Loi 25 - Service de gestion des données personnelles
Vous entendez parler depuis plus d’un an de cette loi provinciale sur la protection des renseignements personnels, mais vous n’avez peut-être pas le temps ou les ressources au sein de votre organisation pour vous y attarder. C’est pour cette raison que Rhesus a mis sur place un service de gestion des données personnelles.
En quoi consiste notre service de gestion des données personnelles?
Ce dernier a été développé pour répondre aux besoins spécifiques de notre clientèle. Nous offrons une formation complète et adaptée afin de sensibiliser les entreprises aux exigences de la loi 25 et de leur fournir les outils nécessaires pour l’implanter. En étroite collaboration avec votre personnel, nous évaluerons vos pratiques actuelles en matière de gestion des données personnelles, identifierons les lacunes et recommanderons des mesures correctives appropriées. Nous pouvons donc accompagner votre entreprise en 4 phases :
1
Formation et Observation
Cette première étape consiste à désigner les personnes au sein de l’entreprise qui collaboreront avec l’équipe de Rhesus dans ce projet de conformité. Ces personnes clés seront formées pour devenir les ressources pour la loi 25 à l’interne.
2
Analyse + plan de match
En deuxième lieu, une analyse approfondie sera menée pour décortiquer les processus actuels en déterminant les failles de sécurité physiques et numériques à colmater.
3
Mise en place des processus
Au cours de cette phase, les différents registres seront mis en place ainsi que les processus de report pour chacun d’entre eux.
4
Révision des politiques
Souvent menée parallèlement avec la phase 3 pour répondre aux obligations de la loi 25, nous déterminerons les politiques de confidentialité externes et internes et les publiciserons.
1
Formation et Observation
Cette première étape consiste à désigner les personnes au sein de l’entreprise qui collaboreront avec l’équipe de Rhesus dans ce projet de conformité. Ces personnes clés seront formées pour devenir les ressources pour la loi 25 à l’interne.
2
Analyse + plan de match
En deuxième lieu, une analyse approfondie sera menée pour décortiquer les processus actuels en déterminant les failles de sécurité physiques et numériques à colmater.
3
Mise en place des processus
Au cours de cette phase, les différents registres seront mis en place ainsi que les processus de report pour chacun d’entre eux.
4
Révision des politiques
Souvent menée parallèlement avec la phase 3 pour répondre aux obligations de la loi 25, nous déterminerons les politiques de confidentialité externes et internes et les publiciserons.
Contactez-nous dès aujourd’hui pour en savoir plus sur notre service de gestion des données personnelles et pour planifier une consultation gratuite. Ensemble, nous pourrons garantir que votre organisation est bien préparée à faire face aux défis de la protection des renseignements personnels dans le cadre de la loi 25.
La loi 25 en résumé
La loi 25, également connue sous le nom de « Loi sur la protection des renseignements personnels dans le secteur privé », est une législation visant à protéger les droits des individus en ce qui concerne la collecte, l’utilisation et la divulgation de leurs renseignements personnels par les organisations. Avec des implications importantes en matière de responsabilité et de conformité, il est essentiel que votre organisation se conforme afin d’éviter les conséquences négatives potentielles.
L’IMPLANTATION DE LA LOI 25 EST DIVISÉE EN 3 ÉTAPES CHARNIÈRES OÙ LES DIVERSES DISPOSITIONS DOIVENT ÊTRE MISES EN PLACE. EN VOICI UN BREF RÉSUMÉ :
Septembre 2022
- Identifier une personne ressource responsable de la protection des renseignements personnels.
- Développer les politiques et pratiques encadrant la gouvernance des renseignements personnels.
- Créer un registre des incidents de confidentialité et un processus de notification.
- Effectuer l’inventaire des espaces de dépôts et des renseignements personnels de l’organisation
- Implanter un programme de formation sur la protection des renseignements personnels
Septembre 2023
- Effectuer une mise à jour des politiques et des pratiques encadrant le cycle de vie de la donnée : conservation, destruction, anonymisation des renseignements personnels
- Développer un processus de traitement des plaintes liées à la protection des renseignements personnels
- Rendre publics les éléments clés de la gouvernance encadrant la protection des renseignements personnels
- Développer une politique et un processus d’évaluation des facteurs relatifs à la vie privée pour le traitement des renseignements personnels
- Développer un processus de cueillette du consentement pour recueillir, détenir, utiliser ou communiquer des renseignements personnels
- Mettre en place un processus pour désindexer
Septembre 2024
- Mettre en place des mesures facilitant le droit à la portabilité des données. Si un individu vous demande d’avoir accès à ses données, il doit pouvoir y avoir accès dans un format simple et compréhensible.