Nouvelles mesures de la Loi sur la protection des renseignements personnels du Québec (loi 25)

Depuis le 22 septembre 2022, de nouvelles obligations légales sont entrées en vigueur au Québec. La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé, aussi appelée Loi 25, s'applique à tout organisme qui recueille, détient ou partage des renseignements personnels. Les modifications apportées par la Loi 25 sont entrées progressivement en vigueur sur une période de trois ans, jusqu'en 2024.

Sans être des experts en la matière, ni être un avis légal, nous sommes familiers avec ce genre de mesures depuis quelques temps car de nombreux éléments de la Loi 25 sont inspirés du "Règlement général sur la protection des données" (RGPD) adopté par l'Union Européenne en 2016. Ces lois sont nécessaires car d'une part, les systèmes informatiques font souvent beaucoup de partage de données avec des services tiers (ex: services publicitaires, traitement de paiements) et perdent le contrôle sur la source et les partages de données. D'autre part, les organisations doivent avoir des processus clairs pour noter la provenance, le consentement sur les données collectées et leur suppression éventuelle. L'utilisation d'un outil comme CiviCRM simplifie significativement l'application de ces lois. et des bonnes pratiques.

Cet article résume des exigences de la Loi ainsi que des recommandations dans le cadre de l'utilisation de CiviCRM et des services de Coop SymbioTIC ou de ses partenaires. Pour plus d'information, la Commission d'accès à l'information du Québec (CAI) a un excellent portail pour entreprises. Cet article reprend de nombreux éléments du site web de la CAI. Nous avons tenté, lorsque possible, d'annoter les éléments pour expliquer plus concrètement ce que cela signifie lorsqu'on utilise CiviCRM.

Exigences entrées en vigueur le 22 septembre 2022

  • Désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur le site Internet de l'entreprise;
    • "La personne ayant la plus haute autorité veille à assurer le respect et la mise en œuvre de la Loi"
    • elle peut exercer la fonction de responsable, ou déléguer cette fonction par écrit, en tout ou en partie, à une autre personne.
    • la personne responsable doit avoir un pouvoir décisionnel pour assumer le rôle
    • Le titre et les coordonnées de la personne responsable doivent être publiées sur le site web de l'entreprise (ou par toute autre moyen approprié).
  • En cas d'incident de confidentialité, tenir un registre de tous les incidents et prendre rapidement des mesures afin de diminuer le risque qu'un préjudice soit causé aux personnes concernées. Une entreprise doit aussi aviser la Commission et les personnes concernées de tout incident présentant un risque sérieux de préjudice;
    • La personnes désignée responsable doit enregistrer les communications liées, suivant l'incident
    • .. et prendre part à l'évaluation du préjudice causé par l'incident
    • Exemple d'incidents: membre du personnel consulte un renseignement personnel sans autorisation; membre du personnel communique des renseignements personnels au mauvais destinataire; l’organisation est victime d’une cyberattaque : hameçonnage, rançongiciel, etc.
  • (généralement non-applicable à nos services) Divulguer préalablement à la Commission la vérification ou la confirmation d'identité faite au moyen de caractéristiques ou de mesures biométriques;
  • Respecter le nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée dans le cadre d'une transaction commerciale ou encore à des fins d'étude, de recherche ou de productions de statistiques.
    • la communication des renseignements personnels nécessite le consentement des personnes concernées. Certaines exceptions sont cependant prévues pour les professionnels de recherche
    • autrement dit, dans la très grande majorité des cas, il faut toujours demander le consentement.

Mesures entrées en vigueur le 22 septembre 2023

  • Avoir établi des politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise ou, si elle n’a pas de site, par tout autre moyen approprié;
  • Réaliser une évaluation des facteurs relatifs à la vie privée (ÉFVP) lorsque la Loi l’exige, par exemple avant de communiquer des renseignements personnels à l’extérieur du Québec;
    • Généralement nous utilisons peu de services tiers, mais une exception est l'utilisation de Sparkpost pour la livraison de courriels (gestion des rebonds et plaintes). Techniquement, ceci signifie que le nom, prénom et adresse courriel sont partagés avec Sparkpost, une compagnie basée aux États-Unis.
    • Il se peut également que votre CiviCRM soit connecté avec un service de paiement tel que Stripe ou PayPal. Ceci est une entente contractuelle entre vous et la passerelle de paiement (contrairement à Sparkpost, qui fait partie de nos services d'hébergement). Lors du traitement du paiement, le nom, adresse courriel et parfois le code postal est partagé avec la passerelle de paiement.
    • Nous suggérons d'éviter des services comme Google Analytics. Techniquement, la loi Québécoise ne semble pas considérer qu'une adresse IP est une donnée personnelle, mais plusieurs jugements en Europe considèrent que oui. Ces services peuvent également exposer vos membres à des risques, car en utilisant Google Analytics, les données sont utilisées pour nourrir les données publicitaires de Google, ce qui en revanche permet à des acteurs malicieux de cibler des contenus aux membres de votre communauté (ex: LGBTQIA).
  • Respecter les nouvelles règles entourant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels;
  • Détruire les renseignements personnels lorsque la finalité de leur collecte est accomplie, ou les anonymiser pour les utiliser à des fins sérieuses et légitimes, sous réserve des conditions et d’un délai de conservation prévus par une loi;
    • Par exemple, après un certain nombre d'années, si un contact ou membre n'est plus actif, si la personne n'est pas abonnée à l'infolettre, ne participe pas à des événements, etc, il faudrait considérer anonymiser ou détruire ses données. Ceci réduit les risques en cas de fuite de données.
  • Respecter vos nouvelles obligations d’information et de transparence envers les citoyens;
  • Respecter les nouvelles règles de communication de renseignements personnels sans le consentement de la personne concernée (exercice d’un mandat ou exécution d’un contrat de service ou d’entreprise);
  • Respecter les nouvelles règles de communication des renseignements personnels à l'extérieur du Québec;
  • Respecter les nouvelles règles d’utilisation des renseignements personnels;
  • Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
  • Respecter les nouvelles règles entourant la collecte de renseignements personnels concernant un mineur;
  • Respecter le droit à la cessation de la diffusion, à la réindexation ou à la désindexation (ou droit à l'oubli);
    • Ceci semble davantage concerner un service du type moteur de recherche ou d'archive publique.
    • Avec CiviCRM, parfois une organisation publie un registre de membres. Il devrait y avoir des procédures pour être retiré du registre public.
  • Respecter les nouvelles règles de communication des renseignements personnels facilitant le processus de deuil.

