Le Québec a fait passer une nouvelle loi sur la protection des renseignements personnels en 2021. Quessé ça change pour ta compagnie? Ben des choses, à vrai dire! Pour commencer: va falloir revoir la manière dont tu gères tes données numériques et mettre à jour ton site web et ses politiques. T’as jusqu’à quand pour faire ça? Le 22 septembre 2023! Tu ne veux pas te faire prendre les culottes à terre quand la phase 2 de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, aka la loi 25, va venir révolutionner la game du web marketing. Est-ce que ton entreprise est prête?
As-tu un·e Responsable de la protection des renseignements personnels?
Première chose à faire pour être up to date pour la loi 25: ton entreprise doit désigner un·e Responsable de la protection des renseignements personnels. Quel est le rôle de cette personne? En gros, c’est:
- S’assurer que toutes les mesures sont prises pour protéger les données personnelles des utilisateur·rices, client·es, employé·es, etc.;
- Servir d’intermédiaire auprès des gens qui demandent de l’info au sujet de leurs données récoltées;
- Gérer les incidents de confidentialité, notamment en prévenant les individu·es concerné·es et la Commission d’accès à l’information (CAI) du Québec dans de tels cas.
En passant, tu dois annoncer qui est le·la Responsable sur ton site web. Si personne n’est nommé·e par la compagnie, la position revient par défaut au ou à la big boss.
Demandes-tu la permission pour collecter les données?
La loi 25 met l’emphase sur la nécessité d’obtenir le consentement «express» du monde. Autrement dit, pour avoir le droit de collecter leurs infos, ton entreprise doit leur demander explicitement la permission. Ça peut paraître simple, mais avec des outils comme Google Analytics qui collecte automatiquement les données des visiteur·euses du web, ça présente un défi mine de rien.
La solution? Il faut que t’ajoutes une boîte de message d’autorisation à la récolte de données. Pour te donner une idée, c’est la sorte de pop-up qui apparaît parfois quand tu visites un site. Quand tu «acceptes» qu’on emploie des cookies, tu donnes plus précisément ton consentement pour qu’on prenne tes données. C’est ce que tu veux aussi pour tes utilisateur·rices.
Tes documents légaux sont-ils à jour sur ton site web?
Mais ça ne suffit pas que tu demandes aux gens si tu peux récolter leurs données. Pour obtenir un consentement éclairé, tu dois aussi bien leur expliquer ce que ça implique. Qu’est-ce qu’on entend par là? Il faut que les utilisateur·rices sachent:
- À quoi serviront leurs données?
- De quelle façon tu les collecteras?
- Comment les conserveras-tu?
- À qui tu les communiqueras?
- Quand seront-elles supprimées?
Ton entreprise est également tenue de les informer de leurs droits d’accès, de rectification et de retrait. Pour faire court, ils et elles peuvent accéder n’importe quand à leurs renseignements personnels, demander leur modification ou carrément retirer leur consentement et exiger la suppression du tout.
Tu comprendras qu’un «pop-up» d’autorisation n’est pas suffisant pour dire tout ça. C’est là que ta politique de confidentialité et tes conditions générales deviennent indispensables. Auparavant, ces documents étaient optionnels; maintenant, t’es obligé·e de les publier sur ton site web. En plus, tu dois t’assurer qu’ils contiennent toutes les informations dont on t’a parlé plus haut, qu’ils précisent qui est le·la Responsable de la protection des renseignements personnels et comment communiquer avec lui ou elle, etc., etc.
T’en as pas fini avec la loi 25
Ce n’est pas tout! Il y a aussi la phase 3 de la loi 25. (Oui, oui, une autre phase!) À partir du 22 septembre 2024, ton entreprise devra garantir la portabilité des données. De quessé? En gros, ça veut juste dire qu’il va falloir que tu sois à même de fournir sur demande, dans un délai de 30 jours, un document contenant les renseignements personnels récoltés sur une personne si elle te le demande. Le gouvernement est encore motus bouche cousue quant au format que devra prendre ledit document cependant…
Ça fait beaucoup de choses à penser! Si ton entreprise ne prend pas les choses en main avant le 22 septembre 2023, tu pourrais recevoir une amende ou être pénalisé·e. Si t’as besoin d’un·e traducteur·rice de jargon légal ou d’un coup de main avec l’aspect technique, on est là!
Des questions?
Faites-nous un petit hello@agencehigh5.com!