Renseignements personnels: la loi s’impose

Êtes-vous au courant de la nouvelle loi visant à préserver la confidentialité des informations personnelles recueillies par les entreprises ? Il se pourrait que vous pensiez que cela ne vous concerne pas si votre entreprise ne gère pas de bases de données clients. Ce n’est pas le cas: si votre entreprise possède des employés et un site web, la loi s’applique. De plus, la date limite approche rapidement: le 22 septembre 2023 la deuxième ronde d’obligations de la Loi 25 entre en vigueur.

Cette loi, adoptée par le gouvernement du Québec en septembre 2022, a pour objectif d’accorder à tous les citoyens un meilleur contrôle sur leurs informations personnelles. Elle exige également des entreprises qu’elles soient plus transparentes quant aux méthodes de collecte et d’utilisation des données de leurs clients.

Septembre 2023

À partir de septembre 2022, les entreprises étaient tenues de respecter ces obligations:

  • Désigner une personne responsable de la protection des renseignements personnels;
  • Informer les personnes concernées et la CAI en cas d’incident de confidentialité et tenir un registre d’incidents.

À partir du 22 septembre 2023, ces nouvelles obligations s’ajoutent:

  • Obligation de mettre en œuvre un cadre de gouvernance en matière de protection des renseignements personnels;
  • Obligation de transparence;
  • Anonymisation et destruction des renseignements personnels en certaines circonstances;
  • Évaluation de risque en matière de vie privée en certains circonstances;
  • Nouvelles obligations relatives au consentement;
  • Prévoir des paramètres assurant le plus haut niveau de confidentialité

Et pour septembre 2024, il faudra prévoir le droit à la portabilité : obligation de communiquer à la personne concernée les renseignements qu’une entreprise détient sur elle, sur demande.

Nouvelles obligations de transparence

Désormais, lorsqu’une entreprise collecte des informations personnelles, elle doit fournir des explications à la personne concernée concernant les raisons de la collecte de ces informations, les méthodes utilisées pour les obtenir, ainsi que les droits d’accès, de correction et de révocation de consentement. Si la situation s’applique, l’entreprise doit également révéler le nom du tiers pour lequel la collecte est effectuée, la catégorie de tiers qui recevra les informations, ou encore la possibilité que les données personnelles soient partagées en dehors du Québec. Sur demande, l’entreprise doit également divulguer les informations collectées, les employés ayant accès à ces informations, la durée de conservation et les coordonnées du responsable de la protection des données. Toutes ces informations doivent être communiquées de manière simple et claire.

Il est important de noter que si une entreprise obtient des informations personnelles en utilisant une technologie permettant d’identifier, de localiser ou de profiler une personne, des informations supplémentaires doivent être fournies. La personne concernée doit être informée de l’utilisation de cette technologie et des moyens disponibles pour activer ces fonctions. De plus, pour les informations obtenues par des moyens technologiques, une politique de confidentialité spécifique doit être publiée sur le site web de l’entreprise. Enfin, si la prise de décision repose entièrement sur un traitement automatisé des informations personnelles, la personne concernée a le droit de connaître les informations utilisées pour prendre la décision, les motifs, les facteurs clés ayant conduit à la décision et le droit de demander une révision de cette décision.

Pour être conforme à cette exigence, il faut :

  • Établir et publier les politiques et procédures de confidentialité suivantes :
  • Une politique et une procédure concernant les informations qui doivent être transmises lors de la collecte de renseignements personnels;
  • Une politique et une procédure concernant les informations qui doivent être transmises sur demande;
  • Une politique et une procédure concernant la collecte d’information permettant d’identifier, de localiser ou de profiler les personnes concernées;
  • Une politique et une procédure concernant la collecte de renseignements personnels par des moyens technologiques;
  • Une politique et une procédure concernant la divulgation d’information lorsqu’une entreprise prend des décisions fondées uniquement sur le traitement automatisé des renseignements personnels.

Évaluation des facteurs relatifs à la vie privée

Il est désormais impératif de conduire une Évaluation des Facteurs liés à la Vie Privée (EFVP) avant tout projet impliquant le traitement de données personnelles, que ce soit une acquisition, un développement ou une refonte de systèmes d’information ou de services électroniques. Il est important de noter que cette obligation n’a pas d’effet rétroactif, elle concerne uniquement les nouveaux projets. De plus, l’ampleur de l’EFVP doit être proportionnelle à l’impact du projet sur la vie privée des individus.

