Loi 25 : ce qu’elle implique pour ton site Web

loi 25 et site Web

La loi 25 est sur toutes les lèvres, mais savais-tu qu’elle concerne aussi ton site Web? Eh oui, via ton site, tu es peut-être en train de collecter des renseignements personnels sans même t’en rendre compte! Pour t’aider à y voir plus clair (sans jargon juridique indigeste), j’ai fait appel à Emeline Manson, experte en cybersécurité et prévention des fraudes. Dans cet article, basé sur mon épisode de podcast, on va voir ensemble ce que dit cette loi, ce qu’elle implique pour ton site et comment t’y conformer facilement.

 

Qui est Emeline?

Emeline Manson est la fondatrice de CY-clic, une entreprise qui donne de la formation aux autres entreprises sur la prévention des fraudes et la cybersécurité.

Elle n’a pas la prétention d’être avocate pour venir nous parler de la loi 25. Tout ce qu’elle partage avec nous vient de sa compréhension de cette loi et ne représente pas des avis juridiques.

Cependant, elle connaît et comprend très bien cette loi incompréhensible et sait nous l’expliquer dans des termes clairs.

Tu peux découvrir son univers sur LinkedIn. Tu peux également retrouver ses capsules très instructives sur YouTube.

 

C’est quoi la loi 25?

La loi 25 a été mise à jour pour renforcer la protection des renseignements personnels des citoyens québécois.

Elle s’applique à toute entité ou tout individu qui collecte des renseignements personnels de citoyens du Québec, y compris les entreprises basées à l’extérieur du Québec.

Cette loi vise à redonner aux citoyens québécois le contrôle sur leurs renseignements personnels. Elle leur permet de savoir quelles informations on a sur eux, pourquoi, combien de temps elles sont conservées, si elles sont partagées, etc.

Les sanctions pour non-conformité peuvent être sévères, allant jusqu’à 25 millions de dollars ou 4% du chiffre d’affaires mondial de l’organisation. Ça peut faire peur, mais ce n’est pas si compliqué de se conformer pour éviter d’en arriver là!

Les manquements passibles de sanction sont :

  • collecter, utiliser, communiquer ou conserver des renseignements personnels sans le consentement des personnes concernées
  • ne pas informer les personnes que l’on collecte leurs renseignements personnels
  • ne pas déclarer un incident de confidentialité qui représente un risque de préjudice sérieux
  • être négligent au niveau de la sécurité (par exemple, ne pas avoir protégé l’accès à son CRM, qui contient beaucoup de renseignements personnels, par un double facteur d’authentification*).

*plus d’infos sur le sujet un peu plus loin dans l’article

Les renseignements personnels

Qu’est-ce qu’un renseignement personnel?

Un renseignement personnel est toute information qui permet d’identifier une personne, que ce soit directement (comme un nom ou une adresse) ou indirectement (comme une adresse IP).

Il faut toutefois distinguer les renseignements personnels des renseignements professionnels, car les informations liées à l’emploi d’une personne (courriel et numéro de téléphone professionnels, par exemple) ne sont pas couvertes par la loi 25.

Des zones grises dans la loi

Toutefois, il existe une zone grise à ce niveau-là. Si ton comptable a une adresse courriel @gmail.com, est-ce un renseignement personnel ou professionnel? La nature de la relation que tu entretiens avec cette personne est professionnelle, donc tu peux considérer ce renseignement comme professionnel.

Mais si tu as des employés, tu as certainement leur numéro d’assurance sociale. Bien que ta relation avec eux soit professionnelle, ce renseignement est personnel et sa protection est encadrée par la loi 25!

Pas évident de s’y retrouver dans toutes ses nuances, n’est-ce pas? N’hésite pas à contacter Emeline si tu as une question. Elle est ravie de pouvoir aider les entrepreneurs sur le sujet.

 

La loi 25 pour ton site Web

Même si tu travailles uniquement avec d’autres entreprises, il se peut que tu collectes des renseignements personnels via ton site.

