En avez-vous assez d’entendre parler de la Loi 25?
Eh bien, sorry not sorry comme on dit, parce qu’on va quand même en parler un petit peu plus… Mais c’est pour votre bien!
C’est qu’on veut vous aider à répondre à LA question qui est sur toutes les lèvres des OBNL en ce moment : est-ce qu’on protège et gère bien les données confidentielles au sens de la loi?
Question très à-propos alors que la troisième et dernière phase de la Loi 25 est entrée en vigueur le 22 septembre 2024…
Résumé des épisodes précédents
Beaucoup d’organisations se sont déjà renseignées sur la protection et la gestion des données confidentielles en vue de se conformer à la loi en général et aux phases 1 et 2 de la Loi 25 en particulier.
À celles-là, on dit bravo. Sincèrement.
Aux autres, on conseille d’aller consulter cet article d’Engagés et cet article d’Atypic, qui comprend un webinaire sur la question.
(En fait, c’est un conseil valable pour tout le monde, même renseigné; y a pas de mal à peaufiner votre compréhension dans ce dossier, qui n’est pas si évident que ça!)
Nouveauté en date du 22 septembre 2024
Avec cette troisième et dernière phase, les organisations ont désormais de nouvelles obligations qui s’ajoutent « en rapport avec le droit à la portabilité des renseignements personnels ». Traduction : elles doivent être en mesure de fournir aux personnes qui le demanderaient l’ensemble de l’information qu’elles détiennent à leur sujet.
(Jusqu’ici, tout va bien.)
Et ce, dans un format facilement accessible…
(Petit vertige.)
… dans un délai de 30 jours.
(Ouch.)
Pour les grosses entreprises ou organisations, on s’entend que ce nouvel article de la loi ne devrait pas être un problème.
Mais on est bien conscient chez Atypic que votre réalité d’OBNL ou de fondation est probablement différente, alors que vous utilisez sûrement plusieurs plateformes qui ne sont pas nécessairement toutes interconnectées.
La chasse aux renseignements personnels sur Monsieur Généreux, partout où vous détenez de l’information sur lui, peut alors s’avérer fastidieuse. Sans compter la complexité et le temps d’agréger ces données dans un même format facilement utilisable et lisible pour Monsieur Généreux, ou même la possibilité de ne pas arriver à extraire certains renseignements du tout.
On fait quoi alors?
3 actions à entreprendre là, là
Face à la nouveauté, on peut réagir de deux façons :
1. Ne rien faire (dans le cas présent, ça peut équivaloir à vous mettre dans le pétrin, légalement parlant);
2. Se mettre en action prestement pour s’adapter efficacement.
Pour tous les OBNL qui préfèrent la 2e option, voici justement 3 mesures à appliquer, si ce n’est déjà fait :
- OÙ : Faites un mapping pour connaître toutes vos sources où aller chercher de l’information, si quelqu’un le demande. Pensez à tous les types de profils pour anticiper toute éventualité.
- QUOI : Créez-vous un modèle d’exportation (rapport d’export), notamment sur les plateformes que vous utilisez. En effet, même si vous avez 5 000 champs, tous ne sont pas nécessairement en lien avec les données personnelles (donc concernés par la Loi 25). Il s’agit donc de sélectionner les champs pertinents à exporter au besoin et de les préparer en sauvegardant un format d’export.
- COMMENT : Dotez-vous d’un modèle pour produire les rapports que vous partagerez à ceux et celles qui le demandent. En effet, vous gagnerez du temps, le moment venu, à prévoir des formats de sortie, que vous utilisiez un outil de gestion de contacts (CRM) ou non.
Malgré tous vos efforts, vous trouvez ça lourd?
Réaction légitime. Pas de panique : on est là pour vous aider.
Que ce soit pour choisir le format approprié pour donner suite à une demande, déterminer les mesures de sécurité à mettre en place pour le transfert de renseignements personnels ou encore former vos employé.e.s quant à cette dernière disposition de la Loi 25, n’hésitez pas à m’écrire. Il me fera plaisir de voir avec vous comment nous pouvons vous accompagner.
L’accessibilité et l’inclusion au cœur de l’événement
William Mullen, 10 juin 2024
Articles de blogue