Loi 25 – Foire aux questions
-
Qu’est‑ce que la Loi 25?La Loi 25 (auparavant le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est le produit de l’intention du Québec de réviser ses lois sur la protection des renseignements personnels afin qu’elles soient conformes aux normes plus rigoureuses établies notamment par le Règlement général sur la protection des données (RGPD) de l’Union européenne et la California Consumer Privacy Act (CCPA) aux États-Unis. Pour Pages Jaunes et ses clients, la Loi 25 apporte des modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé. Pour en savoir plus sur cette loi, veuillez consulter le site Web du gouvernement du Québec.
-
Comment puis-je savoir si mon entreprise est touchée par la Loi 25?La Loi 25 vise à protéger les droits des résidents du Québec. Ainsi, elle s’applique à toute entreprise faisant affaire avec des résidents du Québec.
-
Quelles sont les principales exigences que la Loi 25 impose à mon entreprise?La Loi 25 introduit plusieurs nouvelles obligations que les organisations devront respecter. Ces obligations comprennent les suivantes : Avis d’atteinte à la protection des renseignements personnels La Loi 25 exige que les organisations avisent la Commission d’accès à l’information, ainsi que toute personne concernée, de toute atteinte à la protection des renseignements personnels. Les organisations doivent signaler de telles atteintes dès que possible après la survenance de l’incident de confidentialité et tenir un registre de tous les incidents. Désignation d’un responsable de la protection des renseignements personnels En vertu de la Loi 25, les organisations sont tenues de désigner une personne responsable de la protection des renseignements personnels recueillis par l’organisation. Cette fonction est, par défaut, exercée par la personne ayant la plus haute autorité au sein de l’organisation, mais elle peut également être déléguée. Évaluation des facteurs relatifs à la vie privée En vertu de la Loi 25, une organisation doit effectuer une évaluation des facteurs relatifs à la vie privée à l’égard de tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels. Voici quelques-uns des éléments qui doivent être pris en compte dans le cadre d’une évaluation des facteurs relatifs à la vie privée : La sensibilité du renseignement concerné La finalité de son utilisation Les mesures de protection dont le renseignement bénéficierait Avis de confidentialité et politiques internes La Loi 25 exige que les organisations établissent et mettent en œuvre une politique de confidentialité qui couvre, entre autres : La nature des renseignements recueillis La période de temps pendant laquelle et la finalité en vue de laquelle ces renseignements sont conservés L’utilisation qui est faite de ces renseignements Les personnes auxquelles les renseignements sont communiqués La façon dont ces renseignements personnels sont stockés, y compris s’ils le sont à l’extérieur de la province La façon dont une personne peut révoquer son consentement au traitement de ses renseignements personnels et dont elle peut les faire supprimer, anonymiser ou désindexer sur demande Le nom et les coordonnées (y compris l’adresse) du responsable de la protection des renseignements personnels Ces documents doivent être adaptés à votre site et aux données que vous recueillez. Par conséquent, si vous avez des questions sur le contenu de votre politique de confidentialité, nous vous recommandons de consulter un spécialiste du droit. Consentement volontaire au profilage La Loi 25 stipule que si, en plus des renseignements recueillis dans le cadre de la politique de confidentialité décrite ci-dessus, une organisation recueille automatiquement des renseignements personnels en ayant recours à une technologie comprenant des fonctions permettant d’identifier ou de localiser une personne ou d’effectuer son profilage (comme les fichiers témoins), elle doit, au préalable, informer cette personne du recours à cette technologie et lui donner la possibilité d’accepter de telles fonctions. Vous trouverez plus d’informations sur la manière dont Pages Jaunes vous aidera à cet égard ci-dessous.
-
Puis-je supprimer la bannière concernant les fichiers témoins de mon site Web?Oui, mais en enlevant cette bannière, vous risquez de ne pas être en conformité avec la loi 25 et de vous voir imposer une infraction.
-
Puis-je modifier l’aspect et la convivialité de la bannière concernant les fichiers témoins?Oui, vous avez des options. Veuillez communiquer avec notre équipe Multimédia pour obtenir de l’aide à ce sujet.
