Conformité à la Loi 25

7 étapes pour réussir son programme de mise en conformité à la Loi 25

1.  Nommez votre responsable de la protection des renseignements personnels et son équipe

Identifiez les personnes de votre entreprise qui composeront votre comité ou vos différents comités de gouvernance de l’information en plus de préciser le rôle, les tâches les responsabilités de chaque intervenant. Familiarisez-vous avec les obligations découlant de la Loi 25 identifiez quels sont les renseignements personnels traités par l’organisation et cartographiez vos activités de traitement. Adoptez les résolutions nécessaires.

2.  Mettez en place votre processus de gestion des incidents de confidentialité  

Familiarisez-vous avec les concepts d’incident de confidentialité et de risque de préjudice grave. Apprenez quand et comment aviser les personnes concernées et les autorités de contrôle en cas d’incident. Mettez en place une politique, un plan de reprise et le registre des incidents.

3.  Rédigez les politiques, directives, procédures et registres nécessaires pour mettre en place une culture d’entreprise et un cadre de gouvernance adéquat

Une simple politique de confidentialité publiée sur votre site Web n’est pas suffisante pour vous rendre conforme aux obligations de la Loi 25. Il vous faut notamment une ou des politiques de protection des renseignements personnels des clients et des employés et il vous faut gérer les différents consentements requis ou leur retrait et communiquer le tout adéquatement.

4.  Évaluez vos relations avec les sous-traitants avec lesquels vous partagez des renseignements personnels.

Déterminez quand et comment effectuer une évaluation des facteurs relatifs à la vie privée en cas de transfert de données avec un tiers ou à l’extérieur du Québec. Validez la posture de vos sous-traitants face aux obligations de la Loi 25 et convenez d’ententes de sécurité des informations, si requis.

5.  Gérez vos données

Mettez en place une politique de gestion intégrée de l’information, un plan de classification et un calendrier de conservation des renseignements personnels et informations confidentielles détenues par l’organisation.  

6.  Sécurisez les données  

Mettez en place une politique de sécurité de l’information et gérez les accès aux renseignements personnels et confidentiels. Adoptez les politiques requises en cas de télétravail, d’utilisation d’appareils mobiles, de solutions de chiffrement, d’anonymisation ou de pseudonymisation. Mettez en place des outils technologiques adaptés et une procédure d’audit interne.

7.  Former votre personnel (en continu)

Il est crucial d’offrir à vos employés et autres membres du personnel ayant un accès à vos systèmes des formations sur les risques en matière de protection des renseignements personnels, leurs responsabilités et les nouveaux outils technologiques déployés au sein de votre entreprise. Vos employés doivent comprendre le rôle qu’ils ont à jouer au sein de votre programme de gouvernance. Ils doivent comprendre l’importance de protéger les renseignements personnels que vous traitez dans le cadre de vos activités. N’oubliez pas d’effectuer des rappels périodiques sur les bonnes pratiques à adopter et répétez les messages clés.

La mise en place d’un programme de gouvernance est un projet sans fin. Vous devrez continuellement réviser et mettre à jour vos politiques en plus de vous assurer de demeurer en conformité avec les changements législatifs et vos contrats conclus avec des tiers. 

Pour y arriver, assurez-vous de construire un programme flexible et à l’épreuve du temps.

Notre équipe peut vous aider à mettre en place un programme de gouvernance complet au sein de votre entreprise en plus de vous offrir des conseils pour l’évaluation, le suivi et le respect de la conformité. Enfin, pour que les coûts soient plus abordables et pour profiter de la collégialité des échanges d’organisations œuvrant dans un même domaine, renseignez-vous sur nos offres mutualisées pour regroupements et associations. 

Communiquez avec nous dès aujourd’hui avant que votre entreprise ne subisse un incident de confidentialité qui pourrait affecter sa réputation ou même mettre en jeu sa survie.