514-887-6463
Ressources Articles La Loi 25 du Québec Comparée
au GDPR et au CCPA

La Loi 25 du Québec Comparée
au GDPR et au CCPA

Par Équipe Mindsec 9 juillet, 2024

Au Québec, le domaine de la protection de la vie privée et de la sécurité des données est en pleine transformation, et les organisations ont déjà entamé une course contre la montre pour s’adapter. Reflétant les normes de protection de la vie privée établies par le Règlement général sur la protection des données (RGPD), l’Assemblée nationale du Québec a adopté à l’unanimité la Loi 25, également connue sous le nom de Loi sur la modernisation de la législation sur la protection des renseignements personnels, le 21 septembre 2021. Le déploiement du règlement se fait en trois phases déployées chaque année pendant les trois années suivant l’adoption de la loi.

D’ici le 22 septembre 2022, les organisations devront avoir désigné un contact pour la protection des données, mis en œuvre des mesures pour gérer les violations de données, effectué des évaluations de l’impact sur la vie privée (EIVP), adhéré aux nouvelles règles de partage des données et effectué des contrôles d’identité biométriques.

Au cours de la deuxième phase, qui a débuté le 22 septembre 2023, les organisations ont été tenues d’établir des politiques claires en matière de données, de réaliser des évaluations de l’impact sur la vie privée pour le partage externe de données, de respecter les règles de consentement, d’éliminer ou d’anonymiser les données si nécessaire, de respecter les obligations de transparence, de se conformer aux règles de partage et d’utilisation des données, de collecter des données sur les mineurs de manière responsable et de faire respecter le droit à l’oubli.

Enfin, le 22 septembre 2024, les organisations devront répondre aux demandes de portabilité des données.

La Loi 25 est une refonte complète de la législation québécoise en matière de protection de la vie privée. Elle a des conséquences importantes pour les entreprises qui font des affaires au Québec ou qui traitent les informations personnelles des résidents du Québec – comme les noms, les courriels, les numéros de téléphone, les adresses, les informations de paiement, et plus encore.

Le GDPR est une loi robuste sur la protection de la vie privée et la sécurité adoptée par l’Union européenne (UE) et qui a établi des normes élevées à l’échelle mondiale. Il impose des obligations aux organisations du monde entier dès lors qu’elles ciblent ou collectent des données relatives à des personnes résidant dans l’UE. Le règlement a été promulgué le 25 mai 2018 et prévoit des amendes sévères pour ceux qui ne respectent pas ses normes de confidentialité et de sécurité.

D’autre part, la CCPA est une loi historique sur la confidentialité des données qui donne aux résidents de Californie plus de contrôle sur les informations personnelles que les entreprises collectent à leur sujet. Elle est entrée en vigueur le 1er janvier 2020. Le CCPA garantit aux consommateurs californiens de nouveaux droits en matière de protection de la vie privée, notamment le droit de connaître les informations personnelles qu’une entreprise recueille à leur sujet et la manière dont elles sont utilisées et partagées.

 

Similitudes entre la loi 25, le GDPR et le CCPA

Chacune de ces trois règles a été établie pour renforcer le contrôle des individus sur leurs données privées. Elles régissent toutes les méthodes par lesquelles les organisations collectent et utilisent les données. Le principal point commun entre ces réglementations est leur objectif. Elles sont toutes conçues pour protéger la confidentialité des données personnelles et des informations des individus, et pas seulement des entreprises.

En outre, ces règles ont été établies pour protéger les individus à une époque d’interconnexion mondiale croissante, où les transferts transfrontaliers de données à caractère personnel sont de plus en plus courants et complexes. Bien qu’il existe des différences subtiles dans la portée de ces lois, elles visent toutes des objectifs similaires.

 

Exigences de conformité pour chaque législation

La Loi 25 exige que les organisations fassent preuve de transparence quant à la manière dont elles collectent et utilisent les données. Elle exige des politiques de confidentialité simples et concises qui révèlent les raisons de la collecte des données, les droits d’accès, les divulgations à des tiers et les transferts de données à l’échelle internationale. Le consentement doit être explicite, spécifique et éclairé.

La conformité au GDPR exige des organisations qu’elles répondent aux demandes des consommateurs, qu’elles divulguent les raisons pour lesquelles elles collectent des données personnelles, qu’elles exigent un consentement éclairé avant de collecter des données et qu’elles mettent en œuvre des mesures de sécurité adéquates pour protéger les données des utilisateurs.

La conformité à la CCPA exige des entreprises qu’elles soient transparentes sur la collecte et l’utilisation des données. Les entreprises sont tenues d’informer les consommateurs avant ou au moment de la collecte des données. Elles doivent mettre en place des procédures pour traiter les demandes d’exclusion, de connaissance et de suppression des consommateurs. Les entreprises doivent inclure sur leur site web ou leur application mobile un lien « Ne pas vendre mes informations » pour les demandes d’exclusion.

 

Sanctions en cas de non-respect de la loi

La Loi 25 augmente les amendes pour non-respect de la législation sur la protection de la vie privée, les entités du secteur privé étant soumises à des pénalités allant de 15 000 à 25 000 000 CAD ou à 4 % du chiffre d’affaires mondial de l’exercice précédent (le montant le plus élevé étant retenu).

Les sanctions prévues pour les violations graves du GDPR peuvent atteindre 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu. Toutefois, même pour les violations moins graves visées à l’article 83, paragraphe 4, le GDPR prévoit des sanctions allant jusqu’à 20 millions d’euros. 83 (4), le GDPR prévoit des amendes allant jusqu’à 10 millions d’euros ou, dans le cas d’une organisation, jusqu’à 2 % de son chiffre d’affaires mondial total de l’exercice précédent, le montant le plus élevé étant retenu.

