Conformité

Le carrefour de conformité regroupe les obligations de la Loi 25 en pages distinctes, chacune avec sa propre route. Chaque page porte un avis clair : il s'agit d'un guide et non d'un avis juridique. Agreely vous outille pour tenir et démontrer votre conformité; il ne se substitue pas au jugement d'un conseiller juridique.

Guide, non avis juridique

Chaque section de ce carrefour est un outil de mise en oeuvre. Le contenu que vous y saisissez, et la manière dont vous l'appliquez, relèvent de votre responsabilité. Agreely ne rend aucun avis juridique et ne certifie aucune conformité.

Responsable de la protection des renseignements personnels, article 3.1

Déclarez la personne responsable de la protection des renseignements personnels : son nom, son titre, et au moins un moyen de la joindre, soit un courriel, soit un numéro de téléphone. C'est la personne à qui la Loi 25 confie la surveillance de la protection des renseignements personnels au sein de l'entreprise.

Politiques

Publiez et versionnez vos politiques :

  • la politique de gouvernance des renseignements personnels, article 3.2;
  • la politique de confidentialité, article 8.2.

Chaque politique porte un titre et un corps bilingues. À la publication, une politique est versionnée et immuable : une version publiée ne se modifie plus, on en publie une nouvelle. L'historique reste ainsi une trace fidèle de ce qui était en vigueur à chaque date.

Conservation et destruction

Définissez vos règles de conservation. Chaque règle porte :

  • un libellé;
  • une période exprimée en mois;
  • un déclencheur, par défaut l'atteinte de la fin visée;
  • une action, par défaut la destruction;
  • des notes.

Les règles encadrent la durée de vie des renseignements personnels et le moment de leur destruction, en cohérence avec les fins pour lesquelles ils ont été recueillis.

Communication hors Québec et EFVP, article 17

Consignez les communications de renseignements personnels hors Québec et les évaluations des facteurs relatifs à la vie privée (EFVP) qui les accompagnent. Une EFVP porte un titre, le degré de sensibilité des renseignements, la fin de la communication, les mesures de protection, le régime juridique applicable au lieu de destination, et une conclusion.

Registre des incidents de confidentialité, articles 3.5 à 3.8

Tenez le registre des incidents de confidentialité. Chaque entrée consigne :

  • la date à laquelle l'incident a été découvert et la date à laquelle il est survenu;
  • une description;
  • les catégories de renseignements en cause;
  • le nombre de personnes touchées;
  • une évaluation du risque, avec un indicateur de risque de préjudice sérieux;
  • les mesures prises;
  • si la Commission d'accès à l'information a été avisée, et si les personnes concernées l'ont été;
  • le statut de l'incident.

Le registre soutient l'obligation de tenir et, le cas échéant, de démontrer le suivi des incidents de confidentialité.

Demandes de droits

Traitez les demandes des personnes concernées dans un flux de travail : reçue → en cours → répondue ou refusée. Chaque demande porte l'horloge de 30 jours de l'article 32, et un compteur des demandes en retard met en évidence celles dont le délai est dépassé.

Les types de demandes couverts sont :

  • l'accès, article 27;
  • la rectification, article 28;
  • la désindexation, article 28.1.

Les demandes et leur suivi s'exportent en JSON ou en CSV.

Obligations de destruction, article 23

Lorsqu'un citoyen exerce son effacement, votre entreprise reçoit une obligation de destruction concrète : détruire ou anonymiser les données sous-jacentes que vous détenez encore dans vos propres systèmes. Vous attestez une disposition parmi :

  • détruit;
  • anonymisé;
  • conservé par délai légal.

Vous joignez une note à l'attestation.

Attester n'est pas prouver la conformité

Agreely prouve que le consentement a pris fin et vous signale l'obligation d'agir. Vous, l'entreprise, attestez avoir agi. Cette attestation est votre déclaration, pas une preuve cryptographique que les données ont bel et bien été détruites ou anonymisées dans vos systèmes. Par ailleurs, une obligation de destruction n'est pas un incident de confidentialité et ne se traite pas comme tel.

Guide de conformité

Le guide de conformité est une carte statique, article par article, de la manière dont Agreely aide à répondre à chaque article pertinent de la Loi 25. Il porte le même avis que le reste du carrefour : c'est un guide, non un avis juridique.

Ensuite

  • Clients : le dossier d'un client et l'export de portabilité de l'article 27.
  • Équipe et facturation : les rôles, les sièges et les clés d'API.