RGPD, loi-64, loi anti-pourriel… la protection de la vie privée et des données clients peut rapidement devenir un casse-tête pour les entrepreneurs québécois et d’ailleurs.
Voici un petit guide dédié aux PME qui font du marketing en ligne et dans lequel vous trouverez les grandes lignes des règles à respecter pour continuer à exercer vos activités, et ce, tout en répondant aux lois sur la protection de la vie privée et des données clients.
Nous rappelons que le contenu de ce texte vise à fournir des informations de nature informative et ne constitue en aucun cas un avis ou une opinion juridique. En cas de doute, veuillez s’il-vous-plaît vous référer à un professionnel.
Pour lire les 2 premiers textes de notre série sur la protection de la vie privée et des données clients, cliquez ici:
Collecte de données : quelles sont mes obligations en tant qu’entreprise?
Aujourd’hui, toute entreprise qui a un site web a l’obligation d’informer le visiteur du fait que des données sont collectées quand celui-ci navigue sur le site. Le RGPD, la loi-64 et la loi C-28 ont tous développé une liste de critères précis auxquels les entreprises doivent répondre. Par exemple, une PME est obligée de divulguer son identité, de dire au visiteur que des témoins sont utilisés et avec qui les données seront partagées. Ceci ne sont que des exemples de critères parmi tant d’autres.
Ça peut sembler simple à première vue, mais les obligations à respecter sont nombreuses. Heureusement, vous retrouvez la liste des critères directement dans les textes de loi. Vous trouverez les références vers ces liens à la fin de ce document. Dans le cas de la loi C-28, vous pourrez trouver l’information sur le site du CRTC, dans la foire aux questions.
Vous faites des affaires avec des partenaires à l’extérieur du Québec? Alors tenez-vous bien, car les critères changeront et il vous faudra faire l’exercice de vous interroger sur quelles lois pourraient s’appliquer à vous. En effet, dépendamment de votre clientèle et d’où celle-ci est située, les obligations diffèrent.
Marketing par email et SMS: quelles sont mes obligations?
Première étape: demander le consentement
Pour tous les messages électroniques commerciaux, tels que les infolettres ou les SMS, vous êtes obligés de demander le consentement de l’utilisateur avant de lui envoyer des communications. Non seulement la demande de consentement doit être claire et détaillée, mais elle doit également décrire clairement les termes du consentement, afin que la personne sache à quoi elle consent exactement.
Le consentement doit notamment communiquer de manière explicite la raison pour laquelle vous souhaitez obtenir l’adresse courriel de l’utilisateur. Quel genre de message la personne peut s’attendre à recevoir. À quelle fréquence… D’où l’importance d’expliquer clairement à vos prospects les bonnes raisons pour lesquelles ceux-ci devraient s’inscrire à votre infolettre.
Vous pouvez leur dire par exemple qu’ils obtiendront des rabais, découvriront les tendances en marketing numérique qui leur permettront d’être des visionnaires, etc. L’important est que le client sache à quoi il peut s’attendre en s’inscrivant à votre infolettre ou votre campagne SMS.
Deuxième étape: identifier l’expéditeur
En second lieu, la personne doit connaître l’identité de l’expéditeur. Au Canada, la loi canadienne anti-pourriel (LCAP) stipule que tout envoi électronique commercial (email et SMS) doit contenir le nom, l’adresse et le numéro de téléphone de l’expéditeur.
S’il n’est pas possible de mettre toutes les informations de l’expéditeur directement dans le SMS, la LCPA stipule que l’entreprise doit ajouter un lien à la fin du message sur lequel le destinataire peut cliquer pour avoir accès à toutes les informations de l’expéditeur. Le gouvernement du Canada a d’ailleurs produit des exemples de SMS, afin de guider les entreprises. Vous pouvez retrouver ces modèles sur ce site du CRTC. La référence se trouve à la dernière page.
Pour les emails, l’expéditeur de l’email a l’obligation de s’identifier et les informations à inclure sont: le nom de l’expéditeur, son adresse et son numéro de téléphone. S’il n’y a pas de place pour ajouter ces informations dans le bas du formulaire de contact (le footer), la loi propose des alternatives, comme par exemple, mettre les informations dans le haut du formulaire.
Votre consentement doit être opt-in
La troisième chose essentielle à retenir en ce qui a trait au consentement est que la personne doit se sentir libre de donner son consentement. Vous ne pouvez pas, en tant qu’entreprise, du moins au Canada, pré-cocher une case qui donne l’option au prospect de se désabonner de votre infolettre. En effet, ceci est un mécanisme d’ opt-out.
Au Canada, la loi anti-pourriel stipule que le consentement doit être demandé selon le mécanisme d’opt-in. Ceci veut dire que c’est à la personne de donner son consentement si celle-ci souhaite s’inscrire à votre liste de contacts. En d’autres mots, ce n’est pas à la personne de dire qu’elle souhaite se désinscrire, mais plutôt à l’entreprise de lui donner l’option de s’inscrire.
