Êtes-vous un entrepreneur?
Rejoignez notre réseau et attirez de vrais clients!
Loi 25 : la protection des données personnelles en construction
Par Cynthia Laferrière
Modifié le 7 novembre 2023
Avec les avancées technologiques viennent plusieurs avantages, dont la rapidité de compilation des données et la facilité à centraliser plusieurs informations. Néanmoins, qui dit croissance fulgurante des connaissances en informatique et vaste accessibilité aux outils numériques, dit aussi augmentation des risques de piratage et enjeux concernant la protection d’un haut volume de renseignements sensibles.
En effet, en tant qu’entrepreneur, vous récoltez sans doute régulièrement plusieurs données personnelles et professionnelles, notamment les coordonnées de vos clients, les NAS de vos employés, des renseignements bancaires et bien plus. Et, cela va de soi, il est de votre responsabilité d’assurer la confidentialité de tous ces éléments.
Comment assurer la protection des données personnelles et professionnelles d'une entreprise?
Source: Canva
Avant tout, décortiquons un peu les bases du vocabulaire se rapportant au sujet de ce blogue.
Un renseignement personnel se décrit comme suit :
Renseignement qui concerne une personne physique et qui permet, directement ou indirectement, de l’identifier (nom, date d’anniversaire, numéro d’assurance sociale, adresse de résidence, adresse courriel, etc.).
Une politique de confidentialité se caractérise comme suit :
Présentation de pratiques et mesures instaurées par une entreprise pour assurer la protection des renseignements personnels d’une personne. La politique vise à informer le public cible du sérieux de l'engagement à protéger les données recueillies et à l’aider à consentir de manière éclairée.
Un risque de préjudice se définit comme suit :
Acte ou événement susceptible de porter atteinte à la personne concernée ou à ses biens. Il s’agit donc d’une situation qui pourrait nuire à ses intérêts, l'humilier, atteindre sa réputation, causer des pertes financières ou préjudicier son dossier de crédit, l’exposer à un vol d’identité, lui faire perdre son emploi, etc.
Un incident de confidentialité se présente comme suit :
Accès non permis, utilisation et communication non autorisée, ou encore perte d’un renseignement personnel. Il peut s’agir, entre autres, d’un employé qui dépasse ses droits et fonctions en fouinant ou en usurpant une identité, d’une fuite accidentelle comme un courriel envoyé au mauvais destinataire, d’une cyberattaque, de la perte ou du vol d’une clé USB contenant une banque de données, et ainsi de suite.
Comment collecter des renseignements personnels légalement?
La transparence des entreprises canadiennes envers les personnes de qui elles collectent les données personnelles est obligatoire.
Vous devez donc :
Expliquer comment les données seront collectées (téléphone, logiciel, soumission, formulaire, etc.)
Informer à quoi serviront les données (communication, contrat, infolettres, rabais exclusifs, paiements, etc.)
Collecter uniquement les informations utiles et justifiables aux objectifs (nul besoin des informations bancaires du client si celui-ci paye au comptoir, ni d’une date de naissance pour l’inscrire aux courriels promotionnels, par exemple)
Ne pas communiquer les renseignements à un tiers sans le consentement de la personne concernée et préciser à qui et pourquoi ils doivent être divulgués (exemple : un entrepreneur en construction qui doit fournir les informations d'un client à un spécialiste pour qu'il fasse les travaux de plomberie ou d’électricité)
Spécifier que la personne peut retirer son consentement à l’utilisation de ses renseignements
Mentionner les droits d’accès et de rectification prévus par la loi
Conserver les données pour une période logiquement nécessaire
Comment rédiger une politique de confidentialité?
Bien que les lois ne stipulent pas de réglementations formelles à ce sujet, la politique de confidentialité idéale à mettre à la disposition de vos clients doit être facile à trouver et écrite en des termes simples à comprendre.
Elle devrait inclure ces éléments :
Une courte description des activités et services de votre entreprise
Le nom et les coordonnées de l’entreprise qui collecte les renseignements (probablement la vôtre, mais peut-être aussi une plateforme de mise en relation telle que la nôtre)
Le nom et les coordonnées du responsable de la protection des renseignements personnels
Les points 1-2-5-6-7 de la liste précédente
La durée de conservation des informations recueillies
Les mesures de sécurité en place qui assurent la protection des renseignements
La date d’entrée en vigueur de votre politique ainsi que la date de sa dernière mise à jour
Quelles sont les obligations de la Loi 25?
