2 150 viewsLa préoccupation de la confidentialité des données privées sur internet n’est pas nouvelle, mais elle prend une place de plus en plus importante dans le quotidien des entreprises du pays. Le Canada est un état précurseur dans la gestion de la confidentialité des données, notamment depuis l’adoption de la loi canadienne antipourriel il y a quelques années.
Aujourd’hui, les autorités québécoises vont plus loin. Depuis fin 2022, le Québec oblige les entreprises qui opèrent dans la province à se conformer aux exigences de la loi 25. Cette loi vise à protéger la vie privée des individus en réglementant la collecte, l’utilisation et la divulgation des renseignements personnels par les organisations. La mise en place de la loi 25 étant graduelle, elle se poursuivra jusqu’en 2024, passé ce délai votre concession devra obligatoirement s’y conformer.
Concrètement, les données qui sont considérées comme des renseignements personnels et qui sont protégées dans la loi 25 sont:
-
- Les données d’identification: les noms, les adresses, les adresses courriel, les numéros de téléphone, etc.
- Les données sensibles: les NAS, les revenus, l’appartenance à des groupes religieux ou autres, l’orientation sexuelle, etc.
- Les données de profilage: les adresses IP, le comportement numérique, les données récupérées grâce aux cookies, etc.
Si vous ne protégez pas ces données de manière adéquate, vous risquez de subir des pénalités administratives (jusqu’à 10 000 000$ ou 2% des revenus globaux) ainsi que des sanctions criminelles allant jusqu’à 25 000 000$ ou 4% des revenus globaux. Il est donc crucial de prendre au sérieux la loi 25.
La loi 25 vous donne jusqu’en 2024 pour mettre en place les différentes phases d’adaptation.
(depuis septembre 2022)
-
-
- Désigner un responsable de la protection des renseignements personnels pour votre concession.
- Définir les politiques et pratiques de gouvernance.
- Mettre en place un registre des incidents ainsi qu’un processus de notifications.
- Créer un programme de formation adapté.
- Faire l’inventaire des renseignements personnels et des fournisseurs de services qui ont accès à ces données. Plus il y en a, plus vous avez de chances d’exposer les données personnelles de vos clients.
-
Cette notion est très importante, car face à la loi, VOUS êtes responsable et non vos fournisseurs. La donnée vous appartient, c’est votre responsabilité de la protéger. Il y a donc des risques associés avec le fait d’avoir plusieurs fournisseurs, car on multiplie les transferts des données.
(pour septembre 2023)
-
-
-
-
- Publier la politique de confidentialité mise à jour sur votre site web.
- Mettre en place un processus d’évaluation des risques (EFVP).
- Activer la cueillette du consentement sur votre site web.
- Instaurer un processus de destruction des données régulier ou d’anonymisation.
-
-
-
(pour septembre 2024)
-
-
-
-
- Vous assurer de pouvoir supporter la portabilité des données (être capable d’extraire l’ensemble des données d’une personne sur un support lisible).
-
-
-
Afin de vous protéger au maximum des attaques potentielles, vous devez faire l’inventaire des renseignements personnels en votre possession et la liste des fournisseurs qui y ont accès.
Plus vous avez de fournisseurs de logiciels, qui ont accès aux données de vos clients, plus vous exposez ces données et prenez des risques.
Lorsque vous utilisez les solutions de 360.Agency dans votre concession, ces dernières ont été développées en interne dans nos bureaux de Montréal, ce qui veut dire que vos données clients n’existent qu’à un seul et unique endroit. De plus, nous avons conçu un pare-feu global qui protège l’ensemble des données personnelles dont vous avez la responsabilité. Elles sont ainsi considérablement plus sécurisées que lorsque vous utilisez plusieurs fournisseurs de logiciels différents.
Selon la loi 25, votre politique de confidentialité doit être accessible aux utilisateurs de votre site et les informer:
-
-
- des fins auxquelles les renseignements sont recueillis,
- des moyens par lesquels les renseignements sont recueillis,
- de leurs droits d’accès et de rectification,
- de leur droit au retrait du consentement,
- du nom ou des catégories des prestataires avec qui vous communiquez leurs renseignements,
- de la possibilité que les renseignements soient communiqués à l’extérieur du Québec.
-
La nouvelle loi définit le profilage comme étant “la collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.”
En tant que concessionnaire vous aurez l’obligation, dès septembre 2023, d’obtenir le consentement (“opt-in”) avant d’activer la collecte de renseignements personnels par des technologies d’identification, de localisation ou de profilage.
Afin de vous accompagner dans l’application de ces nouvelles règles, 360.Agency lance PRIVACY 360, votre nouvelle plateforme de gestion du consentement numérique (CMP).
Avec PRIVACY 360 votre site web et vos opérations publicitaires restent conforme avec la Loi 25 de manière simple et claire.
PRIVACY 360 vous permet de collecter les preuves de consentement de vos utilisateurs grâce à des fenêtres conditionnelles entièrement personnalisables qui s’intègrent parfaitement au thème de votre site web.
