Les nouvelles dispositions de 2022, 2023, et très prochainement 2024 peuvent donner l’impression que la mise en conformité avec la loi 25 est un véritable casse-tête. Il est facile de s’y perdre parmi les différentes dates d’entrée en vigueur et les obligations qui en découlent.
En résumé, la loi sur la protection des renseignements personnels encadre la gestion des renseignements personnels au sein des entreprises : de leur collecte à leur destruction, en passant par leur utilisation, conservation et communication. Elle régit ainsi tout le cycle de vie des renseignements personnels.
Même si cela peut sembler complexe au premier abord, le processus de mise en conformité est souvent moins lourd qu’il n’y paraît et peut être grandement optimisé par une première analyse interne efficace de votre situation en matière de protection des renseignements personnels. À terme, cette évaluation vous permettra non seulement d’identifier les écarts par rapport aux nouvelles obligations, mais également d’accélérer la rédaction des documents nécessaires à votre mise en conformité, qu’il s’agisse de politiques internes ou de politique de confidentialité.
Voici donc, en résumé, le parcours que notre équipe vous propose de suivre pour mener cette première analyse.
Les étapes pour débuter votre mise en conformité:
La première question à se poser dans ce processus est : comment vos renseignements personnels sont-ils collectés ?
Il est crucial d’avoir une vue d’ensemble claire de vos moyens de collecte, car cela permet d’identifier avec précision les renseignements personnels que vous recueillez, tout en vous assurant que vos méthodes de collecte sont conformes (notamment en lien avec le consentement des personnes concernées).
- Qu’est-ce qu’un renseignement personnel ?
- Un renseignement est qualifié de personnel lorsqu’il concerne une personne physique et permet, directement ou indirectement, de l’identifier. Cependant, il est important de noter que la loi sur les renseignements personnels ne s’applique pas aux renseignements professionnels tels que la fonction d’une personne, son adresse de travail, son courriel professionnel ou encore son numéro de téléphone professionnel. Attention ! Cela n’exclut pas les renseignements personnels de vos employés.
- Qu’est-ce qu’un moyen de collecte ?
- Les renseignements personnels peuvent être collectés de plusieurs façons :
- Si vous disposez d’un site web, plusieurs moyens de collecte existent, tels qu’un formulaire de contact, une inscription à l’infolettre, la création de compte, des outils de suivi comme les témoins de connexion (cookies), un clavardage de support client, etc.
- D’autres moyens sont également couramment utilisés en dehors d’un site internet: par courriel, via des formulaires papier ou PDF, des appels téléphoniques ou par les réseaux sociaux.
- Mention spéciale : N’oubliez pas vos processus de ressources humaines, notamment l’adresse courriel ou les sites par lesquels vous collectez les informations de candidats potentiels ou vos formulaires de ressources humaines destinés à vos employés.
- Les renseignements personnels peuvent être collectés de plusieurs façons :
À noter qu’il est possible que vous receviez des renseignements personnels déjà collectés par vos partenaires ou vos clients respectifs. Nous vous invitons à nous contacter pour plus d’accompagnement à ce sujet.
Deuxièmement, quels sont les renseignements personnels collectés par ces moyens ?
Une fois que vous avez identifié vos moyens de collecte, l’étape suivante est de répertorier précisément les renseignements personnels collectés par chacun d’eux.
En dressant une liste des renseignements personnels pour chaque moyen de collecte, vous vous assurez de ne rien oublier et d’être mieux outillé pour attribuer une utilisation spécifique à chaque type de renseignement (nous reviendrons sur ce point plus bas).
- Multitudes de renseignements personnels: Il est possible qu’une entreprise collecte une multitude de renseignements personnels. Cela peut inclure des renseignements d’identification (nom, identifiant, numéros gouvernementaux, adresse courriel), des caractéristiques physiques, comportementales ou démographiques, des renseignements financiers, des renseignements médicaux, etc.
- Mention spéciale: N’oubliez pas que des renseignements personnels créés ou inférés par votre entreprise sont des renseignements personnels que vous recueillez. Par exemple, le profil de consommateur de votre client.
