La Loi 25 vise à renforcer les droits des individus en matière de protection des renseignements personnels. Elle oblige les entreprises à mettre en place les politiques et les processus nécessaires à l’atteinte de cet objectif. En marge de cette loi on définit une information personnelle comme étant un renseignement qui permet d'identifier une personne physique client ou employé, directement ou indirectement.

 

Qu’est-ce que la mise en conformité à la Loi 25?

 

La mise en conformité à la Loi 25 ne concerne pas les aspects technologiques. Elle ne touche que les politiques et les processus à mettre en place. C’est une fois que ceux-ci sont implantés que les entreprises seront en mesure, avec leur partenaire TI, de déterminer quelles solutions et quels outils seront nécessaires pour garantir cette confidentialité et la gérer. Cependant au fil des ateliers, nous vous ferons part des meilleures pratiques en la matière.

 

Ce que les entreprises doivent faire pour se conformer maintenant

 

• Désigner un responsable de la protection des renseignements personnels;

• Établir et publier une politique pour la gestion des renseignements personnels;

• Mettre en place les mécanismes nécessaires pour obtenir le consentement pour la collecte, l’utilisation et la communication des renseignements personnels;

• Créer un registre des renseignements personnels et les formulaires nécessaires pour répondre et documenter les demandes d’accès, de correction et de désindexation des clients et des employés

• Établir le processus permettant de déterminer si un incident de confidentialité a eu lieu et comment le gérer;

• Créer et maintenir un registre des incidents ainsi que la procédure pour informer les parties concernées en cas de bris de confidentialité.

• Avoir en place un processus d’évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant des renseignements personnels ou avant de communiquer un renseignement personnel à l’extérieur du Québec;

• Avoir en plus un processus de portabilité des données.

 

Notre démarche en 4 étapes vers votre mise en conformité

 

1. Survol de la Loi 25, identification des renseignements personnels qui vous concernent et analyse de la position actuelle en matière de sécurité de l’information;

2. Élaboration de votre politique de protection adaptée à votre contexte d’affaire;

3. Préparation des formulaires et ajustements aux processus et procédures;

4. Formation pour la mise en place, la gestion de la conformité, les processus et procédures.

 

 

Nos livrables

 

• Gabarit pour faire l’inventaire des renseignements personnels;

• Politique pour la protection des renseignements personnels;

• Préparation des formulaires requis (entre 10 et 15 selon les activités de l’entreprise);

• Politique pour la conservation, la destruction et l’anonymisation des renseignements personnels;

• Processus et procédures pour la gestion des incidents de confidentialité;

• Processus et procédures pour les demandes d’accès;

• Processus et procédures pour le traitement des plaintes;

• Processus et procédures pour la suppression et la désindexation;

• Processus d’évaluation des facteurs relatifs à la vie privée (ÉFVP);

• Processus de portabilité des données

• Bonnes pratiques et outils recommandés pour garantir la confidentialité et gérer la conformité.

 

 

Selon les disponibilités des membres de votre équipe impliqués, le processus peut être complété en 4 semaines.