?

Procédure de gestion du roulement de personnel

Cette politique vise à encadrer le départ d’un membre de votre entreprise afin d’éviter les fuites ou pertes de données, que ces incidents soient intentionnels ou accidentels.

Elle sert entre autres à répondre aux questions suivantes :

- Quels sont les appareils, systèmes et logiciels auxquels a accès chaque employé?

- Quelles sont les plateformes auxquelles l’employé avait accès?

- Comment révoquer définitivement l’accès à ces plateformes pour éviter les accès non autorisés?

- Quelles sont les mesures à prendre par rapport aux équipements électroniques, au numéro de téléphone, à l’accès au courriel, au réseau informatique ou infonuagique, etc.?

Vous connaissez maintenant les cinq procédures internes à définir pour vous conformer à la Loi 25.


Pour en savoir plus

https://www.mesprocedures.ca/


Pour aller plus loin

Lisez aussi notre article «Se conformer à la loi 25 : ce que chaque entreprise doit mettre en place»

Et aussi : «La loi 25 et les RH : les 3 principales procédures à mettre en place»