Troisièmement, quelle est l’utilisation faite de ces renseignements personnels ?
Après avoir déterminé ce que vous collectez, il est essentiel d’évaluer comment vous utilisez ces renseignements personnels.
Cela vous permet dans un premier temps de vérifier si le consentement des personnes concernées a bien été obtenu pour les fins d’utilisation que vous avez identifiées.
Deuxièmement, cela permet également de s’assurer que chaque renseignement personnel collecté est réellement nécessaire pour les fins prévues. Un principe fondamental de la loi sur la protection des renseignements personnels stipule qu’une entreprise ne doit collecter un renseignement personnel que s’il est nécessaire à ses fins d’utilisation identifiées. Le terme «nécessaire» doit être interprété comme «indispensable» plutôt que «utile». Par exemple, même si vous jugez qu’il est pratique de collecter le numéro d’assurance sociale (NAS) de vos clients pour les identifier dans vos systèmes, il en demeure par moins qu’il existe des renseignements alternatifs moins sensibles pour arriver à vos fins. Ce qui rend le NAS non nécessaire dans ce contexte.
Quatrièmement, quels sont les moyens de conservation de ces renseignements personnels ?
Une étape clé dans la révision de vos pratiques internes est d’examiner comment vous conservez les renseignements personnels. Ces renseignements sont-ils conservés sur support papier, support technologique, un serveur en ligne ? Sont-ils conservés à l’interne de votre entreprise ou à l’externe ?
Que vous conserviez des renseignements personnels sur des serveurs internes ou dans le cloud, il est crucial de vous assurer que ces données sont protégées de manière adéquate. En répertoriant vos différents moyens de conservation, vous pourrez également évaluer vos pratiques en ce qui concerne l’accès à ces renseignements par vos employés, la durée de conservation, ainsi que les méthodes de destruction en place.
Cinquièmement, ces renseignements font-ils l’objet d’une communication à des tiers ?
Enfin, il est crucial d’identifier à qui vous communiquez ces renseignements. Attention, il faut voir large ! Une entreprise peut être tentée de ne penser qu’à ses partenaires d’affaires à qui elle transmet des renseignements personnels dans le but direct d’offrir ses services. Cependant, il est tout aussi important d’inclure vos fournisseurs de services, tels que ceux qui hébergent vos données (Google Drive, SharePoint, Dropbox, iCloud, etc.), vos outils de gestion clients, vous outils de paiements en ligne (PayPal, Stripe, Amazon Pay, etc.), vos outils de marketing (infolettres, CRM, etc.), vos services de ressources humaines, vos courriels, et plus encore.
Le simple fait de stocker des renseignements personnels chez un fournisseur est considéré comme une communication au sens de la loi sur les renseignements personnels. Il est donc essentiel d’identifier ces fournisseurs, de vérifier les garanties de protection qu’ils offrent et de savoir où sont localisés leurs serveurs.
Documenter le processus
Documenter ce processus vous donnera une vision globale des pratiques de votre entreprise. Cette documentation vous permettra non seulement de mieux identifier les besoins de consultation avec des experts, mais aussi d’accélérer la rédaction des documents nécessaires à votre conformité. Elle servira de base à la création ou à la mise à jour de votre politique de confidentialité ainsi que de vos politiques internes.
Il est important de garder à l’esprit que la loi sur la protection des renseignements personnels repose en partie sur des obligations de moyens et exige de faire preuve de diligence dans l’utilisation des renseignements personnels de vos clients. Dans ce sens, avant de chercher à se conformer aux nouvelles obligations spécifiques, il est crucial de dresser un portrait précis de vos pratiques actuelles et de s’assurer de votre conformité aux obligations légales de base.
Car, bien qu’avoir une politique de confidentialité sur votre site web soit une obligation légale, il est tout aussi important que cette politique reflète réellement vos pratiques et que vous respectiez ce qui y est inscrit.
Ce texte offre une revue rapide du processus d’analyse. Pour plus d’informations ou pour un accompagnement dans ce processus ainsi qu’une évaluation précise de votre conformité aux nouvelles obligations, nous vous invitons à prendre rendez-vous avec notre équipe.
