La Loi 25, c'est quoi concrètement ?
Ne parlons pas d'articles de loi. Parlons de responsabilité. La loi dit simplement ceci : Si vous collectez une donnée, vous en êtes le gardien.
Cela concerne tout ce qui permet d'identifier une personne physique :
Nom et Prénom
Adresse courriel personnelle (pas info@entreprise.com, mais jean.tremblay@gmail.com)
Adresse postale résidentielle
Données financières
Une adresse IP
Le piège : Beaucoup pensent être conformes parce qu'ils ont mis une "Politique de confidentialité" en bas de leur site web. C'est faux. La politique, c'est la vitrine. Le problème, c'est ce qui se passe dans l'arrière-boutique (vos serveurs et classeurs).
Le vrai danger n'est pas votre ERP, c'est "L'Excel Silencieux"
C'est ici que la majorité des PME québécoises sont à risque.
Votre logiciel comptable (SAP, QuickBooks, Odoo) est généralement sécurisé. Mais qu'en est-il de :
Ce fichier Excel Export_Clients_2022.xlsx qui traîne dans le dossier "Téléchargements" de votre réceptionniste ?
Cette liste de participants à un événement envoyée par courriel en pièce jointe non cryptée ?
Ces CVs de candidats non retenus conservés depuis 5 ans "au cas où" ?
Ce sont des fuites de données potentielles. En cas d'audit ou de piratage, l'amende peut atteindre 10 M$ ou 2% du chiffre d'affaires.
Les 3 obligations techniques que vous pouvez régler maintenant
En tant qu'architecte de données, voici ce que je recommande à mes clients pour se conformer sans paralyser leurs opérations :
Le Consentement
Vous devez prouver que la personne a dit "Oui".
Action : Ajoutez une case à cocher obligatoire sur vos formulaires web et conservez la trace numérique (Date, Heure, IP).
💡 Le Conseil de l'Architecte : N'oubliez pas votre Chatbot !
Beaucoup d'entreprises sécurisent leurs formulaires mais laissent leur agent conversationnel (Chatbot) en "portes ouvertes". Or, discuter n'est pas consentir.Si votre robot demande "Quel est votre email ?" dès le début, vous êtes techniquement à risque.
La solution Odoo : Odoo gère nativement ce cas de figure, mais cela demande une configuration spécifique. Il faut insérer une étape de validation par clic (Bouton : "Oui, je consens au traitement...") dans le script de conversation avant toute collecte de données. C'est le seul moyen de transformer une discussion informelle en un "Opt-in" légalement valide.
La Rétention
Vous ne pouvez plus garder des données indéfiniment.
Action : Mettez en place une politique d'archivage automatique.
Exemple : "Tout candidat non embauché est supprimé après 24 mois".
C. La Sécurité
Savoir qui a accès à quoi.
Action : Finis les mots de passe partagés (Admin123). Chaque employé doit avoir son propre accès, restreint uniquement aux données nécessaires à son travail.
Comment D3 Conseil peut vous aider
Un avocat va rédiger vos textes légaux. C'est nécessaire et une étape importante pour structurer votre politique interne et de confidentialité mais il faut également s'assurer que cette politique est techniquement en place et respectée.
Chez D3 Conseil, nous vous aidons à configurer vos systèmes et auditer vos données.
Mon approche Sentinelle audite la réalité de vos données :
Cartographie : Où sont les données sensibles ? (Scan Odoo, Excel ou tout fichier CSV).
Analyse: Mettre en évidence les risques
Nettoyage : Anonymiser les données à risque
Traçage : Suivre les incidents et actions de mise en conformité
Conclusion
N'attendez pas qu'un client vous demande "Quelles données avez-vous sur moi ?" pour paniquer. La conformité est aussi un argument de vente : elle prouve votre sérieux.
Vous avez un doute sur un fichier Excel ou vos accès Odoo ?