En vertu de la Loi 25, la nouvelle loi québécoise sur la protection des renseignements personnels, les organisations doivent obtenir un consentement exprès, clair et éclairé avant de recueillir des renseignements personnels, y compris au moyen de témoins. Votre gestion du consentement est-elle à la hauteur ?
La Loi 25, anciennement connue sous le nom de Projet de loi 64, est une réforme majeure de la Loi sur la protection des renseignements personnels dans le secteur privé du Québec. Mise en œuvre graduellement entre 2022 et 2024, elle modernise les exigences en matière de protection de la vie privée et renforce les droits individuels. Elle introduit des règles de consentement plus strictes, de nouvelles obligations pour les entreprises et des sanctions importantes en cas de non-conformité.
Si votre site web utilise des témoins qui suivent le comportement des utilisateurs ou collectent des identifiants comme les adresses IP, vous êtes tenu d'en informer les utilisateurs et d'obtenir leur consentement avant d'activer des témoins non essentiels. Cela comprend la mise en place de bannières claires sur les témoins et de politiques de confidentialité qui précisent quelles données sont collectées et pourquoi.
Pour vous conformer à la loi 25, prenez les mesures suivantes :
Mettre à jour la politique de confidentialité :
Maintenir des politiques de confidentialité claires et à jour.
Mettre en œuvre la gestion du consentement :
Mettre en œuvre des bannières de consentement aux cookies, des mécanismes de désinscription et des moyens permettant aux consommateurs de retirer leur consentement
Gouvernance des données :
Nommer un responsable de la protection de la vie privée, une personne responsable de la protection des renseignements personnels, et effectuer des évaluations d’impact sur la vie privée si nécessaire
Traitement des données personnelles :
Établir des processus de traitement des demandes des personnes concernées.
Sécurité des données :
S'assurer que des mesures de sécurité des données sont en place et mettre en place des mesures pour le signalement obligatoire des violations
La Loi 25 s'applique à :
Toutes les organisations du secteur privé exerçant des activités au Québec ou traitant des données personnelles de résidents du Québec.
Les entreprises établies à l'extérieur du Québec qui offrent des biens ou des services aux résidents de la province ou qui surveillent leur comportement.
Cela comprend les PME, les entreprises de commerce électronique, les fournisseurs de services, les organismes sans but lucratif, etc.
La loi 25 accorde aux résidents du Québec un large éventail de droits sur leurs données personnelles :
Sachez comment et pourquoi vos données sont collectées.
Demander une copie de leurs données personnelles.
Les consommateurs peuvent corriger des données inexactes ou incomplètes.
Les consommateurs peuvent à tout moment refuser le traitement de leurs données.
Les consommateurs peuvent demander que leurs données soient supprimées.
Les consommateurs peuvent recevoir des données personnelles dans un format structuré et couramment utilisé.
Les consommateurs peuvent limiter l’utilisation de leurs données dans certaines conditions.
Les consommateurs ont le droit d’être informés lorsqu’une violation de sécurité impliquant leurs données survient.
Les cookies qui collectent des données permettant d'identifier une personne (telles que l'adresse IP, l'historique de navigation ou la géolocalisation) sont considérés comme des informations personnelles au sens de la Loi 25. Cela signifie que :
Les utilisateurs doivent consentir activement à l'utilisation de ces cookies.
Votre site doit proposer des choix clairs (acceptation ou refus).
Le consentement ne peut être ni regroupé ni dissimulé dans les conditions générales.
Des bannières de cookies doivent être mises en place :
Indiquer clairement les types de cookies utilisés et leurs finalités ;
Permettre aux utilisateurs d'accepter ou de refuser les cookies non essentiels ;
Ne pas présumer du consentement en poursuivant la navigation (fin des cases pré-cochées ou du consentement implicite).
Vous devez également mettre à jour votre politique de confidentialité afin de refléter l'utilisation et les finalités des cookies.
Les organisations qui ne se conforment pas à la Loi 25 s'exposent à :
Des sanctions administratives pécuniaires pouvant atteindre 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial, selon le montant le plus élevé.
Des amendes pénales pouvant atteindre 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial, pour les infractions plus graves.
La déclaration publique des violations par la Commission d'accès à l'information (CAI), l'autorité québécoise en matière de protection de la vie privée.
Pour vérifier votre conformité à la Loi 25 du Québec, les organisations doivent :
Audit:
Effectuer un audit de données pour identifier tous les cookies et traceurs présents sur leurs sites Web
Classer par catégories:
Catégoriser les cookies (par exemple, nécessaires, de préférence, d'analyse, de marketing)
Mettre en œuvre la gestion du consentement :
Assurez-vous que les bannières de consentement sont correctement mises en œuvre avec des choix précis, permettez aux utilisateurs de retirer leur consentement à tout moment et conservez les journaux de consentement
Vérifiez les contrats tiers :
Examiner les pratiques de partage de données par des tiers
Une plateforme de gestion du consentement comme CookieHub contribue à garantir la conformité à la loi 25 en automatisant la collecte du consentement aux cookies, en stockant les préférences des utilisateurs et en fournissant des outils pour gérer les demandes de retrait et d'accès aux données.
La Loi 25 s'applique à tous les organismes du secteur privé qui recueillent, utilisent ou divulguent des renseignements personnels sur les résidents du Québec, quel que soit l'emplacement physique de l'organisme.
Les données personnelles désignent toute information qui identifie directement ou indirectement un individu, comme les noms, les adresses e-mail, les adresses IP et les informations démographiques ou comportementales.
Les données sensibles comprennent des informations qui, en raison de leur nature ou de leur contexte, présentent un risque plus élevé pour la confidentialité, telles que les données de santé, les données financières, les données biométriques et les données révélant l’origine raciale ou ethnique.
La Commission d'accès à l'information du Québec (CAI) est responsable de l'application de la loi 25 et du traitement des plaintes, des enquêtes et des sanctions.
Les organismes publics sont soumis à une législation différente (loi sur l'accès à l'information), et le traitement de données purement personnelles ou domestiques est exempté.
Visitez le site Web de la Commission d'accès à l'information (CAI) pour obtenir la documentation officielle, des conseils de conformité et des mises à jour.
©2018-2025 CookieHub ehf.
CookieHub CMP offers tools and services for managing cookies and online privacy.
