Vous exploitez une entreprise et vous prélevez des renseignements personnels sur vos clients dans le cadre de vos activités ?
Par exemple vous opérez un site web transactionnel ou redirigez vos clients vers un service d’achat en ligne ?
Sachez que de nouvelles obligations vous sont imposées en matière de sécurité de l’information à compter du 22 septembre prochain et voici ce que vous devez savoir !
Vous devez nommer un responsable de la protection des renseignements personnels
La loi vous impose de nommer un responsable de la protection des renseignements personnels. À défaut, la personne ayant la plus haute autorité dans votre entreprise se verra automatiquement attribuer cette fonction.
La loi définit les « renseignements personnels » comme tous renseignements qui concernent une personne physique et qui permettent de l’identifier. C’est une définition très large qui vise à peu près tout renseignement.
Pour être conforme, vous devez notamment publier le titre et les coordonnées de cette personne sur le site web de votre entreprise.
Vous devez tenir un registre des incidents et les signaler
La loi vous impose également de tenir un registre des incidents en matière de confidentialité et vous devrez conserver les informations consignées au registre pour une période minimale de cinq (5) ans suivant la date où vous en avez pris connaissance.
Un incident de confidentialité survient lorsqu’il y a accès, utilisation, communication non autorisée, perte ou toute autre atteinte à la protection des renseignements personnels.
De plus, si l’incident présente un préjudice sérieux, vous devrez aussi aviser par écrit les personnes concernées ainsi que la Commission d’accès à l’information.
Afin de déterminer si l’incident présente un risque de préjudice sérieux, il faut prendre en considération plusieurs facteurs : le niveau de sensibilité des renseignements personnels impliqués, les conséquences de leur utilisation ainsi que la probabilité que ces renseignements soient utilisés à des fins préjudiciables.
Vous devez informer les personnes de ce que vous recueillez sur eux et pourquoi !
La politique de confidentialité est donc un « MUST » !
Vous devez vous assurer que votre politique prévoit bien leur droit de retirer leur consentement à la communication ou à l’utilisation des renseignements recueillis.
Aussi, de plus en plus de sites offrent la possibilité de géolocaliser leur client pour leur offrir des services à proximité. Sachez que la loi vous imposera de les aviser au préalable de la géolocalisation, mais aussi de toute technologie vous permettant d’effectuer un profilage.
Vous devrez protéger les informations recueillis lors de vos transactions commerciales
Lorsque la communication de renseignements personnels est nécessaire aux fins de la conclusion d’une transactions commerciales, il faudra vous assurer de la protection de ces renseignements dans la rédaction de vos transactions en intégrant des clauses en lien avec leur utilisation, leur protection et leur destruction ou de conclure préalablement une entente de confidentialité à cet effet.
Une fois la transaction commerciale conclut, vous aurez l’obligation additionnelle de détruire ou d’anonymiser les renseignements personnels recueillis si vous souhaitez les utiliser à des fins sérieuses et légitimes.
En gros, il est important de faire réviser votre politique de confidentialité ainsi que vos contrats pour vous assurer d’être en règle avec les nouvelles normes imposées.
Vous tenir informé des prochaines mesures applicables!
Il faut savoir que la Loi 25 prévoit l’intégration de nouvelles mesures pour 2023 et 2024, il faut donc s’assurer de les respecter également à échéance. Parmi ces mesures on retrouve la mise en place de politiques et de pratiques visant la protection des renseignements personnels.
Il peut être temps de mettre à jour votre manuel d’employé, surtout avec le télétravail devenu omniprésent dans les entreprises.
Parmi les autres changements à prévoir, on note également que vous devrez être capable de divulguer les renseignements personnels recueillis sur une personne qui en fait la demande. Il est donc important de s’assurer que vos logiciels vous permettent de bien extraire la liste des renseignements recueillis.
En terminant, nous vous invitons à nous contacter si vous avez des questions plus précises par rapport à l’applicabilité de ces mesures dans votre situation précise. Il nous fera plaisir de vous aider à mieux comprendre ces nouvelles obligations et de simplifier leur intégration au sein de votre entreprise.
Équipe Vigi services juridiques inc.
(418) 476-2885, poste 101
275, rue du Parvis, bureau 520
Québec (Québec) G1K 6G7