Le CCPA prévoit des amendes pouvant aller jusqu’à 7 500 dollars par infraction individuelle. Le fait de ne pas remédier aux problèmes dans un délai de 30 jours peut entraîner une amende civile allant jusqu’à 2 500 dollars par infraction, qu’elle soit accidentelle ou intentionnelle. En outre, les organisations peuvent se voir infliger une amende de 7 500 dollars en cas de violation délibérée des dispositions de la loi sur la protection des données.

 

Nouvelles exigences de conformité à attendre de la loi 25 – principales différences par rapport au GDPR et au CCPA

La Loi 25 est la plus rigoureuse des trois réglementations à plusieurs égards. Il est important de souligner certaines différences cruciales :

  1. Champ d’application de la protection : Le GDPR offre des garanties étendues à toutes les personnes sans condition de résidence particulière. En revanche, la Loi 25 concerne les entités engagées dans des activités économiques systématiques, notamment l’accumulation, la conservation, l’utilisation ou la diffusion de données à caractère personnel appartenant à des habitants du Québec ou offrant des services à des personnes résidant au Québec, quel que soit leur but lucratif. Le champ d’application de la CCPA est plus limité et ne protège que les consommateurs résidant en Californie.
  2. Confidentialité par défaut : La disposition de la Loi 25 relative à la « confidentialité par défaut » est considérablement plus complète et plus stricte que celle du GDPR relative au « respect de la vie privée dès la conception ». Le CCPA n’intègre pas ce principe. Elle adopte plutôt une approche corrective après qu’un incident s’est produit.
  3. Permission : La Loi 25 est la seule réglementation qui exige le consentement par défaut, à quelques exceptions près, ce qui en fait la plus rigoureuse. En revanche, le GDPR autorise un plus large éventail de justifications, telles que le respect des obligations légales et l’intérêt public. Par ailleurs, le CCPA n’impose pas d’exigences en matière de consentement aux entreprises. Au contraire, elle permet aux personnes de refuser le partage des données ou d’exercer leur droit à l’effacement après avoir collecté leurs données.
  4. Analyse d’impact : La Loi 25 a un large champ d’application et impose un examen de l’impact sur la vie privée (PIR) chaque fois que certaines conditions sont remplies, quel que soit le niveau de risque. Le GDPR est plus souple et n’exige des évaluations que lorsque le traitement est susceptible d’entraîner un « risque élevé » pour les droits et libertés des personnes. Étant donné que le CCPA ne se concentre pas principalement sur les responsabilités liées à l’obligation de rendre des comptes, il n’exige pas d’analyses d’impact.

 

Déverrouillez la conformité avec Mindsec : Votre partenaire pour la mise en œuvre de la loi 25

La Loi 25 du Québec change la donne. Alors que les entreprises s’adaptent aux exigences strictes et à l’étendue de la protection, elles ont besoin d’un allié de confiance pour naviguer sur ce terrain complexe. C’est là qu’intervient Mindsec.

Mindsec est spécialisé dans la gestion des risques liés à la cybersécurité et à la protection de la vie privée. Nos experts chevronnés comprennent les nuances de la Loi 25 et veillent à ce que les pratiques de votre organisation s’alignent parfaitement sur ses dispositions. Que vous soyez basé au Québec ou que vous opériez à l’échelle internationale, nous avons tout ce qu’il vous faut.

La sauce secrète de Mindsec ? L’automatisation. Nous exploitons l’IA avancée et les technologies de pointe pour rationaliser l’atténuation des risques et la préparation à la conformité. Dites adieu aux processus manuels et bonjour à l’efficacité. En optimisant les ressources internes, nous donnons à votre équipe les moyens de se concentrer sur ce qui compte vraiment.

Des stratégies de protection des données aux audits de sécurité, Mindsec propose des solutions de bout en bout. Vous souhaitez obtenir une certification SOC 2, ISO 27K, HIPAA, GDPR, CCPA et PCI-DSS ? Considérez que c’est fait. Nous sommes votre boussole dans le désert de la conformité. Prêt à aborder la Loi 25 en toute confiance ? Laissez Mindsec vous guider ! Réservez un appel.

 

Lire Les Autres

Articles

Loi 25 du Québec : un guide complet pour 2025 et au-delà 

Depuis septembre 2022, les entreprises ayant des activités au Québec ou qui traite des informations de ses résidents doivent progressivement se conformer à la Loi 25, la nouvelle norme québécoise en matière de protection de la vie privée et des données.  La Loi 25 du Québec est une mise à jour de l’ancienne « Loi […]

25 octobre, 2024

Articles

Les Conséquences de la Non-Conformité et Comment les Éviter

La plupart des entreprises ignorent les coûts de la non-conformité jusqu’à ce qu’elles en subissent les conséquences : difficultés à conclure des contrats avec des clients potentiels , difficultés à pénétrer et à vendre sur de nouveaux marchés ou amendes réglementaires. Cette situation est due soit à l’ignorance des réglementations et des responsabilités locales, soit […]

5 septembre, 2024

Articles

Le guide ultime de la conformité à la norme ISO 27001

La transformation technologique accélérée au milieu du passage postpandémique au travail à distance a élargi la surface d’attaque et rendu les organisations plus vulnérables aux cybermenaces. Plus de six millions d’enregistrements de données ont été divulgués lors de violations de données à l’échelle mondiale seulement au début de l’année 2023, avec des coûts atteignant le […]

25 juin, 2024