Par exemple, tu n’as pas le contrôle sur les informations de contact que tes visiteurs te donnent lorsqu’ils remplissent ton formulaire de contact ou s’inscrivent à ton infolettre. Il se peut qu’ils les remplissent à l’aide de renseignements personnels.

Donc, tu dois mettre en place certaines actions afin d’informer tes visiteurs et d’obtenir leur consentement quant à la collecte et à l’utilisation de leurs données personnelles.

Politique de confidentialité

Sur ton site, tu dois avoir une politique de confidentialité visible et consultable par tes visiteurs.

Dans cette politique, tu dois indiquer :

  • quels types de renseignements personnels tu collectes
  • ce que tu fais avec ces renseignements
  • si tu les partages avec des tiers, directement ou indirectement, en précisant lesquels (ex. Google Workspace)
  • les délais de conservation de ces renseignements

Pour approfondir un peu le dernier point, sache que les données personnelles ne doivent pas être conservées indéfiniment.

Par exemple, les données de facturation doivent être conservées pendant sept ans pour des raisons de conformité fiscale.

Cependant, d’autres types de données peuvent avoir une durée de conservation plus courte. C’est le cas, par exemple, d’une agence de voyages qui collecte des pièces d’identité. Il est inutile de les garder pendant des années si elle n’en a pas besoin. En plus, en les conservant, elle augmente les risques d’incident de confidentialité.

Bannière des cookies

Les témoins de connexion sont une forme de collecte de renseignements personnels. Ils permettent au propriétaire du site d’avoir certaines données, comme le nombre de visites, quelles pages ont été visitées, sur quoi les visiteurs ont cliqué, etc.

Et tout renseignement personnel doit être transmis avec consentement.

La bannière de cookies est donc là pour permettre aux visiteurs d’accepter ou de refuser la collecte de ces renseignements.

Si ton site est sur WordPress, tu peux utiliser l’extension Complianz, pour créer facilement une bannière de cookies.

Formulaire de contact

Afin de t’assurer que tes visiteurs ont bien pris connaissance de ta politique de confidentialité et de l’utilisation que tu feras de leurs données personnelles, pense à ajouter une petite case à cocher avec ton formulaire de contact.

La phrase accompagnant cette case peut être « J’ai pris connaissance de la politique de confidentialité et je consens à cette collecte de mes données personnelles. »

Dans le même ordre d’idée, même si ça n’a rien à voir avec la loi 25, il est pertinent d’informer tes visiteurs sur ce qui les attend une fois qu’ils se sont inscrits pour recevoir ton outil gratuit. « En téléchargeant cet outil gratuit, tu seras également ajouté à notre infolettre. Tu recevras un courriel par mois et, en tout temps, tu pourras te désabonner. »

Ce n’est pas une demande de consentement, mais simplement de l’information pour faire preuve de transparence.

 

Augmente la confiance de tes visiteurs grâce à la loi 25

La loi 25 n’est pas qu’une tâche de plus à faire dans ta to-do list!

Elle permet d’améliorer la confiance de tes visiteurs envers toi et envers la protection de leurs données personnelles.

Avoir une politique de confidentialité et une bannière de cookies, qui montrent que tu te soucies de la protection des données de tes visiteurs, te permet de te démarquer de tes concurrents qui n’en auraient pas.

Tes visiteurs se sentiront rassurés et préféreront sûrement te contacter toi, plutôt que ton concurrent qui ne semble pas se soucier des renseignements personnels ou qui, du moins, n’est pas transparent à ce sujet.

 

Sécurité pour les sites transactionnels

Comme Emeline est experte en cybersécurité, j’en ai profité pour lui demander ce qu’on peut faire pour renforcer la sécurité des transactions faites sur notre site et comment mettre nos visiteurs/acheteurs en confiance.

Le choix de la plateforme de paiement jouera grandement sur le sentiment de confiance de ton visiteur qui souhaite effectuer un achat sur ton site.

Il est préférable d’utiliser des services reconnus comme PayPal, Stripe ou Square pour traiter les paiements sans collecter directement les numéros de carte de crédit.