-
Est-ce que Pages Jaunes peut mettre en place une bannière de témoins sur mon site Web Pages Jaunes ?Nous sommes heureux de vous offrir la possibilité d'ajouter gratuitement une bannière de consentement aux témoins et une politique générique en matière de témoins à votre site Web Pages Jaunes. Notez qu'au Québec, nous avons ajouté par défaut la bannière de consentement aux témoins et la politique générique en matière de témoins.
-
Puis-je modifier la politique générique sur les fichiers témoins fournie par Pages Jaunes ?La politique en matière de fichiers témoins que nous vous avons fournie est générique et peut ne pas couvrir toutes les activités de traitement spécifiques à votre site. Nous vous recommandons de l’examiner pour vous assurer que son contenu décrit de façon exacte les technologies que vous utilisez pour identifier et localiser les visiteurs de votre site Web, et effectuer leur profilage. Encore une fois, si vous avez des doutes concernant vos obligations en matière de fichiers témoins, le consentement des visiteurs de votre site Web et le contenu de vos politiques, nous vous recommandons de vous adresser directement à un spécialiste du droit. Pour modifier votre politique en matière de fichiers témoins, veuillez communiquer avec notre équipe Multimédia.
-
Qu’est-ce qu’un fichier témoin numérique?Sur le plan numérique, les témoins sont de petits fichiers de données stockés sur le navigateur du visiteur d’un site. Ils sont généralement utilisés pour garder en mémoire les paramètres sélectionnés par les utilisateurs et des actions qu’ils ont effectuées sur un site.
-
Quelles sont les sanctions prévues en cas de non-respect de la Loi 25?Les organisations privées qui ne respectent pas la Loi 25 peuvent subir des amendes allant : jusqu’à 10 millions $, ou 2 % des revenus mondiaux de l’organisation lors de l’exercice précédent Les organisations privées passibles de sanctions pénales peuvent subir des amendes allant : jusqu’à 25 millions $, ou 4 % des revenus mondiaux de l’organisation lors de l’exercice précédent Les personnes physiques qui violent la Loi 25 peuvent subir des amendes allant : de 5 000 $ à 100 000 $
-
Si un utilisateur de mon site Web m’informe qu’il souhaite retirer son consentement, que dois-je faire?Dans ce cas, veuillez communiquer avec notre équipe Multimédia qui pourra vous aider à cet égard. Vous devrez lui fournir le nom et l’adresse courriel de l’utilisateur qui souhaite retirer son consentement pour que nous puissions le supprimer de votre base de données. Après l’envoi d’une telle demande de suppression, vous recevrez un avis confirmant le lancement de la procédure. Les données de votre client seront supprimées dans les 48 heures suivant la soumission de la demande. Veuillez noter que votre client n’aura pas été informé de cette procédure. Il vous incombe d’informer votre client de la suppression de ses données.
-
Suis-je tenu de veiller à ce que mon site Web soit conforme à la Loi 25?Pages Jaunes vous fournira certains outils pour vous aider à vous conformer à la Loi 25, mais ne peut pas garantir votre conformité. Vous êtes responsable de ce qu’il advient des données recueillies concernant les visiteurs de votre site Web et nous vous recommandons donc de prendre le temps de faire vos propres recherches au sujet de vos obligations. Aucun renseignement fourni par Pages Jaunes concernant la Loi 25 ne constitue un avis juridique et vous ne devez pas vous y fier comme si c’était le cas. Si vous n’êtes pas certain des responsabilités qui vous incombent en vertu de la Loi 25, nous vous recommandons de vous adresser directement à un spécialiste du droit.
-
La Loi 25 est-elle liée au projet de loi 64?Anciennement connue sous le nom de projet de loi 64, la Loi 25 a été officiellement adoptée le 22 septembre 2021, date à laquelle son nom est devenu Loi 25. La plupart des obligations imposées par la Loi 25 entrent en vigueur le 22 septembre 2023.
-
La nouvelle bannière concernant les fichiers témoins aura-t-elle une incidence sur la fréquentation de mon site Web?La nouvelle bannière n’empêchera pas les utilisateurs d’accéder à votre site Web ni de parcourir vos pages Web. Toutefois, s’ils choisissent de refuser l’utilisation de fichiers témoins sur votre site, l’analyse de ces utilisateurs sera perturbée et leurs activités de navigation ne feront pas l’objet d’un suivi.