Pour se conformer à cette exigence, il est nécessaire de :

  • Élaborer une procédure d’EFVP qui définit les critères pour déterminer quand l’évaluation est nécessaire et le processus pour identifier les projets nécessitant une évaluation dès leur commencement.
  • Diffuser cette procédure au sein de l’entreprise.
  • Créer un modèle simple pour mener à bien l’EFVP.
  • Diffuser cette procédure au sein de l’entreprise.

Pénalités financières

La loi prévoit des pénalités pouvant aller jusqu’à:

  • Une somme de 10 millions de dollars canadiens
  • Une somme équivalant à 2% du chiffre d’affaires total de l’entreprise durant l’exercice fiscal précédent
  • Des pénalités plus sévères sont envisagées pour les violations les plus sérieuses

Y a-t-il des exceptions ?

En effet, il y a des cas où l’obligation de recueillir le consentement ne s’applique pas, notamment lorsque l’utilisation des données est indispensable pour fournir un produit ou un service sollicité par la personne concernée. Cette exemption inclut les cookies et les traceurs considérés comme « essentiels ».

La bannière à déployer

La Loi 25 requiert la divulgation des témoins (cookies) aux visiteurs du site web pour suivre leurs activités en ligne. Ces témoins sont essentiels pour comprendre les habitudes des visiteurs, améliorer la visibilité dans les résultats de recherche et optimiser les campagnes marketing. De plus, ils facilitent les transactions avec les visiteurs.

Pour se conformer à la Loi, à partir du 22 septembre 2023, votre site doit afficher une bannière pour obtenir le consentement explicite des utilisateurs concernant la collecte, l’utilisation et le stockage de leurs données personnelles.

Tektonik est en mesure de vous aider à répondre aux exigences de la loi.

Pour éviter les risques liés à la non-conformité avec la Loi 25, ainsi que les sanctions et les conséquences financières qui en découlent, nous créerons une bannière de consentement sur mesure et l’intégrerons à votre site web.

En plus d’accroître la confiance et la transparence auprès de vos clients potentiels, cette bannière renforcera votre réputation en matière de respect de la confidentialité des données. Notre objectif est de respecter l’esprit de la loi tout en maximisant le taux d’approbation des visiteurs, afin d’optimiser votre présence en ligne et vos stratégies marketing.

Par ailleurs, la mise à jour de la politique de confidentialité sur votre site web peut améliorer votre positionnement en ligne de manière significative. Les algorithmes de recherche de Google favorisent les sites avec des politiques de confidentialité claires, ce qui améliore leur classement dans les résultats de recherche.

Notre solution clé en main

Comme la première interaction entre votre marque et de nouveaux clients se fera via la bannière de consentement, l’objectif est également de maintenir une expérience utilisateur positive sur votre site. En accord avec la Loi 25, notre solution implique la création et la configuration d’une bannière personnalisée pour maximiser l’approbation des utilisateurs. Ce service économique est proposé sans frais mensuels obligatoires.

Cette bannière permet aux visiteurs de prendre une décision éclairée sur l’utilisation de leurs informations personnelles. Ils peuvent choisir d’autoriser le stockage de leurs données pour faciliter les transactions, tout en refusant leur utilisation pour des publicités ciblées.

La solution offerte par Tektonik s’adapte aux sites web soumis à la Loi 25 et convient à toutes les entreprises cherchant à améliorer leur référencement naturel et l’efficacité de leurs publicités tout en se conformant à la loi. Ces bannières sont déjà présentes sur de nombreux sites que nous visitons depuis quelques semaines. Il est maintenant crucial pour vous de les intégrer, car la date limite du 22 septembre approche rapidement.

Contactez-nous pour une discussion approfondie. Nous pouvons élaborer avec vous une solution conforme à la loi, favorisant la transparence avec vos clients et prévoyant les données nécessaires pour une collaboration harmonieuse avec eux.

 

Contactez-nous dès maintenant!

 

Ressources supplémentaires:

This post is also available in: EN