Comment être conforme aux lois canadiennes ?
La loi C-27 est en cours d’adoption au Canada, alors qu’une grande partie de la loi 25 est déjà entrée en vigueur au Québec depuis les 22 septembre 2022 et 2023.
Les traitements de données à caractère personnel dans la province du Québec sont encadrés par la loi 25 et au Canada par la loi C-27.
Toutes les informations que vous trouverez sur cette page ont un but informatif et se limitent aux périmètres couverts par nos solutions.
Les nouvelles obligations issues de la loi 25
La loi 25 comporte un certain nombre de nouvelles obligations à respecter depuis le 22 septembre 2022 afin d’être en conformité :
Désignation d’un responsable de la protection des renseignements personnels
L’identification et les coordonnées du responsable de la protection des renseignements personnels, personne ayant la plus haute autorité au sein de l’organisation, doivent être publiées sur le site internet de l’organisation ou par tout autre moyen approprié.
Réaction aux incidents de confidentialité
Si un incident de sécurité concerne un renseignement personnel, il est obligatoire de prendre des mesures raisonnables pour diminuer les risques de préjudice envers les personnes concernées, aviser la Commission et la personne concernée s’il existe un risque de préjudice sérieux, et tenir un registre des incidents.
Conclure un contrat écrit en cas de sous-traitance
Pour communiquer des informations à un sous-traitant, l’entreprise doit disposer d’un contrat écrit et préciser les mesures permettant de protéger les renseignements personnels transmis.
D’autres obligations sont en vigueur depuis le 22 septembre 2023 :
Etablir des politiques de gouvernance
La personne exploitant des renseignements personnels doit établir des politiques et pratiques guidant la gouvernance des renseignements personnels et en informer le public sur son site internet ou par tout autre moyen approprié.
Réaliser une évaluation des facteurs relatifs à la vie privée
La réalisation d’une évaluation des facteurs relatifs à la vie privée consiste en une analyse des risques et garanties encadrant un traitement particulier, par exemple lorsque des renseignements sont transmis à l’extérieur du Québec.
Limiter la durée de conservation des renseignements
Les renseignements personnels détenus par une entreprise doivent être détruits ou anonymisés lorsqu’ils ne sont plus nécessaires pour la finalité de collecte initiale ou s’il n’existe pas de finalité sérieuse et légitime à leur utilisation.
Respecter les droits des personnes concernées
Les personnes concernées disposent de nombreux droits, parmi lesquels figure notamment le droit à la cessation de la diffusion, à la réindexation ou à la désindexation d’un renseignement personnel.
Obtenir le consentement des personnes
Le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques.
Enfin, à compter du 22 septembre 2024, les entreprises devront être en mesure de répondre aux demandes de portabilité des renseignements personnels.
Les nouvelles obligations issues de la loi C-27
La loi C-27 est en cours d’adoption au sein des instances gouvernementales et parlementaires canadiennes. Elle inclut, à l’instar de la loi 25, de nouvelles obligations à respecter pour les entreprises :
Désignation d’un responsable de la protection des renseignements personnels
Toute organisation doit désigner une ou plusieurs personnes chargées des questions portant sur les traitements de renseignements personnels. Les coordonnées de ces personnes doivent être fournies à tout personne sur demande.
Réaction aux incidents de confidentialité
Toute atteinte aux mesures de sécurité relatives aux renseignements personnels doit être déclarée au Commissaire du Commissariat à la protection de la vie privée si cette atteinte présente un risque réel de préjudice grave à l’encontre d’une personne concernée. Cette déclaration doit également être faite auprès de la personne concernée et l’atteinte doit être consignée dans un registre.
Conclure un contrat écrit en cas de sous-traitance
La transmissions de renseignements personnels par une organisation à un fournisseur de services est subordonnée à la vérification et la garantie, y compris contractuelle, que le fournisseur de services offre une protection équivalente à celle que l’organisation est tenue d’offrir.