De plus, avec ces plateformes, tu es protégée, puisque tu n’as accès qu’aux 4 derniers chiffres de leur carte. Donc si tu te fais frauder ton compte Stripe, cela ne signifie pas que tes clients se feront frauder eux aussi.

Enfin, les sites de ces plateformes sont sécurisés grâce à un certificat SSL (httpS). C’est une preuve supplémentaire qui montre à tes visiteurs qu’ils sont en sécurité!

De ton côté, c’est bien de sécuriser ton accès à ces plateformes avec un mot de passe robuste.

Pour ça, il doit contenir de 14 à 16 caractères. Ça peut paraître exagéré, mais plus un mot de passe est long, plus il est robuste.

Tu peux également utiliser le facteur de double authentification. C’est quoi? Lorsque tu te connectes à la plateforme, tu reçois un code par texto, courriel ou via une application désignée pour pouvoir te connecter.

Ça permet qu’une personne malveillante qui aurait ton mot de passe soit bloquée.

La façon la plus sûre de recevoir ce code d’authentification est via une application comme Google Authentificator.

En effet, par courriel est à proscrire puisque c’est souvent lui qui se fait pirater!

Par texto, c’est mieux, mais pas parfait. Par exemple, si tu es en déplacement à l’étranger et que ton forfait ne te permet pas de recevoir des textos, il sera impossible de récupérer le code.

D’ailleurs tu peux activer l’authentification à deux facteurs pour presque tous tes comptes, même tes comptes professionnels sur des plateformes comme Facebook pour les protéger contre les piratages.

 

Conseils pratiques pour avoir un site qui te ressemble

Mes invitées dans le podcast te donnent toutes des actions concrètes à mettre en place pour optimiser ton site Web et renforcer son image professionnelle… et donc la tienne! 🚀
Je te laisse découvrir celle d’Emeline!

Outil à télécharger

Emeline te propose un outil gratuit sous forme de fichier Excel pour t’aider à faire l’inventaire des renseignements personnels que tu détiens et des lieux de stockage de ces informations.

C’est un premier pas pour te conformer à la loi 25. Ce fichier est parfait pour ne pas partir d’une page blanche sans savoir par où commencer.

Je télécharge cet outil!

 

Conseils bonus

Emeline partage d’autres outils, réservés aux abonnés de mon infolettre. Si tu souhaites y avoir accès, inscris-toi ici. Tu recevras un lien vers la bibliothèque des conseils bonus de toutes les invitées sur mon podcast « 1, 2, 3, cocktail! » 🧉

 

Respecter la loi 25 n’est pas seulement une obligation légale, c’est aussi une excellente façon d’inspirer confiance à tes visiteurs. En mettant en place quelques bonnes pratiques comme une politique de confidentialité claire, une bannière de cookies et des mesures de sécurité renforcées, tu montres que tu prends au sérieux la protection de leurs renseignements personnels. Comme le dit si bien Emeline, commence par un premier petit pas pour franchir la montagne que représente cette loi. Donne-toi du temps et n’essaie pas de tout régler d’un coup au risque d’en avoir la nausée! En utilisant les ressources d’Emeline, tu seras sur la bonne voie!

0 commentaires

Soumettre un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Blogue : ton atout visibilité et crédibilité

Lire plus

Comment rédiger facilement une page « À propos » efficace

Lire plus

Un site qui attire les bonnes personnes

Lire plus

Rédaction Web : allier SEO et persuasion

Lire plus

8 bonnes pratiques pour la maintenance de ton site

Lire plus

Image de marque : conseils pour la rendre forte et mémorable

Lire plus

Témoignages clients : tout ce que tu dois savoir

Lire plus

Photos professionnelles : comment elles transforment ton site Web

Lire plus

Design Web : l’art de séduire tes visiteurs en un clin d’œil!

Lire plus

Corriger les fautes : l’ingrédient clé pour booster la crédibilité de ton site Web

Lire plus