Loi 25

1.

Installation d'une « bannière de cookies » sur votre site web

Ubiweb installera bientôt des bannières de témoins (« cookies ») conformes à la Loi 25 sur tous les sites web se trouvant sur notre réseau.

2.

Désignation d’un Chef de la protection des renseignements personnels

La Loi 25 exige que vous désigniez un Chef de la protection des renseignements personnels. Il s'agit d'une personne au sein de votre société qui aura la responsabilité ultime de veiller au respect de la Loi sur le secteur privé. Si aucun Chef de la protection des renseignements personnels n'est désigné, il s'agira par défaut de la personne ayant la plus haute autorité, tel que le président ou le directeur général. Le titre et les coordonnées du Chef de la protection des renseignements personnels doivent être publiés sur votre site web ; ces coordonnées figurent généralement dans la politique de confidentialité.

3.

Rédiger une nouvelle Politique de confidentialité pour votre société

La Loi 25 exige que toutes les entreprises qui collectent des renseignements personnels publient sur leur site web une politique de protection de confidentialité dans un langage clair et simple. La politique de confidentialité doit :

✓ Inclure une liste de tous les renseignements personnels recueillis et les fins auxquelles ils sont utilisés ;

✓ Inclure une liste de tous les droits des utilisateurs, y compris : le droit d'accès, le droit de rectification, le droit de retirer son consentement, le droit au déréférencement et le droit à la portabilité des données ; et doit indiquer aux utilisateurs comment exercer ces droits, généralement en contactant le Chef de la protection des renseignements personnels ;

✓ Inclure le nom des tiers (y compris les fournisseurs de services) ou les catégories de tiers auxquels les renseignements personnels sont transférés, en précisant s'ils se trouvent dans une juridiction hors du Québec ;

✓ Inclure toute information concernant la collecte de renseignements personnels au moyen d'une technologie comprenant des fonctions permettant d'identifier, de localiser ou de profiler le visiteur du site web, ainsi que les moyens de les activer (cookies, pixels web, etc.) ;

✓ Indiquer si des renseignements personnels sensibles (tels que des informations sur la santé) sont recueillis ou utilisés ;

✓ Indiquer si le site web ou les services que vous fournissez utilisent un traitement automatisé, comme l'intelligence artificielle ;

✓ Disposer d'informations sur les politiques et les procédures décrites dans la section suivante.

4.

Rédiger les politiques internes de la société

La Loi 25 exige que toutes les organisations disposent de certaines politiques et pratiques internes.

5.

Vérification des fournisseurs de services et des accords de traitement des données («ATD»)

La Loi 25 exige que lorsque vous transférez des renseignements personnels à un fournisseur de services (par exemple, en transférant des adresses électroniques à une société qui vous envoie une infolettre), vous devez « confier le mandat ou le contrat par écrit ». Cela signifie généralement que vous devez signer ce que l'on appelle des « accords de traitement des données » (ATD) avec ces fournisseurs de services. Pour vous conformer à la Loi 25, vous devez: 

✓ Dresser une liste des fournisseurs de services

✓ Déterminer si des ATD ont déjà été signés avec les fournisseurs de services existants

✓ Élaborer une stratégie pour signer tout ATD manquant

✓ Signer les ATD manquants

6.

Évaluations des facteurs relatifs à la vie privée

La Loi 25 exige que lorsque vous transférez des renseignements personnels hors du Québec ou que vous créez un nouveau système électronique qui collecte, utilise ou divulgue des renseignements personnels, vous devez au préalable procéder à ce que la Loi 25 appelle une « évaluation des facteurs relatifs à la vie privée ». Pour vous conformer à cette partie de la loi, vous devez envisager : (1) d'élaborer une procédure interne évaluation des facteurs relatifs à la vie privée ; et (2) d'élaborer un modèle d’évaluation des facteurs relatifs à la vie privée que vous pourrez utiliser en cas de besoin.