-
Je n’exerce pas d’activités au Québec, pourquoi dois-je respecter la Loi 25?Si vous recevez du trafic sur votre site web en provenance d'utilisateurs du Québec, vous devez vous conformer à cette loi.
-
Mon site web n'est pas avec Pages Jaunes. Comment Pages Jaunes utilise-t-elle les témoins pour d'autres produits de marketing numérique ?Pages Jaunes peut vous avoir fourni un code à ajouter à votre site Web afin d'évaluer l'efficacité de vos campagnes publicitaires. Ce code est un témoin de marketing et, conformément aux modalités de votre entente de marketing avec Pages Jaunes, il vous incombe d'obtenir tous les consentements nécessaires et de fournir tous les avis requis en vertu des lois sur la protection des renseignements personnels applicables pour que Pages Jaunes puisse traiter ces renseignements. Veuillez revoir vos informations relatives aux témoins afin de vous assurer qu'elles incluent le témoin de marketing de Pages Jaunes. Les utilisateurs peuvent toujours naviguer sur votre site Web après avoir refusé les cookies, mais vos mesures analytiques varieront en fonction de l'acceptation ou du refus par vos visiteurs des activités de suivi sur votre site Web.
-
My website is not with Yellow Pages. How does Yellow Pages use cookies for other digital marketing products?Yellow Pages may have provided you with a piece of code to add to your website in order to track the effectiveness of your advertising campaign(s). This piece of code is a Marketing Cookie, and as per the Terms and Conditions of your Marketing Agreement with Yellow Pages, it is your responsibility to obtain all necessary consents and provide all necessary notices under applicable privacy laws for Yellow Pages to process such information. Please review your cookie-related disclosures to make sure they include Yellow Pages' Marketing Cookie. Users may still be able to browse your website after declining cookies, however your analytics metrics will vary based on your visitors' acceptance or decline of tracking activities on your website.
-
Is Law 25 related to Bill 64?Formerly known as Bill 64, this act was officially adopted on the 22nd of September 2021, following which its name was changed to Law 25. The majority of the obligations of Law 25 come into effect on September 22, 2023.
-
Can I remove the Cookie Banner from my website?Yes, however by removing this banner, you may not be in compliance with Law 25 and risk being fined.
-
Will a new Cookie Banner affect my website traffic?This may vary as users can still land on your website and browse your web pages, however if they choose to Decline the use of Cookies on your site, reporting on these users will be affected and their browsing activities will not be tracked.
-
What is a digital Cookie?A cookie, in digital terms, are small pieces of data stored on a site visitor's browser. They are typically used to keep track of the settings users have selected and actions they have taken on a site.
-
What are the key requirements of Law 25 for my business?Law 25 introduces several new concepts which organizations will need to adopt in order to be compliant. Most notably, they are as follows: Breach Notification Law 25 requires organizations to make breach notifications to the Commission d’accès à l’information, as well as to any impacted individuals. Organizations must report a breach as soon as possible after the incident occurs, as well as maintain records of all breach incidents. Privacy Officer Appointment Under Law 25, organizations are required to elect a person to be responsible for protecting the personal information collected by that organization. This position is, by default, held by the person of the highest authority within the organization, but can be delegated as well. Privacy Impact Assessments Under Law 25, when an organization acquires, develops, or overhauls an information system or electronic delivery system which involves the collection, use, communication, keeping or destruction of personal information, they perform what is known as a Privacy Impact Assessment (PIA). Some of the key considerations of a PIA are: The sensitivity of the information The purposes for which the information is being used The protection measures that would apply Privacy Notices & Internal Policies Law 25 requires organizations to establish and implement policies which cover, amongst others, the following: What information you collect How long and for what purpose you retain that information How you use that information Who you share the information with How that information is stored and if it’s stored outside of the province How an individual can revoke their consent for their information to be processed, and how they can get it deleted/anonymized/de-indexed upon request Privacy officer name, address and contact information These documents need to be customized for your site and the data you collect, accordingly, if you have any questions about the content to be contained in your privacy policies, we recommend speaking with a legal expert. Opt-in Consent for Profiling Law 25 states that, in addition to the information collected under the privacy policy described above, any organization collecting information automatically through the use of technology that includes functions allowing a person to be identified, located or profiled (such as Cookies), must first inform the person of the use of this technology, and give them a mechanism to opt-in to such functions. For more information about how Yellow Pages will be assisting you with this, see below.
