La protection des renseignements personnels : un sujet d’actualité !

Saviez-vous que plusieurs lois et règlementations s’appliquent aux entreprises du secteur privé et que des exigences de sécurisation de votre site Web et des données personnelles qui y sont collectées doivent être respectées?

Ainsi, la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) fédérale vise la collecte, l’utilisation ou la communication de renseignements personnels dans le cadre d’une activité commerciale.

Plusieurs provinces, dont le Québec, ont adopté des lois essentiellement similaires à la loi fédérale sur la protection de la vie privée. Par contre, la LPRPDE continue de s’appliquer à toute activité inter-provinciale ou internationale des organisations visée par la Loi ainsi qu’aux organisations réglementées par le gouvernement fédéral telles que les banques, les sociétés de télécommunications et les entreprises de transport.

Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé a pour objet d’établir des règles particulières à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise.

Un renseignement personnel est qualifié par toute information/donnée qui concerne une personne physique et permet de l’identifier.La Loi s’applique à ces renseignements personnels quelle que soit la nature de leur support et de la forme sous laquelle ils sont accessibles: écrite, graphique, sonore, visuelle, informatisée ou autre.

Quelques-unes des responsabilités énoncées dans la Loi sur la protection des renseignements personnels dans le secteur privé :

• Toute personne qui exploite une entreprise doit prendre les mesures de sécurité raisonnables propres à assurer la protection des renseignements personnels collectés, utilisés, communiqués, conservés ou détruits (article 10).
• Toute personne qui exploite une entreprise doit veiller à ce que les dossiers qu’elle détient sur autrui soient à jour et exacts au moment où elle les utilise pour prendre une décision relative à la personne concernée (article 11).
• L’utilisation des renseignements n’est permise qu’avec le consentement de la personne concernée (article 12).
• Le consentement à la collecte, à la communication ou à l’utilisation d’un renseignement personnel doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Ce consentement ne vaut que pour la durée nécessaire à la réalisation des fins pour lesquelles il a été demandé (article 14).

Qu’est-ce que ça veut dire pour votre entreprise et que devriez-vous faire ?

Voyez-y plus clair en répondant à quelques questions pour vous aider à déterminer les actions à entreprendre touchant la sécurisation de votre site Web et le consentement des personnes concernées :

1. Votre site Web est-il sécurisé ?

1.1 Assurez-vous d’avoir un certificat de sécurité SSL valide 

C’est grâce à ce certificat que les données pourront être cryptées entre votre serveur Web et vos visiteurs.

1.2 Votre adresse de site Web (URL) devrait s’afficher avec HTTPS 

Il est aujourd’hui essentiel d’avoir un « s » à https:// dans l’adresse Web de votre site si vous voulez maintenir une crédibilité envers vos visiteurs et si vous voulez que les navigateurs et Google vous reconnaissent comme étant « sécuritaires ».  Ce point est suffisamment important pour que Google décide qu’avec la sortie de Chrome 68, effectuée en juillet 2018, tout site n’utilisant pas le protocole sécurisé HTTPS sera identifié comme étant non sécuritaire.

1.3 Assurez-vous que toutes les « ressources » (fichiers CSS, JavaScript, images et autres médias) utilisées sur vos différentes pages de votre site soient appelées via un lien HTTPS.

Cela fera en sorte que chaque page sera officiellement sécurisée. Le fait de simplement activer un certificat SSL sur votre site n’est donc pas suffisant.

Si vous utilisez WordPress, n’oubliez pas de changer tous les liens vers vos ressources manuellement dans la base de données et n’oubliez pas de faire une copie de sauvegarde.

1.4 Assurez-vous que votre navigateur Web est à jour

Assurez-vous que votre navigateur Web soit maintenu à jour et que les correctifs de sécurité soient régulièrement appliqués. Ceci permet d’éviter des brèches de sécurité permettant d’exposer vos données personnelles ou celles de vos clients à des cybercriminels.

2. Est-ce que le contenu de votre site Web respecte les requis des lois et règlementations sur la vie privée en vigueur ?

2.1 Déclaration, énoncé ou avis de confidentialité

Créez ou ajustez votre déclaration de confidentialité : celle-ci doit indiquer quelles données personnelles sont recueillies et comment l’entreprise les utilise.  Elle doit informer les visiteurs du site Web de vos pratiques concernant la collecte, l’utilisation et la divulgation des renseignements recueillis.

2.2 Communication de votre déclaration de confidentialité

Notifiez vos clients par courriel de la publication ou de nouvelles versions de votre déclaration de confidentialité. De plus, assurez-vous que celle-ci est bien visible et facilement accessible sur le site Web ainsi que dans tous les formulaires de collecte de données, par exemple les formulaires de contact.

2.3 Consentement clair et explicite sur les formulaires de collecte de renseignements

Assurez-vous d’obtenir un consentement explicite dans vos formulaires de collecte de données. Le processus de consentement doit être simple, distinct des conditions générales et les demandes de consentement doivent être écrites dans un langage clair et concis. Le formulaire doit également informer les individus concernant les organisations et tierces parties qui se serviront de leur consentement.

Connaissez-vous bien la provenance de vos contacts et comment se sont-ils retrouvés dans vos listes de distribution marketing ? Vous devriez être en mesure de :

• Connaitre et conserver la trace et la source de provenance de vos contacts dans un registre et de savoir de quel endroit géographique proviennent vos contacts.
• Maintenir un registre des individus ou des entreprises ayant demandé à ne pas être contactées ou à être retirées de vos listes de distribution.
• Pouvoir expliquer comment le consentement des contacts a été obtenu pour vos listes de distribution (courriels, papier, autre).
• Démontrer que les contacts de personnes collectés par vos formulaires Web ont consenti à l’utilisation de leurs données personnelles de façon claire et explicite.
• Démontrer que vous avez pris en charge de façon adéquate les demandes d’accès ou de retraits de données personnelles par une personne concernée.
• Démontrer le fait que vous respectez les requis de lois et règlements s’appliquant à votre entreprise, notamment le RDGP si vous faite affaires avec l’Union européenne ou si vous devez traiter des données de résidents de l’Union européenne.

Restez à l’affût de nos prochains sujets touchants la protection des renseignements personnels et de la vie privée en collaboration avec Kereon, spécialiste en sécurité de l’information !

Vous avez des questions sur les impacts potentiels sur votre entreprise ?

Nous pouvons vous aider !

Pour des changements au contenu de votre site Web ou des besoins en marketing, contactez Duo – Lettreur Nord-Sud.

Pour vos besoins en conformité aux lois et règlements, en sécurité de l’information et pour la sensibilisation des employés, contactez-nous à :  [email protected] par téléphone au  514 418-2550 ou visitez le site Web de Kereon.

Documents de références :

La Loi sur la protection des renseignements personnels dans le secteur privé au Québec

La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) du Canada

Gouvernement du Canada : Trousse d’outils en matière de vie privée à l’intention des entreprises

Union européenne : Règlement Général sur la Protection des Données