Loi 25: Vous exploitez une entreprise et vous prélevez des renseignements personnels sur vos clients dans le cadre de vos activités ?
Nous vous invitons à consulter notre premier article afin de vous renseigner sur les nouvelles obligations auxquelles vous êtes assujettie depuis le 22 septembre 2022.
Puisque la seconde partie des nouvelles obligations engendrées par la loi 25 entrent en vigueur incessamment (22 septembre 2023) nous tenions à vous renseigner sur ce que vous devez absolument savoir !
- Vous devez avoir une politique de confidentialité si vous recueillez des renseignements personnels par un moyen technologique
En gros, s’il est possible pour le public de vous transmettre des renseignements personnels par le biais de votre site Internet (par le biais d’une section nous joindre par exemple), cette obligation s’applique à vous.
La politique de confidentialité doit être rédigée en termes simples et clairs et vous devez la publier sur le site Internet de votre entreprise.
Considérant que la politique doit inclure plusieurs éléments pour être conforme à la loi, nous vous recommandons de faire affaire avec un professionnel dans le cadre de sa rédaction! Nous offrons d’ailleurs ce service!
- Vous devez respecter votre devoir d’information
Lors de la collecte d’information et par la suite sur demande, vous devrez informer votre client :
- des fins auxquelles ces renseignements sont recueillis
- des moyens par lesquels les renseignements sont recueillis
- des droits d’accès et de rectification prévus par la loi et ;
- de leur droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.
Nous vous suggérons de faire réviser vos contrats ou votre politique de confidentialité puisque l’absence de l’une de ces informations est passible de sanctions.
- Vous devez instaurer dans votre entreprise des politiques et des pratiques visant la protection des renseignements personnels
Concrètement, ces politiques et pratiques doivent faire état de votre façon de gérer les renseignements personnels et d’en assurer leur protection.
Ils doivent notamment prévoir les rôles et les responsabilités des membres de votre équipe à l’égard des renseignements personnels détenus ainsi que l’encadrement applicable à la conservation et à la destruction de ces renseignements (vous comprendrez que les pratiques varient d’une entreprise à l’autre).
Puisque vous devez rendre ces politiques et pratiques disponibles au public, nous suggérons l’intégration de ces mesures à votre politique de confidentialité directement.
Si vous n’avez pas de site Internet, il est possible de rendre ces documents disponibles par tout moyen approprié.
Consultez-nous pour discuter de la procédure la mieux adaptée pour votre situation!
- D’autres obligations, en rafale :
Si vous prévoyez faire une refonte de vos systèmes en prévision de vos nouvelles obligations, vous devez évaluer les facteurs de risque relatifs à la vie privée de vos clients.
En résumé, vous devez évaluer et prévenir les risques qu’une perte de données pourrait avoir sur vos clients. Afin de prévenir les risques, nous vous suggérons l’intégration d’un avenant à votre police d’assurance relatif à la protection des données. Voyez notre article à ce sujet ici.
Si vous avez recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer un profilage sur vos (futurs) clients, vous devez, au préalable, les informer du recours à une telle technologie et des moyens offerts pour activer ces fonctions. Vous comprendrez que ces fonctions ne pourront plus être activées par défaut !!
Avant de communiquer un renseignement personnel à l’extérieur du Québec (pour de l’hébergement de données par exemple), vous devez procéder à une évaluation des facteurs relatifs à la vie privée de vos clients et mentionner à vos clients que leurs données sont stockées à l’extérieur du Québec dans un endroit dont l’accès est contrôlé.
Attention ! Vous comprendrez qu’il vous incombera nécessairement de faire réviser les contrats conclus avec vos fournisseurs de services puisqu’ils sont appelés à détenir de tels renseignements en votre nom.
En tout temps, vous devez vous engager à NE PAS UTILISER des renseignements personnels pour d’autres fins pour lesquelles ils ont été recueillis. Le client peut donner un consentement écrit à l’effet contraire.
En tout temps, vous devez vous engager à NE PAS COMMUNIQUER les renseignements personnels à des tiers. Le client peut donner un consentement écrit à l’effet contraire.
Attention! la communication est permise si elle est nécessaire à l’exercice du mandat que vous comptez accomplir. Il suffit d’aviser votre client par écrit (dans le contrat par exemple) que la communication est nécessaire.
Si vous exploitez une entreprise qui offre au public un produit ou un service technologique disposant de paramètres de confidentialité, vous devez vous assurer que ces paramètres assurent le plus haut niveau de confidentialité par défaut, et ce, sans aucune intervention de la personne concernée.
Sous respect des obligations que vous pourriez respecter en tant que professionnel quant à la conservation de vos dossiers, lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, vous devez le détruire ou l’anonymiser.
Vous devez savoir QUAND un nouveau consentement est requis
Le consentement initial est valide lorsque l’utilisation additionnelle est à des fins compatibles avec celles pour lesquelles il a été recueilli ou lorsque son utilisation est manifestement au bénéfice de la personne concernée.
Toutefois, lorsque les fins pour lesquelles les renseignements ont été recueillis ont été accomplies, un consentement est requis pour utilisation à d’autres fins.
Vous tenir informé des prochaines mesures applicables!
Effectivement il y aura de nouvelles règles en vigueur pour 2024 donc si vous voulez vous y préparer à l’avance, faites-nous signe!
Nous vous invitons à nous contacter si vous avez des questions par rapport à l’applicabilité de ces mesures dans votre situation précise.
Il nous fera plaisir de vous aider à mieux comprendre ces nouvelles obligations et de simplifier leur intégration au sein de votre entreprise.
