La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) impose des obligations strictes aux organisations québécoises. Sanctions administratives jusqu’à 10 millions de dollars ou 2 % du chiffre d’affaires mondial. Pénalités pénales jusqu’à 25 millions de dollars ou 4 % du chiffre d’affaires.
Désignation du responsable de la protection
Toute organisation doit désigner un responsable de la protection des renseignements personnels. Son nom et ses coordonnées doivent être publiés sur le site web. C’est souvent le PDG par défaut, mais ça peut être délégué à un autre cadre.
Politique de confidentialité conforme
Votre politique doit décrire en langage clair : quels renseignements personnels vous collectez, à quelles fins, à qui vous les communiquez, combien de temps vous les conservez, et comment exercer les droits d’accès et de rectification.
Consentement granulaire
Fini les cases pré-cochées et les consentements groupés. Chaque finalité de traitement doit faire l’objet d’un consentement distinct, libre, éclairé et donné à des fins spécifiques. Votre bandeau cookies doit le respecter.
Évaluations des facteurs relatifs à la vie privée (ÉFVP)
Pour tout projet d’acquisition, de développement ou de refonte d’un système d’information ou de prestation électronique de services qui implique des renseignements personnels, une ÉFVP est obligatoire.
Registre des incidents
Tout incident de confidentialité doit être consigné dans un registre. Si l’incident présente un risque de préjudice sérieux, vous avez l’obligation de notifier la Commission d’accès à l’information et les personnes concernées.
Côté technique du site web
- Bandeau cookies qui bloque réellement les scripts avant consentement
- Google Tag Manager configuré en Consent Mode
- Suivi des consentements horodatés
- Formulaire de demande d’accès accessible
- Politique de confidentialité accessible depuis chaque page