Informer les personnes concernées
L’organisation doit rendre accessible aux personnes un ensemble d’informations relatives à la façon dont elle utilise des renseignements personnels : type de renseignements, explication de leur usage, y compris en cas de profilage, existence ou non de transferts interprovinciaux ou hors Canada, durée de conservation des renseignements sensibles, la manière d’exercer leurs droits et les coordonnées du responsable chargé des questions portant sur les traitements de renseignements personnels en interne.
Limiter la durée de conservation des renseignements
Les renseignements personnels détenus par une organisation doivent être ne doivent plus être conservés s’il ne sont plus nécessaires ni pour la finalité de collecte initiale, ni pour respecter une obligation légale ou contractuelle.
Respecter les droits des personnes concernées
Les personnes concernées disposent de nombreux droits, parmi lesquels figure notamment le droit d’accès et de rectification, droit d’introduire un recours, ou de retirer son consentement.
Obtenir le consentement des personnes
Sauf disposition contraire, l’organisation qui recueille, utilise ou communique des renseignements personnels doit d’abord obtenir expressément le consentement valide de la personne concernée, ce qui suppose au préalable de lui fournir un ensemble d’informations. Les exceptions à ce principe peuvent être l’existence d’une activité d’affaires, l’existence d’un intérêt légitime à l’utilisation des renseignements, ou encore dans le cas d’une collecte manifestement dans l’intérêt de la personne dont le consentement ne peut pas être obtenu.
L’impact sur les processus clés du marketing
Ce qui est dorénavant interdit en termes de recueil de consentement
L’opt-out passif : désigne le fait de devoir se désinscrire après avoir été inscrit d’office lors d’une inscription à un service quelconque.
L’opt-in passif : consiste à pré-cocher par défaut des cases du type « je souhaite recevoir des sollicitations publicitaires » ou un menu déroulant proposant par défaut la réponse oui.
Ce qui est autorisé et demandé dans le cadre de la protection des données
L’opt-in et double opt-in : pour obtenir un consentement exprès légalement valable, il faut en faire la demande claire et concise. Et faire une double confirmation pour recevoir vos campagnes, c’est mieux !
La collecte minimale : sous certaines conditions, l’utilisation de statistiques de fréquentation ou de performance, peuvent être considérées comme indispensables à la gestion d’un site, mais il reste nécessaire d’informer les personnes concernées, et de limiter la durée de conservation des données.
Le lien de désabonnement : visible dans chaque mail que vous envoyez.
Le stockage des preuves de consentement : vous devez pouvoir retrouver la trace du consentement obtenu par chaque individu et ce selon le principe de responsabilité exigé par le RGPD.
Comment Eulerian vous accompagne en 4 étapes clés
Nous veillons à ce que les internautes aient le droit et ainsi puissent s’opposer à tout moment au traitement de leurs données personnelles par Eulerian Technologies.
Nous vous fournissons un lien de désabonnement, mis à disposition sur notre interface pour que puissiez le diffuser ensuite sur votre site internet. En cas de besoin ou d’assistance sur ce type d’action, nos équipes Account Management sont joignables
L’outil « Privacy manager » vous permet de paramétrer la durée de conservation des cookies et des informations collectées par les cookies dans la limite de 13 mois à compter de la collecte (ou de la nouvelle collecte) du consentement de la personne.
Nous vous recommandons de respecter cette durée de conservation limitée des données afin de rappeler régulièrement à vos clients l’existence de cookies et de respecter, le cas échéant, leur droit d’opposition au suivi ou le droit au retrait de leur consentement.
Minimiser vos données « inutiles » ou « périmées » en effaçant ce dont vous n’avez plus besoin.
Un des impacts du RGPD auprès des entreprises est de se donner une nouvelle philosophie de la data, en rationalisant leur collecte et leur traitement. Ainsi, nous vous recommandons de ne pas garder les contacts inactifs ou désabonnés car ce sont des données que vous n’allez plus utiliser.
Il revient à chaque entreprise de désigner un responsable de la protection des renseignements personnels.
Pour le contacter, c’est possible à l’adresse mail : dpo@eulerian.com