Entre Le RGPD (Règlement Général sur la Protection des Données) en Europe, la loi-64 au Québec et la loi C-28 au Canada, il peut être difficile pour les PME de se retrouver. Les lois concernant la protection des données privées sont-elles les mêmes si on fait des affaires au Québec et au Canada? Au Québec et en Europe? Y a-t-il des délais après lesquels une organisation doit supprimer les renseignements personnels de ses clients?
Dans cet article, nous ferons la lumière sur les règles auxquelles les petites entreprises doivent se soumettre en termes de droit à l’oubli et d’hébergement de données à l’étranger. Nous rappelons que le contenu de ce texte vise à fournir des informations de nature informative et ne constitue en aucun cas un avis ou une opinion juridique. En cas de doute, veuillez s’il-vous-plaît vous référer à un professionnel.
Le droit à l’oubli, droit à l’effacement ou droit à la désindexation: quand dois-je supprimer les renseignements d’un client?
Le concept de droit à l’oubli est d’abord apparu avec le RGPD. En Europe, le terme de droit à l’oubli a pris la forme de droit à l’effacement, tandis qu’au Québec, nous avons nommé ce concept le droit à la désindexation.
En quoi consiste donc le fameux droit à l’oubli? En Europe, le droit à l’effacement stipule que, sous certaines conditions, les utilisateurs peuvent demander à ce que les données personnelles qu’une entreprise a sur eux soient effacées.
Par exemple, la loi dit que si les renseignements personnels du client ne sont plus nécessaires pour l’organisation, c’est-à-dire que l’entreprise n’en a plus besoin pour effectuer son mandat, l’entreprise est dans l’obligation de supprimer les renseignements personnels de la personne quand celle-ci le demande.
La même obligation s’applique si un client demande à ce qu’on efface ses données parce que son consentement a été demandé de manière illicite. D’où l’importance de toujours s’assurer d’obtenir le consentement de vos clients de manière appropriée.
Pour vous assurer que votre demande de consentement respecte les lois, nous avons créé une liste point par point des bonnes mesures à adopter pour faire du marketing numérique dans notre article Protection de la vie privée et des données clients: petit guide pour PME.
Ainsi, sous certaines conditions, les utilisateurs ont le droit de demander qu’une entreprise efface leurs données et, si les critères sont remplis, l’entreprise est obligée de se plier à la demande.
Le droit à l’indexation au Québec : en quoi ça consiste?
Au Québec, les droits diffèrent un peu. Puisque la loi-64 parle d’un droit à la désindexation, un client peut demander (et ce dans certaines situations précises) à ce que les liens qui mènent à ses données soient désindexés.
Par exemple, si l’utilisateur pense que la diffusion de ses données a été faite de manière illégale, nuit à sa vie privée ou porte préjudice à sa vie privée, il est en droit d’exercer son droit à la désindexation. Si, par exemple, un client qui a une page profil sur votre site web souhaite supprimer celle-ci et que les critères prévus par la loi sont remplis, vous seriez obligés de répondre à la loi-64 et d’effacer les données de la personne.
Vous vous demandez sûrement quand est-ce qu’on considère que les critères ne sont pas remplis? C’est simple : c’est lorsque l’entreprise est obligée de garder les données à des fins précises.
Prenons un autre exemple. Vous avez une boutique en ligne et un client vous demande de supprimer ses données. Or, en tant qu’entreprise vous devez garder certaines informations pour remplir des obligations de garantie fiscales ou juridiques. Dans ce cas, vous seriez légalement en droit de conserver les données. En effet, puisque celles-ci sont nécessaires afin que vous puissiez remplir vos obligations légales, la loi-64 vous donne le droit de conserver les renseignements du client.
Maintenant, à partir du moment où les données ne servent pas d’obligations légales, vous devez les supprimer. En effet, le RGPD et la loi-64 stipulent que les données doivent être conservées pour la durée pendant laquelle celles-ci sont nécessaires. Lorsque les informations privées de vos clients ne sont plus utiles, il faut les supprimer.
Comment supprimer les données des clients?
Il existe deux alternatives à la suppression complète des données. La première est celle de la dépersonnalisation. Ceci consiste à enlever tout renseignement qui permet d’identifier directement la personne, comme le nom, le prénom ou l’adresse, mais à conserver certaines données qui peuvent servir à des fins de statistiques, comme l’âge ou le sexe.