Source: Canva
Depuis le 22 septembre 2022, la Loi 25 qui modernise les dispositions législatives en matière de protection des renseignements personnels dicte de nouvelles obligations pour toutes personnes qui exploitent une entreprise. De plus, d'autres règles de sécurité feront leur entrée en septembre 2023 et 2024.
Depuis septembre 2022, vous devez impérativement :
Désigner un responsable de la protection des renseignements personnels au sein de votre entreprise et publier ses coordonnées sur votre site Web (ou tout autre média accessible sur demande si vous n’avez pas de site).
En cas d’incident touchant à la confidentialité, avertir la Commission d’accès à l’information du Québec et les personnes concernées, puis avoir à votre disposition un registre à jour de ces incidents.
Obtenir le consentement de la personne concernée pour utiliser ses renseignements dans le cadre d’une étude, de statistiques, d'une transaction commerciale ou pour toute forme de publicité et promotion.
Dès le 22 septembre 2023, vous devrez nécessairement :
Mettre en pratique des politiques encadrant la gouvernance des renseignements personnels, puis les expliquer de manière simple sur votre site Web (ou autre moyens de communication).
Rédiger et publier une politique de confidentialité en des termes clairs, surtout si vous récoltez des renseignements personnels grâce à la technologie.
Informer les personnes concernées lorsqu’elles font l’objet d’une décision fondée exclusivement sur un traitement automatisé et lors du recours à une technologie d’identification, de localisation ou de profilage.
Détruire ou rendre anonyme les informations personnelles qui ne vous servent plus.
Évaluer les facteurs relatifs à la vie privée lorsque la loi l'exige et respecter les nouvelles conditions de communication, par exemple avant de divulguer des renseignements personnels à l’extérieur du Québec.
Vous soumettre aux nouvelles règles concernant le consentement à la collecte, à la communication ou à l’utilisation des renseignements personnels de personnes majeures ou mineures.
Instaurer des paramètres par défaut pour assurer le plus haut niveau de confidentialité possible.
Respecter les récentes conditions de communication des renseignements personnels facilitant le processus de deuil.
À partir du mois de septembre 2024, vous devrez aussi :
À la demande de la personne concernée, lui fournir ses renseignements personnels recueillis dans un format technologique.
Les obligations sur la protection des renseignements personnels énoncées ci-haut s’appliquent, peu importe la taille de votre entreprise. Que vous ayez 700 employés ou que vous soyez le seul maître à bord, de même que si vous représentez une entreprise individuelle, une société par actions ou en nom collectif, toutes les personnes physiques ou morales se doivent de se soumettre à leurs responsabilités en instaurant les meilleures pratiques possibles en terme de protection des données.
Qu’est-ce qu’un cybercrime?
Un cybercrime qui vise les renseignements privés de votre entreprise peut se présenter sous les formes suivantes :
Un logiciel malveillant qui s’installe incognito par le biais de sites ou d’applications dans le but qu’un voleur puisse accéder au contenu de votre ordinateur.
Un rançongiciel qui vous bloque l'accès à votre ordinateur et tente de vous convaincre de verser une somme d’argent pour récupérer vos données importantes avant qu'elles ne soient vendues.
L’hameçonnage utilise des méthodes plus classiques, comme les fameux faux courriels ou les appels automatisés visant à ce que vous fournissiez vos renseignements personnels de votre plein gré.
Une attaque par déni de service distribué (DDoS) qui augmente considérablement le trafic sur votre site Web, rendant ainsi son accès quasi impossible à vos clients; technique utilisée pour vous extorquer de l’argent, soit en vous demandant de payer pour rétablir l’accessibilité, soit en vous vendant un service de réparation bidon.
Les tables arc-en-ciel, quant à elles, accèdent à votre serveur pour s’emparer des renseignements de tout le monde d’un coup, pour ensuite examiner les algorithmes de mots de passe et avoir accès à l’intégralité d’un serveur.
