Qu'est-ce que la Loi 25 ?
La Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) est la réponse du Québec aux enjeux modernes de vie privée numérique. Entrée en vigueur progressivement depuis septembre 2022, elle impose aux entreprises québécoises des obligations comparables au RGPD européen.
Depuis septembre 2024, toutes les dispositions sont en vigueur. Les entreprises qui ne s'y conforment pas s'exposent à des amendes pouvant atteindre 25 millions de dollars ou 4 % de leur chiffre d'affaires mondial.
Le courriel : un vecteur de fuite de données sous-estimé
Quand on pense « protection des données », on pense souvent aux bases de données, aux serveurs ou aux formulaires web. Mais le courriel est le premier vecteur de compromission des données personnelles au Canada.
- 63 % des violations de données au Canada commencent par un courriel d'hameçonnage (Rapport CCCS 2024)
- Un employé qui clique sur un lien frauduleux peut exposer l'ensemble de la base clients de l'entreprise
- Les courriels contiennent souvent des renseignements personnels : noms, adresses, numéros de dossier, informations de santé
Important : La Loi 25 exige que les entreprises prennent des « mesures de sécurité raisonnables » pour protéger les renseignements personnels qu'elles détiennent. Le courriel fait partie de ce périmètre.
Les 3 obligations clés liées aux courriels
1. Consentement et transparence
Vos clients doivent savoir quelles données vous collectez et comment elles sont utilisées dans vos communications. Chaque courriel doit permettre au destinataire de se désinscrire facilement.
2. Mesures de sécurité raisonnables
L'entreprise doit démontrer qu'elle a mis en place des mesures pour empêcher l'accès non autorisé aux renseignements personnels. L'usurpation d'identité par courriel (quand un fraudeur envoie des courriels au nom de votre entreprise) est une forme d'accès non autorisé aux données de vos clients.
3. Notification en cas d'incident
En cas de violation impliquant des renseignements personnels, vous devez notifier la Commission d'accès à l'information (CAI) et les personnes touchées. Une attaque de phishing réussie qui compromet des données clients déclenche cette obligation.
Comment CodeMail aide à la conformité
CodeMail ajoute une couche de protection unique que les fraudeurs ne peuvent pas reproduire : un code personnel secret intégré dans chaque courriel légitime envoyé par votre entreprise.
- Prévention proactive, Vos clients peuvent vérifier instantanément si un courriel vient vraiment de vous. Pas besoin d'expertise technique.
- Réduction du risque d'incident, En réduisant les risques d'hameçonnage, vous réduisez les chances d'un incident à déclarer sous la Loi 25.
- Démonstration de diligence, L'utilisation de CodeMail démontre que vous avez pris des « mesures raisonnables » pour protéger vos clients, un argument clé en cas d'audit.
- Désabonnement intégré, Chaque courriel envoyé via CodeMail inclut un lien de désabonnement conforme aux exigences de la Loi 25 et de la LCAP.
5 étapes concrètes pour les entreprises
- Auditez vos communications par courriel, Identifiez tous les courriels automatisés contenant des renseignements personnels (confirmations, factures, rappels).
- Intégrez un mécanisme d'authentification, Ajoutez une phrase secrète CodeMail pour que vos clients puissent distinguer vos vrais courriels des frauduleux.
- Formez vos employés, 90 % des incidents de sécurité impliquent une erreur humaine. Une formation de 30 minutes par trimestre suffit.
- Documentez vos mesures, Gardez une trace de vos politiques de sécurité des courriels. La CAI peut les demander en cas d'audit.
- Révisez régulièrement, Les techniques de fraude évoluent. Revoyez vos mesures de protection chaque trimestre.
Conformité Loi 25 + protection anti-hameçonnage
Intégrez CodeMail en 5 minutes et démontrez votre engagement envers la sécurité de vos clients.
Essai gratuit →