Avec la venue de la loi 25, il est possible que vous ayez entendu tout et son contraire. Une nouvelle loi emporte toujours son lot de concept un peu flou. Avec les conséquences financières importantes de ne pas la respecter, il est normal de vouloir faire la part des choses. Pour vous aider, voici 10 mythes ou réalités :
Mythe #1
La personnalisation n’est plus permise
Réponse: Cet énoncé est faux.
Si vous désirez collecter des données pour des fins de personnalisation de vos communications, il s’agit de mentionner l’objectif au moment de la collecte ou dans la politique de confidentialité. Il nous apparaît tout à fait normal, par exemple, de saluer une personne avec son prénom lorsqu’on a recueilli ce dernier. Cela ne requiert pas de consentement particulier. La politique de confidentialité doit être ajustée pour décrire l’utilisation et le traitement des données.
Mythe #2
Les consentements de communication sont à recueillir à nouveau
Réponse: Cet énoncé est faux.
Les consentements recueillis par un abonnement sont toujours valables. Les consentements implicites définis par la Loi canadienne antipourriel (LCAP) sont aussi valables lorsqu’ils sont respectés. Cette loi prévoit également l’utilisation de consentements implicites. Les utilisations doivent aussi faire l’objet de la description dans la politique de confidentialité. Le but de la nouvelle Loi n’est pas d’empêcher la relation client mais la protection des renseignements personnels.
Lien vers l’article 14 de la Loi
Mythe #3
Je peux transférer les données vers des systèmes localisés aux États-Unis
Réponse: Cet énoncé est vrai, mais pas sans condition, car ce n’est pas un état équivalent.
Lorsque vous transférez les données hors Québec, vous devez informer les personnes de ce transfert et vous devez garantir le même niveau de protection des données. Si les données peuvent être accédées de quelque façon que ce soit, par exemple, par un gouvernement ou utilisées autrement, il y a des enjeux et vous êtes responsables des risques et des conséquences.
C’est pourquoi vous recommandons de conserver vos données au Québec.
NB : Facebook vient d’écoper d’une amende de 1,4 milliards en Europe pour ces transferts.
Lien vers l’article 111 (article 17) de la Loi
Mythe #4
Un gestionnaire de cookie ou de tracker est obligatoire
Réponse: Cet énoncé est en partie vrai.
Si vous désirez continuer à utiliser vos logiciels de tracking comme Google Analytics et autres marqueurs de visites qui ne sont pas anonymes et dans un cadre autre que commercial.
La Loi 25 exige que toute fonction permettant à une technologie d’identifier, de localiser ou d’effectuer un profilage d’une personne dont elle a recueilli des renseignements personnels doit être désactivée par défaut. L’organisation doit en informer cette personne et lui offrir des moyens d’activer ces fonctions, si possible.
Lien vers l’article 19 (article 65) de la Loi
Mythe #5
Le tracking des clics et des ouvertures de courriels ne sont pas visés par la Loi
Réponse: Cet énoncé est faux
Par défaut, le tracking doit être anonyme afin de respecter la Loi tant que vous n’avez pas obtenu le consentement. Il faut informer de la situation les personnes visées et leur offrir un moyen pour activer le tracking. Obtenez le consentement pour faire le tracking aussi de vos courriels car cette utilisation n’est pas implicite.
Mythe #6
Le consentement exprès est requis sur tout
Réponse: Cet énoncé est faux
Les consentements exprès (ou explicite) sont obligatoires pour une seule fin, soit l’utilisation des données sensibles.
Dans toutes les autres situations, le consentement doit être obtenu en termes simples et clairs pour chaque fin. En d’autres mots, les fins peuvent être énoncées dans une politique de confidentialité. De plus, la notion de consentement tacite ou implicite continue à exister selon certaines conditions.
Lien vers l’article 110 (article 12) de la Loi
Mythe #7
Toutes les données ont la même importance
Réponse: Cet énoncé est faux
Il faut classifier selon le type de données et considérer l’impact et le risque relatif à celles-ci.
Se faire voler la liste des noms et numéros de téléphone dans le bottin téléphonique (Perdre le bottin) n’a pas la même importance que de perdre les NAS et No de compte bancaire oumême l’information sur la santé d’une personne.
Lien vers l’article 103 (article 3.2) de la Loi
Mythe #8
La politique de confidentialité doit être acceptée à chaque modification
Réponse: Cet énoncé est faux
Vous devez communiquer les changements aux fins et utilisations. Seuls les changements de fins ayant un impact doivent faire l’objet d’un consentement. Par exemple, vous ne pourriez pas simplement changer la politique pour faire accepter un transfert de données vers un tiers comme Facebook , sans l’obtention d’un consentement, sauf si elle est dépersonnalisée. Cependant, une simple revue d’une explication pour la rendre plus claire ne doit pas être soumise à nouveau.
Lien vers l’article 107 (article 8.2) de la Loi
Mythe #9
Je peux utiliser les services en ligne d’une plateforme sans contrat
Réponse: Cet énoncé est faux
Si vous utilisez des systèmes qui cumulent des données personnelles, vous devez avoir un contrat écrit avec le tiers avec des engagements pour être conformes à la Loi. Ce contrat doit spécifier, entre autres, l’utilisation des données, leur confidentialité et la destruction.
Lien vers l’article 115 (article 18.3) de la Loi
Mythe #10
Nous devons tenir une évaluation de facteur de risques pour tous nos systèmes
Réponse: Cet énoncé est faux
Seulement pour les nouveaux systèmes à mettre en place ainsi que les systèmes lorsque les données sont logées à l’extérieur du Québec. Les autres systèmes en place ne sont soumis à cette exigence.