Comment sécuriser la base de données de votre entreprise?
Voici quelques conseils utiles afin de vous prémunir contre les attaques informatiques.
Vérifiez vos logiciels régulièrement
Assurez-vous que votre système d’exploitation, vos logiciels et votre pare-feu soient à jour, que vos antivirus soient de bonne qualité et que votre réseau Wifi soit sécurisé.
Identifiez vos lacunes en matière de gestion de données et de protection afin d’ajuster le tir. Au besoin, faites appel à des experts pour trouver des outils adaptés à votre réalité et pour régler les problèmes ou potentielles failles de cybersécurité.
Sécurisez les données à l'interne
Il est malheureusement possible qu’une personne mal intentionnée se trouve dans votre entourage, voire qu'elle travaille pour vous. Difficile, donc, de contrer l’adversaire, mais il est faisable d’établir quelques paramètres afin de réduire les risques d'une fuite de données.
Vous pourriez, par exemple, restreindre l’accès aux appareils informatiques en votre absence, interdire les clés USB, réinitialiser fréquemment vos mots de passe, bloquer l’accès du site interne aux employés qui quittent votre entreprise, installer un logiciel qui compile qui a eu accès à quoi et quand, etc.
De plus, n’hésitez pas à faire signer un code d’éthique et une entente de confidentialité dès l’embauche de nouveaux talents.
Éduquez-vous en matière de protection des renseignements
Suivez ou donnez une formation à vos employés sur les risques auxquels ils s’exposent en utilisant la technologie en dehors d’un cadre très sécuritaire. Par exemple, il n’est pas recommandé de se connecter à un réseau public pour aller trouver une information sur un client dans votre base de données, ni de cliquer sur une fenêtre de publicité, ni de laisser votre ordinateur accessible à vos enfants alors que vous vous apprêtez à envoyer un courriel confidentiel et ainsi de suite.
Établissez un protocole de cybersécurité
Définissez d’abord les mesures à prendre et notez qui contacter si jamais un incident de confidentialité se produit (police, banques, clients, fournisseurs, etc.).
Ensuite, faites systématiquement des copies de sauvegarde dans le Cloud et sur un disque dur caché. De même, tous les dossiers contenant des renseignements personnels devraient être chiffrés et leurs clés de chiffrement non stockées sur des serveurs.
Souscrivez à une assurance de cyberrisques
Une telle assurance pourrait vous éviter bien des pertes financières et des tracas reliés à la gestion de crise, tout en vous mettant en contact avec des experts divers (pros de sécurité informatique, conseillers juridiques, relationnistes…).
Cette protection pourrait donc couvrir les frais juridiques ou de médiation, rembourser une partie de vos pertes d’exploitation d’entreprise, payer un service de surveillance du crédit de vos clients ou même assurer une partie des coûts d’embauche d’une firme de relations publiques si vous avez besoin d’informer les médias.
Quels mesures prendre en cas d'incident de confidentialité?
Source: Canva
Dès que vous croyez ou avez la certitude que la protection des données personnelles de votre compagnie et/ou de vos clients est compromise et que la situation comporte un risque de préjudices importants, vous devez le signaler au Commissariat à la protection de la vie privée du Canada et à la Commission d’accès à l’information. Avisez également toutes les personnes concernées et inscrivez immédiatement l’incident dans un registre que vous conserverez pendant 5 ans.
Par la suite, vous devez instaurer des mesures pour minimiser l’étendue des fuites et empêcher qu’un tel événement ne se reproduise. Par exemple, en récupérant ou en exigeant la destruction des renseignements personnels dérobés, puis en perfectionnant vos méthodes de sécurité et en corrigeant les lacunes repérées au moment de l’incident.
Comment rédiger l’avis écrit aux services gouvernementaux?
