Bonne nouvelle pour la protection de nos renseignements personnels, mais tout un puzzle pour les organisations ! Jasons plan d’action pour se conformer à la loi 25.

Se responsabiliser
Depuis septembre 2022, la loi 25 vise à protéger la population du Québec en responsabilisant les entreprises, peu importe leur taille, quant à la collecte et à la gestion de données personnelles. D’autres dispositions législatives devront prendre effet en septembre 2023 et en 2024, dont l’obligation de mettre en œuvre une politique qui encadre la gouvernance des renseignements personnels. Le cas échéant, l’organisme responsable de surveiller l’application de cette loi, la Commission d’accès à l’information du Québec, peut imposer d’importantes sanctions, pouvant aller jusqu’à 25 millions de dollars. Ouch. On ne pourra pas dire qu’on n’était pas au parfum ! « Le respect de la vie privée, ce n’est pas juste une loi, c’est une façon de penser, dit Alain Marceau, VP et fondateur de Dialog Insight. Il faut mettre en place de bonnes pratiques en considérant cela. Établir un bon programme qui fait du sens, et penser un peu plus loin que simplement la loi. Il faut évidemment prendre en considération les obligations qu’elle impose, mais tant qu’à y penser, c’est une bonne façon de le voir plus loin. »

Vos données, on en fait quoi?
Comme la loi 25 apporte son lot de défis, les organisations ont un énorme chantier devant elles et doivent s’y atteler, et vite. Présentement, Dialog Insight sonde ses clients pour savoir où ils en sont dans leur implantation – et leur compréhension ! – de la loi. Ce que l’entreprise remarque, c’est qu’il y a des divergences. «C’est la même loi, mais pas tout le monde l’interprète de la même façon (RIRES)», note Alain. Présidente-directrice générale chez Symplify, Vanessa Gratton est aussi d’avis que la compréhension de la loi 25 diffère d’un client à un autre – tout dépend de la maturité des entreprises. Nos deux spécialistes s’entendent pour dire que la loi est complexe, certes, mais simple à la fois. «Les entreprises doivent revoir leurs politiques de conditions d’utilisation et de confidentialité. C’est un gros travail que les gens auront à faire», développe Alain. Le défi, selon lui, est de décrire précisément ce qu’on a l’intention de faire avec ladite donnée. «Avec la mise en place de la gouvernance des données, les entreprises devront expliquer comment elles vont les gérer, qu’est-ce qu’elles vont en faire, qu’est-ce qu’elles conservent, ajoute Vanessa. Les gens auront le droit de demander aux organisations ce qui a été collecté sur eux et auront aussi la possibilité de demander de modifier, de purger, de supprimer ou d’anonymiser les données.» Cela signifie, pour les entreprises, d’être transparentes sur la collecte de données auprès des utilisateur·trices qui visitent leur plateforme web par exemple. Elles doivent donc obtenir un consentement explicite pour utiliser les renseignements. En tout temps lors de la collecte de données personnelles, les entreprises doivent fournir l’objectif de la collecte, les méthodes utilisées, les droits d’accès et de rectification et le droit de retirer le consentement. Ce n’est pas parce qu’un client a consenti une fois que ce sera toujours le cas ! «Idéalement, il ne faut pas faire ça manuellement. Il faut que ça prenne le moins de temps possible et on peut s’appuyer sur différents outils», dit Vanessa.

loi 25Alain Marceau et Vanessa Gratton

S’appuyer sur la (bonne) technologie
Une saine gouvernance de données passe par les outils technologiques que les entreprises utilisent pour collecter, traiter et stocker des informations. Et c’est ici que des entreprises de solutions technologiques entrent en jeu. Parmi la panoplie de choix qui s’offrent aux entreprises, il est commun de ne pas savoir où donner de la tête. Comme le rapporte Libeo, tout d’abord, il faut sélectionner son outil de prédilection en fonction de ses priorités: est-ce de collecter le plus de données possible ou encore de maximiser l’analyse? Ensuite, il faut évaluer les besoins de l’entreprise sur le long terme: c’est-à-dire ne pas choisir une technologie en se basant uniquement sur votre situation actuelle. Les organisations doivent aussi penser à leur besoin d’autonomie – pourquoi ne pas favoriser des solutions clés en main? Enfin, et non le moindre, il faut opter pour des outils respectant les principes de gouvernance de données, c’est-à-dire qui permettent de documenter, contrôler et cartographier rapidement vos données. Tant les outils technologiques de Dialog Insight et de Symplify ont des fonctionnalités RGPD (Règlement général sur la protection des données) de l’Union européenne). Parenthèse, l’entreprise québécoise Dialog Insight réalise maintenant 50% de son CA en France, et Symplify est une entreprise qui nous vient tout droit de la Suède, avec des bureaux un peu partout à travers le monde, dont Montréal. Elles en savent donc une chose ou deux sur la protection des données, puisque l’UE avait une longueur d’avance sur le Québec. Les entreprises ont évidemment un travail de taille à faire de leur côté afin de revoir leurs politiques de confidentialité, leurs processus et leurs bonnes pratiques, mais sélectionner de bons outils selon ses besoins est tout aussi primordial pour être dans les règles. Finalement, la loi 25 n’est pas si complexe que ça… «Les principes ne changent pas. On protège les données, on va chercher les consentements, et on les utilise intelligemment. On ne partage pas des données avec n’importe qui», résume Alain.

loi 25