Mesures entrées en vigueur le 22 septembre 2024

  • Répondre aux demandes de portabilité des renseignements personnels.

Ceci est généralement peu applicable à nos services. L'exemple le plus commun, est de pouvoir exporter ses données de Facebook/Google/Apple (photos, messages, etc) afin de les transférer vers un autre système.

Cependant, une personne pourrait souhaiter exporter son historique de don, ou connaître l'historique de ses interactions avec l'organisme. Il est possible d'exporter ces données avec la recherche de CIviCRM (recherche de dons, recherche d'activités, etc).

Questions fréquentes sur notre hébergement

  • La personne responsable des données chez Coop Symbiotic: Mathieu Lutfy (info@symbiotic.coop)
  • Emplacement de nos serveurs: OVH Beauharnois (pour nos clients du Québec/Canada).
  • Nos serveurs sont entièrement gérés par Coop Symbiotic (à l'exception du matériel, géré par OVH).
  • Nos sauvegardes sont faites chez un fournisseur en Finlande (Hetzner) et sont encryptées. Le fournisseur tiers ne peut pas accéder aux données (c'est entièrement géré par Coop Symbiotic).
  • Nous conservons 4 à 6 mois de sauvegardes (quelques sauvegardes quotidiennes, quelques semaines et quelques mois).
  • Nous conservons 3 à 6 mois de journaux des accès aux serveurs, sur un serveur tiers géré par Coop Symbiotic. Le fournisseur tiers ne peut pas accéder aux données (c'est entièrement géré par Coop Symbiotic).
  • Seuls les membres de Coop Symbiotic ont accès à nos serveurs. Par exception, si un client a un hébergement dédié (Forfait C), nous pouvons donner accès à des tiers à la demande du client.
  • Nos modalités et conditions ont une entente de confidentialité.

Voir aussi: Hébergement CiviCRM avec SymbioTIC au Québec (et Loi 25).

Pratiques à adopter avec CiviCRM

En tout temps - avoir de bonnes pratiques pour protéger l'accès à CiviCRM:

  • Avoir des identifiants et mots de passes uniques à chaque personne ayant accès à CiviCRM
  • Bloquer les accès non-utilisés
  • Forcer l'utilisation de mots de passes sécuritaires et former les personnes sur l'importance de bien protéger son mot de passe
  • Utiliser une authentification à deux facteurs (il y a des extensions que nous pouvons activer)
  • Garder un journal des accès et des nouveaux appareils qui se connectent à CiviCRM, pour détecter les anomalies (c'est une extension que nous activons)
  • Garder un journal des exports de données (extension CiviCRM "logexport").

À partir de septembre 2022:

  • Désigner une personne de l'organisation qui peut assumer le rôle de personne responsable de la protection des données personnelles.
  • Former les personnes ayant un accès à CiviCRM sur l'importance de protéger les données personnelles. Ces données ne peuvent être consultées que dans le cadre de leur responsabilités et ne doivent pas être partagées ou utilisées à d'autres fins. Les exports de données sont un autre sujet important à bien encadrer.
  • Documenter le type de données personnelles qui sont conservées (nom, adresse, téléphone, courriel, etc) et obtenir le consentement des personnes concernées.

À partir de septembre 2023:

  • Détruire ou anonymiser les données personnelles lorsque la finalité de leur collecte est accomplie. Par exemple, pour un bénéficiaire inactif depuis 5 ans, anonymiser le nom, adresse, courriel et toute autre information personnelle (ce qui n'empêche pas de conserver l'historique des interactions avec cette personne). En cas de fuite ou vol de données, ça permet de réduire le nombre de personnes concernées.
  • Respect des règles de communications de données hors-Québec. Documenter l'utilisation de services tels que Sparkpost (envois de courriels), ou de passerelles de paiement (Stripe).

À partir de septembre 2024:

  • Former la personne responsable des données personnelles à propos de la portabilité des données - c'est à dire, comment exporter les données, si une personne fait la demande, et quels sont les délais permis pour répondre à la demande.