La deuxième alternative, soit celle de l’anonymisation, consiste à enlever toutes caractéristiques qui permettent d’identifier la personne de manière directe ou indirecte. Idéalement, si la technologie le permet, on supprime les données de manière à ce qu’il soit impossible de réidentifier la personne de quelque façon que ce soit.
Protection et circulation des données hébergées : quelles mesures de sécurité dois-je mettre en place?
D’abord, les lois ne prévoient pas de mesures de sécurité précises pour protéger les données privées. En effet, les technologies évoluent constamment et il serait difficile d’établir des mesures de sécurité précises dans la loi. Aussi, les mesures mises en place dépendent de plusieurs choses :
- La quantité d’informations qu’une entreprise a;
- La nature des données collectées (données sensibles, non sensibles);
- L’industrie dans laquelle l’organisation œuvre;
- La quantité de personnes avec qui les données sont partagées;
- La grosseur de l’entreprise.
C’est donc du cas par cas. En fonction de ces différents aspects, l’entreprise devra mettre des mesures de sécurité adaptées.
Circulation de données : que dois-je savoir si j’héberge les données privées chez un tiers?
Rappelons-le : il est très rare qu’une entreprise vende les données privées de ses utilisateurs. Les situations les plus fréquentes en termes de circulation des données sont quand:
- Une entreprise passe par un tiers pour emmagasiner les renseignements de ses clients;
- Lorsqu’une entreprise transfère les données de ses clients à l’extérieur de la province.
Dans les deux cas, le RGPD et la loi-64 stipulent que l’entreprise est obligée d’informer l’utilisateur :
- Quant aux organisations (parties tierces) avec lesquelles ses informations personnelles seront partagées;
- Que les données pourraient être transférées à l’extérieur de la province.
Si vous avez par exemple une boutique en ligne et que vous passez par Stripe pour faire le traitement des paiements en ligne, vous êtes dans l’obligation d’en avertir les consommateurs en le mentionnant dans votre politique de confidentialité. D’où l’importance de personnaliser votre politique de confidentialité.
Pour connaître les éléments essentiels à inclure dans votre politique de confidentialité, consultez l’article Protection de la vie privée et des données clients: petit guide pour PME.
Données hébergées à l’extérieur de la province : ce qu’il faut savoir
Lorsque les données sont hébergées hors de la province, la loi-64 prévoit deux choses.
Dans un premier temps, l’utilisateur doit savoir que ses renseignements personnels sortiront de la province. Dans un deuxième temps, une évaluation doit être faite quant aux mesures de sécurité mises en place pour le transfert de données.
En effet, lorsque vous hébergez les renseignements personnels de vos clients à l’extérieur du Québec, il est de votre responsabilité, en tant que PME, d’analyser où les données seront envoyées et si celles-ci seront protégées adéquatement. Par protection adéquate, la loi-64 sous-entend que les mesures de sécurité mises en place pour protéger les données doivent être semblables à celles qui existent au Québec.
Aussi, vous devez vous assurer d’avoir une entente avec l’entité en question chez qui les données privées de vos clients sont hébergées. Pour être certains que l’entreprise avec qui vous faites affaires se plie aux lois en place, vous pouvez demander de voir leur « data processing agreement ». Ce document contient toutes les informations que requièrent les lois pour les transferts extra-provinciaux.
La plupart des grosses entreprises ont un département juridique qui produit et met à jour son « data processing agreement ». Si vous utilisez par exemple Active Campaign, vous pouvez trouver leur document en tapant www.activecampaign.com/legal. L’important est de vous renseigner quant aux mesures prises par l’entreprise pour protéger les données des individus.
Petit guide pour PME au Québec
La protection des données et de la vie privée n’est pas un mince dossier. Plusieurs lois existent, chacune d’entre elles comprennent des variations qui compliquent les activités de marketing en ligne.
Dans notre troisième article Protection de la vie privée et des données clients: petit guide pour PME, vous trouverez une liste des mesures à mettre en place dans votre PME pour faire du marketing responsable et éviter des sanctions.
Et pour lire ou relire notre 1er article de la série, cliquez ici.
