Contexte
Depuis le 22 septembre 2023, les sites web d'organisations basées au Québec doivent appliquer certaines mesures pour se conformer à la Loi 25.
Mesures liées à la loi 25
Un aide-mémoire préparé par la Commission d’accès à l’information résume ces mesures. Parmi celles qui peuvent affecter votre site web, il y a l'ajout d'une personne responsable de la protection des renseignements personnels:
- Désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur le site Internet de l’entreprise ou, si elle n’a pas de site, les rendre accessibles par tout autre moyen approprié.
NOTE: Il n'est pas essentiel d'identifier cette personne par son nom: elle peut être désignée par son titre (par exemple: "Responsable de la protection des renseignements personnels et de la confidentialité"), et ses coordonnées peuvent être une adresse courriel appropriée (par exemple: confidentialite@votredomaine.com)
De plus, il est désormais essentiel d'avoir une politique de confidentialité ainsi que des mécanismes qui permettent aux personnes qui visitent votre site web de prendre connaissance des données recueillies (notamment sous la forme de fichiers témoins, ou "cookies") et de pouvoir y donner ou retirer leur consentement. Citons notamment:
Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l'oubli);
Politique de confidentialité
Pour la préparation de votre politique de confidentialité, si votre site web utilise WordPress comme système de gestion de contenu, il y a un outil dans Réglages > Confidentialité qui vous permet de créer un modèle de base de politique, que vous pouvez ensuite compléter avec vos propres dispositions. Vous pouvez aussi consulter les références suivantes:
- Nouvelles dispositions protégeant la vie privée des Québécois : Des documents et références pour soutenir l'adaptation aux nouvelles règles (TRPOCB)
- Loi 25 - Boîte à outils
- Commission d’accès à l’information du Québec - Politique de confidentialité
Lors de la rédaction de la politique de confidentialité, en plus des renseignements recueillis à partir de votre site web, vous devriez aussi garder en tête l'utilisation de services auprès de d'autres fournisseurs, qui enregistrent aussi des renseignements et qui ont leur propre politique de confidentialité, par exemple:
- Réseaux sociaux
- Service d'infolettre
- Passerelle(s) de paiement
- Formulaires mis en place sur d'autres services (Google Drive, OneDrive, etc.)
Approbation des témoins
Pour mettre en place une bannière flottant sur votre site web qui permettra aux personnes de prendre connaissance des fichiers témoins, il existe plusieurs options gratuites, autant pour WordPress que pour Drupal. Voici quelques exemples:
- WordPress
- Drupal
Dans les systèmes qui vous permettent de contrôler spécifiquement quels fichiers témoins conserver, vous aurez besoin d'identifier et de configurer chaque fichier séparément. Ce tutoriel peut vous indiquer comment identifier les fichiers témoins. En général, les fichiers témoins sont associés aux scénarios suivants:
- Utilisation d'un outil de collecte de données statistiques de fréquentation du site web (Matomo, Google Analytics);
- Des fichiers témoins sont utilisés pour mesurer les visites répétées d'un même appareil.
- Utilisation d'une boutique en ligne et de passerelle(s) de paiement;
- Des fichiers témoins sont utilisés à des fins de sécurité (pour la prévention de la fraude, par exemple).
- Utilisation d'un système multilingue;
- Souvent, un fichier témoin enregistre la préférence de langue.
- Présence d'un espace membres/intranet, mise en place d'outils de communication (commentaires, forums de discussion, etc);
- Des fichiers témoins sont utilisés pour sauvegarder vos préférences.
- Intégration de fonctionnalités de réseaux sociaux (par exemple: affichage d'un fil de votre page Facebook);
- Les réseaux sociaux peuvent utiliser un fichier témoin à leur propres fins.
Si vous avez besoin d'accompagnement pour valider que votre politique de confidentialité reflète le fonctionnement de votre site web, ou pour mettre en place une bannière d'approbation des témoins, vous pouvez faire appel à nos services en complétant une demande de devis.