-
If a user of the website informs me that they would like to withdraw consent they previously provided, what do I do?In this scenario, please contact our Multimedia team who will be able to assist you through this process. You will need to provide the user’s Name and E-mail address for us to properly remove them from your database. After we submit a delete request, you will receive a notification confirming the start of the process. Your customer's data will be deleted within 48 hours of submitting the request. Please note that your customer has not been notified of this process. It is your responsibility to inform your customer when their data has been deleted.
-
Can Yellow Pages implement a Cookie Banner on my Yellow Pages Website?We are pleased to offer you the option of adding a Cookie Consent Banner and a generic Cookie Policy to your Yellow Pages website free of charge. Note that in Quebec, we have added the Cookie Consent Banner and generic Cookie Policy by default.
-
I don’t do business in Quebec, why do I have to comply with this law?If you receive traffic on your website from users in Quebec, you must comply with this law.
-
What is Law 25?Law 25 (previously Bill 64 – An Act to Modernize Legislative Provisions Regarding the Protection of Personal Information) represents Quebec’s initiative to overhaul its privacy laws to be in line with the more robust standards set by laws such as the General Data Protection Regulation (GDPR) in the EU & the California Consumer Privacy Act (CCPA) in the US. Most importantly for Yellow Pages and its customers, Law 25 makes significant changes to the Act Respecting Personal Information in the Private Sector. For more information on this legislation, please visit the Government of Quebec’s website.
-
Can I modify the generic Cookie Policy provided by Yellow Pages?The cookie policy we have provided you is generic and may not cover all the processing activities specific to your site. We recommend you review the cookie policy provided to ensure that its contents are an accurate portrayal of the technologies used to identify, locate, and profile your site visitors. As always, should you be uncertain about your obligations relating to Cookies, consent, and the contents of your policies, we recommend you speak directly with a legal expert. . Should you wish to modify your cookie policy, please contact our Multimedia team.
-
Am I responsible to ensure my website is compliant with Law 25?Yellow Pages will provide you with certain tools to assist in your compliance with Law 25 but can’t guarantee your compliance. You are responsible for what happens to data collected about your site visitors, and as such, we recommend you take the time to do your own research regarding your obligations. Any information provided by Yellow Pages regarding Law 25 is not legal advice and you should not rely on it as such. If you are uncertain about your responsibilities under Law 25, we further recommend that you speak directly with a legal expert.
-
What are the penalties for noncompliance with Law 25?For private organizations which fail to administer regulations fines can be: up to $10 million, or 2% of the organization’s worldwide revenue for the preceding fiscal year For private organizations facing criminal penalties: up to $25 million, or 4% of the organizations worldwide revenue for the preceding fiscal year For violations made by natural persons: between $5,000 and $100,000
-
How do I know if my business is impacted by Law 25?Law 25 is aimed at protecting the rights of Quebec residents. As such, any company doing business with Quebec residents is impacted.
-
Can I change the look and feel of the Cookie Banner?Yes, you have options. Please contact our Multimedia Department to assist you.
La Loi 25 (auparavant le projet de loi no 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est le produit de l’intention du Québec de réviser ses lois sur la protection des renseignements personnels afin qu’elles soient conformes aux normes plus rigoureuses établies notamment par le Règlement général sur la protection des données (RGPD) de l’Union européenne et la California Consumer Privacy Act (CCPA) aux États-Unis. Pour Pages Jaunes et ses clients, la Loi 25 apporte des modifications importantes à la Loi sur la protection des renseignements personnels dans le secteur privé. Pour en savoir plus sur cette loi, veuillez consulter le site Web du gouvernement du Québec.
Nous pouvons régulièrement apporter des modifications à cette page FAQ relative à la loi 25. Il est de votre responsabilité de consulter cette page pour prendre connaissance des mises à jour et des changements.