Incluez les renseignements suivants :
Nom et NEQ de votre entreprise
Nom et coordonnées de la personne à contacter pour obtenir les informations liées à l’incident
Description des renseignements personnels touchés
Circonstances et, si possible, cause de l’incident
Date ou période à laquelle l’incident s’est produit et quand votre entreprise s'en est-elle rendue compte
Nombre de personnes concernées par l’incident
Énumération des éléments qui portent à croire qu’il existe un risque de préjudices sérieux
Mesures prises ou prévues pour aviser les personnes touchées
Mesures prises ou prévues pour diminuer les risques qu’un préjudice soit commis, pour atténuer les répercussions d’un préjudice et pour éviter que la protection des données de votre entreprise ne soit à nouveau affectée par un incident de confidentialité
Comment rédiger l’avis écrit aux personnes concernées?
Incluez les renseignements suivants :
Nom et coordonnées de la personne à contacter pour obtenir les informations liées à l’incident
Description des renseignements personnels touchés
Circonstances et, si possible, cause de l’incident
Date ou période à laquelle l’incident s’est produit et quand votre entreprise en a pris connaissance
Conseils offerts par votre organisme qui suggèrent des moyens que peut prendre la personne affectée pour diminuer le risque de préjudice à son égard
Mesures prises ou prévues pour diminuer les risques qu’un préjudice soit commis, pour atténuer les répercussions d’un préjudice et pour éviter que la protection des données de votre entreprise ne soit à nouveau affectée par un incident de confidentialité
Pour conclure, en plus des liens intégrés à même le texte, voici quelques-uns de nos articles qui touchent au sujet de l’informatique en construction et qui pourraient bien vous intéresser :
Entrepreneur en rénovation : l'importance d'optimiser votre profil
Comment créer un site Web efficace pour votre entreprise de construction?
Entrepreneur en rénovation : choisir un logiciel d'estimation
6 Applications pour vous Aider à Gérer votre Entreprise de Rénovation
Entrepreneurs : trouver des clients grâce aux réseaux sociaux
Comment utiliser les réalités virtuelle et augmentée dans le domaine de la construction
Obtenez des contrats pour votre compagnie de rénovation
SoumissionRenovation.ca peut vous aider à obtenir des contrats. Nous obtenons des soumissions de la part de clients à la recherche de professionnels de la rénovation dignes de confiance comme vous. Vous n’avez qu’à remplir notre formulaire (en quelques minutes seulement) et vous pourrez recevoir de l’information par rapport à l’obtention de nouveaux clients par l’intermédiaire de notre service.
Composez le 1 855 239-7836 pour parler avec un de nos représentants au service à la clientèle
Vous cherchez autre chose?
Table des matières
7 min de lecture
Obtenez 3 soumissions gratuites pour votre projet
Soumettez un projet et obtenez gratuitement 3 soumissions!
Êtes-vous entrepreneur?
Rejoignez notre réseau et attirez de vrais clients!
Téléchargez le guide de prix en rénovation
Saisissez un courriel pour recevoir le guide des derniers prix de rénovation du marché.
Articles similaires
Actualités du secteur, témoignages, technologies et autres ressources.
Karine Dutemple
•30 mai 2024
Vous souhaitez faire le grand saut et devenir entrepreneur? Nul besoin de vous dire que l’obtention d’une licence valide délivrée par la Régie du bâtiment du Québec est une étape incontournable pour y arriver.
Équipe éditoriale
•07 mai 2024
On entend souvent parler des maisons écologiques. Mais saviez-vous qu’il existe également des chantiers écologiques? Un chantier de construction ou de rénovation est source de pollution et les entrepreneurs peuvent réduire l’impact de leurs chantiers pour préserver l’environnement.
Équipe éditoriale
•12 nov. 2024
Choisir le bon système de chauffage pour votre maison est essentiel pour assurer confort, efficacité et économies d’énergie, surtout pendant les mois les plus froids. Avec un large éventail d’unités de chauffage disponibles, lequel choisir lors d'une construction ou d'un remplacement de son système de chauffage?
Karine Dutemple
•12 déc. 2024
Refaire son patio nous place devant une vaste gamme de matériaux, rendant le choix parfois difficile. Comment sélectionner le bon matériau parmi toutes les options disponibles ? Quels facteurs influencent le prix de votre projet ? Bien que les caractéristiques inhérentes aux matériaux disponibles pour la construction de votre futur patio jouent un rôle déterminant dans votre sélection, le prix sera également un facteur décisif.