Ignorer et passer au contenu

Récompenses employés
0

Sommaire de conformité – Loi 25

Accolad – Mise à jour 2025-09-18

Contexte et objectif

La Loi 25 du Québec, aussi appelée Loi modernisant des dispositions législatives en matière de protection des renseignements personnels , renforce les obligations des organisations qui collectent ou traitent des renseignements personnels. Elle impose notamment l’obtention d’un consentement explicite avant toute collecte non essentielle (comme les technologies de suivi de type cookies), la transparence sur l’utilisation des données et la mise en œuvre de mesures de sécurité robustes. Ce document résume les mesures mises en place par Accolad pour se conformer à cette loi et vise à répondre aux demandes de clients ou de partenaires souhaitant vérifier cette conformité.

Consentement et gestion des cookies

La Loi 25 exige que toute collecte de données via des technologies de traçage soit précédée d’un consentement clair et éclairé. Conséquemment, voici ce que Accolad a mis en place :

  • Bannière de consentement : une bannière s’affiche automatiquement pour tous les visiteurs du site. Elle demande l’autorisation avant d’installer des cookies non essentiels et elle est configurée selon plusieurs cadres juridiques (Loi 25 – Québec, Règlement général sur la protection des données [RGPD] pour l’UE/EEE, UK GDPR pour le Royaume-Uni, lois américaines sur la protection des données personnelles [CCPA/CPRA pour la Californie, VCDPA pour la Virginie, CPA pour le Colorado, CTDPA pour le Connecticut et UCPA pour l’Utah], LGPD – Lei Geral de Proteção de Dados Pessoais au Brésil, LPRPDE – Loi sur la protection des renseignements personnels et les documents électroniques au Canada, LPRP – Loi sur la protection des renseignements personnels en Alberta et en Colombie-Britannique, APPI – Act on the Protection of Personal Information au Japon, PDPA – Personal Data Protection Act en Thaïlande, LPD – Loi fédérale sur la protection des données en Suisse).
  • Descriptions détaillées : chaque cookie est décrit individuellement (nom, durée, finalité), en plus d’être classé par catégorie (nécessaire, fonctionnel, analytique, marketing), et ce, afin d’assurer une transparence complète.
  • Gestion des préférences : les utilisateurs peuvent accepter ou refuser certaines catégories de cookies et modifier leurs choix à tout moment.
  • Détection automatisée et filtres : des mécanismes de sécurité peuvent bloquer les balayages automatisés de certains outils d’audit, ce qui peut parfois faire apparaître, à tort, des cookies non décrits. En pratique, les cookies sont configurés conformément aux exigences légales.

Protection des renseignements personnels et sécurité

La loi insiste sur la mise en place de mesures organisationnelles, physiques et technologiques pour protéger les données. Chez Accolad, ces mesures comprennent :

  • Hébergement et certifications : les données personnelles sont stockées sur des serveurs situés au Canada certifiés ISO/IEC 27001:2022 et conformes au cadre CSA STAR CCM v4.0.
  • Chiffrement et contrôles d’accès : les données sont chiffrées en transit (TLS 1.2+) et au repos (AES-256). L’accès se fait via une authentification multifactorielle (MFA) et un système de rôles à permissions granulaires (RBAC) appliquant le principe du moindre privilège.
  • Politiques internes : des politiques de prévention des pertes de données (DLP), de gestion des accès et de minimisation des données sont en place.
  • Surveillance continue et audits : les environnements de production sont surveillés en continu grâce à des solutions de journalisation centralisée et d’un système SIEM. Des journaux d’audit sont conservés et des tests de vulnérabilités sont effectués régulièrement.
  • Assurance cybersécurité : Accolad dispose d’une assurance couvrant la sécurité du réseau et la confidentialité jusqu’à hauteur de 10 000 000 $ par évènement. Aucun incident de cybersécurité n’a été rapporté au cours des cinq dernières années.

Droits des personnes concernées

La Loi 25 confère des droits étendus aux individus, tels que le droit d’accès, de rectification, de portabilité, d’effacement et de retrait du consentement. Accolad y répond de la manière suivante :

  • Droit d’accès et de rectification : toute personne peut consulter les données détenues par Accolad la concernant et demander leur rectification via les coordonnées fournies dans la politique de confidentialité.
  • Droit à l’effacement et à la portabilité : sur demande, Accolad supprime les renseignements personnels ou fournit une copie portable (sous réserve des obligations légales).
  • Retrait du consentement : les utilisateurs peuvent retirer leur consentement pour la collecte de données ou pour des communications marketing à tout moment.
  • Notification d’incidents : un plan d’intervention est prévu. Les autorités compétentes et les personnes concernées seront informées en cas de brèche susceptible d’engendrer un préjudice sérieux.

Relations avec les tiers et gestion des fournisseurs

Pour toute sous-traitance ou transfert de données, Accolad s’assure que les fournisseurs respectent un niveau de protection équivalent, conformément aux exigences de la Loi 25 :

  • Clauses contractuelles : les contrats avec les fournisseurs prévoient des obligations en matière de sécurité, de limitation de l’usage des données, de durée de conservation et de droits d’audit.
  • Ententes de confidentialité : un accord de confidentialité est signé avec chaque partenaire ou client, garantissant la confidentialité des informations échangées.
  • Évaluations périodiques : les mesures de sécurité des fournisseurs sont évaluées régulièrement et des audits peuvent être menés pour vérifier leur conformité.

Amélioration continue

Accolad adopte une démarche d’amélioration continue. Des audits externes (p. ex. UpGuard) sont régulièrement consultés. Les recommandations pertinentes (renforcement des enregistrements DNS, ajustements de politiques Content Security Policy et de protections contre le détournement de clic, optimisation des paramètres cookies) sont intégrées dans un plan d’action mis à jour au besoin.

Conclusion

Accolad applique des pratiques rigoureuses pour répondre aux exigences de la Loi 25 :

  • Obtention d’un consentement explicite et transparent pour les cookies et les technologies de suivi.
  • Mise en œuvre de mesures de sécurité avancées et hébergement sur des infrastructures certifiées ISO/IEC 27001:2022.
  • Respect des droits des personnes concernées (accès, rectification, effacement, portabilité, retrait du consentement).
  • Gestion stricte des relations avec les fournisseurs et sous-traitants, notamment via des engagements contractuels solides.

En résumé, Accolad est conforme à la Loi 25 et démontre son engagement envers la protection des renseignements personnels. Cette conformité est appuyée par des mesures techniques, organisationnelles et contractuelles destinées à assurer la confidentialité, l’intégrité et la disponibilité des données de ses clients et utilisateurs.

Votre panier est vide