La loi 25, c’est quoi ?
La Loi 25, officiellement intitulée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, a été adoptée au Québec pour renforcer la protection des informations personnelles dans les secteurs public et privé. Cette loi vise à moderniser les pratiques de collecte, d’utilisation, de communication et de protection des données à l’ère numérique.
Dates Clés de la Loi 25 :
22 septembre 2021 : Adoption de la Loi 25 par l’Assemblée nationale du Québec.
22 septembre 2022 : Entrée en vigueur des premières dispositions, incluant de nouvelles obligations de transparence et de responsabilité.
22 septembre 2023 : Mise en application des exigences concernant le consentement et le droit à la portabilité des données.
22 septembre 2024 : Date limite pour la conformité totale, avec des obligations renforcées en matière de sécurité des données et de notification des incidents.
Les Impacts pour les Centres de Contact Clients
Renforcement des Obligations en Matière de Consentement
Consentement explicite : Les centres de contacts doivent obtenir un consentement clair et explicite avant toute collecte, utilisation ou divulgation de renseignements personnels.
Information sur l’utilisation des données : Il est impératif d’informer les clients de l’usage prévu de leurs données, notamment les finalités spécifiques de cette collecte.
Droit à l’Oubli et à la Portabilité
Droit à l’oubli : Les centres de contacts doivent permettre la suppression des données personnelles lorsqu’elles ne sont plus nécessaires.
Droit à la portabilité : Les individus peuvent recevoir leurs données personnelles dans un format structuré et couramment utilisé, et les transmettre à un autre organisme.
Gestion et Protection des Données
Responsabilité accrue : Les centres de contacts doivent sécuriser les informations personnelles avec des mesures appropriées pour prévenir les accès non autorisés, pertes ou vols.
Évaluation des facteurs relatifs à la vie privée : Une évaluation doit être effectuée avant tout nouveau programme impliquant des informations personnelles.
Obligation de Divulgation des Incidents
Notification des violations de données : En cas de violation de sécurité, les centres de contacts doivent notifier rapidement les individus concernés et la Commission d’accès à l’information du Québec.
Formation et Sensibilisation
Formation des employés : Tous les employés doivent être formés sur les nouvelles obligations légales en matière de protection des données personnelles.
Politique de confidentialité : Une politique claire et accessible doit être mise en place et communiquée à tous les employés et clients.
Conséquences en cas de Non-Respect
Sanctions et amendes : Les entreprises non conformes peuvent être lourdement sanctionnées.
Que Doivent Faire les Entreprises ?
Pour se conformer à la Loi 25, les entreprises doivent :
- Évaluer les politiques et procédures actuelles.
- Gérer le consentement des clients.
- Assurer la sécurité des données.
- Mettre en place des notifications en cas de violation de données.
- Former et sensibiliser les employés.
- Respecter les droits des individus.
- Vérifier les intégrations et partenariats pour assurer la conformité.
Impacts Spécifiques aux Solutions CCaaS
Sécurité des données
Les entreprises doivent s’assurer que les fournisseurs CCaaS (Contact Center as a Service) offrent des mesures de sécurité conformes à la Loi 25, telles que le chiffrement des données et une gestion stricte des incidents de sécurité.
Consentement
Il est crucial que les solutions CCaaS garantissent que les scripts de communication et les enregistrements d’appels obtiennent le consentement explicite des clients pour la collecte et l’utilisation de leurs données.
Responsabilité contractuelle
Les contrats avec les fournisseurs de CCaaS doivent inclure des clauses spécifiques relatives à la protection des données et à la conformité avec la Loi 25.
Transfert de données
Si des données personnelles sont transférées à l’extérieur du Québec, les entreprises doivent s’assurer qu’elles bénéficient d’une protection équivalente à celle exigée par la Loi 25.
Gestion des incidents
Les entreprises doivent disposer de procédures pour notifier rapidement les violations de données à la Commission d’accès à l’information et aux individus concernés.
Gestion des données clients par des tiers
Les entreprises doivent appliquer une gouvernance stricte pour les données partagées avec des tiers, qui doivent respecter les obligations de la Loi 25.
Formation et sensibilisation
La formation des employés sur la Loi 25 et les meilleures pratiques en matière de protection des données est essentielle, en particulier pour ceux utilisant des solutions CCaaS.
Automatisation pour la conformité
Des outils, tels que les logiciels d’enregistrement d’appels qui se mettent en pause lors de l’échange d’informations personnelles, doivent être mis en place.
Ce que Paxyl a Fait
Paxyl a pris les mesures suivantes pour se conformer à la Loi 25 :
- Désignation d’un Responsable de la Protection des Renseignements Personnels (RPRP).
- Identification et classification des données personnelles collectées et traitées.
- Élaboration et mise en œuvre de politiques claires pour la gestion des renseignements personnels.
- Mise en place de mesures de sécurité robustes.
- Mécanismes pour l’accès et la rectification des informations personnelles.
- Programmes de formation réguliers pour les employés.
- Audits réguliers pour vérifier la conformité aux politiques de protection des données.
Non-sollicitation
La solution Genesys Cloud intègre des fonctionnalités avancées de gestion des appels qui permettent aux entreprises de se conformer aux règles de non-sollicitation, telles que les listes « Do Not Call » (DNC). En utilisant des mécanismes automatisés pour filtrer les numéros inscrits sur les listes DNC, Genesys Cloud assure que les entreprises respectent les réglementations en matière de télécommunications, évitant ainsi les appels non sollicités et les potentielles sanctions. Cette fonctionnalité contribue à protéger la réputation de l’entreprise et à garantir une gestion éthique et légale des campagnes de communication.