Attention, même si on doit obtenir le consentement du prospect, il n’est pas obligatoire d’avoir une case du genre « Je souhaite m’inscrire à votre infolettre ». En effet, le simple fait que la personne prenne le temps de remplir les champs pour donner ses informations est considéré comme un consentement.
Obtenir les consentements séparément
Finalement, si vous demandez plusieurs consentements dans un même formulaire, le consentement spécifique à l’envoi de messages électroniques commerciaux doit être séparé des autres consentements.
Par exemple, quand un client fait une transaction sur votre site web, il consent aux conditions d’utilisation, n’est-ce pas? Souvent, à même ce consentement, les entreprises ajoutent une clause stipulant qu’en acceptant ces conditions d’utilisation, le client consent aussi à recevoir l’infolettre. Ça, c’est illégal.
Vous devez donner la possibilité à la personne de donner des consentements séparément. Celle-ci doit pouvoir consentir aux conditions d’utilisation pour la transaction, sans avoir à accepter de recevoir votre infolettre. Voici un exemple qui provient du site du CRTC:
Y a-t-il une durée rattachée au consentement?
Selon la loi C-28, lorsque le consentement est explicite, celui-ci est bon à vie. Or, lorsque le consentement est implicite, la loi prévoit une durée pendant laquelle le consentement est viable. Rappelons qu’un consentement explicite découle d’une action proactive: par exemple, lorsqu’une personne remplit un formulaire ou met volontairement ses informations personnelles.
Dans le cas contraire, un consentement est considéré implicite. C’est le cas notamment lorsqu’un client, qui a un profil sur votre site web, fait une transaction pour acheter un de vos produits. Celui-ci consent à donner ses données privées, parce que celles-ci sont nécessaires à la transaction. Le consentement est donc implicite.
Le double opt-in dans mon consentement est-il obligatoire?
Le double opt-in, qui consiste à demander deux fois le consentement, n’est pas obligatoire. Or, plus vous vous protégez, mieux c’est. Non seulement le procédé de double opt-in vous assure une double sécurité, mais il vous permet aussi d’avoir une liste propre et d’ainsi éviter de spammer des gens dont l’email aurait atterri dans votre liste par erreur.
Les cases à cocher dans les formulaires sont-elles obligatoires?
Les cases à cocher sont intéressantes lorsque vous souhaitez demander plusieurs consentements dans le même formulaire. Or, aucune loi stipule que les cases sont obligatoires dans les formulaires. Si votre formulaire contient une phrase explicite qui dit clairement quelles sont les données récoltées et à quoi celles-ci serviront, vous êtes en règle. Une simple phrase du genre « en soumettant vos informations, vous consentez à recevoir… » suffit.
Tant que l’utilisateur sache à quoi il consent.
Les conditions d’utilisation, c’est quoi et est-ce que c’est obligatoire?
Ce n’est pas obligatoire d’avoir les conditions d’utilisation sur son site web, mais c’est recommandé.
Les conditions d’utilisation, c’est quoi?
Ce sont les règles de votre site web et ce à quoi le visiteur consent en naviguant sur celui-ci. C’est en quelque sorte un contrat qui explique en détail ce que le visiteur a le droit de faire ou ne pas faire sur votre site, à qui appartient la propriété intellectuelle, quels sont les recours en cas de problème, etc.
Les pop-ups c’est quoi et est-ce obligatoire?
Le pop-ups, c’est lorsque vous visitez un site web et qu’une bannière apparaît dès votre entrée sur le site pour vous demander si vous acceptez les témoins.
Une entreprise est tenue, par la loi, de demander à la personne qui visite son site web si celle-ci accepte les témoins. Et le meilleur moyen de respecter cette loi est d’ajouter une bannière.
Aussi, toute entreprise est dans l’obligation d’avoir une politique de confidentialité qui explique que du profilage est fait grâce à des témoins (cookies). La politique de confidentialité doit aussi inclure les instructions pour se désabonner aux témoins. C’est important de donner la possibilité à l’utilisateur de se désabonner des témoins s’il le souhaite.
Bref, l’idéal, même si ce n’est pas obligatoire au Québec, est de donner l’option au visiteur d’accepter ou non les témoins, et le meilleur moyen pour ce faire est la bannière.
Aussi, si votre entreprise est au Québec, mais que vous faites des affaires avec des clients étrangers, vous devez revoir vos obligations. En effet, du moment où vous avez des visiteurs d’ailleurs, les lois de leur pays s’appliquent. Si une personne d’Europe visite votre site web, par exemple, les règles de la loi RGPD s’appliquent, puisque cette loi concerne les données de résidents européens.
Rassurez-vous: même si les lois sont extraterritoriales, des ententes existent entre les différents pays. Il demeure toutefois très important pour une entreprise de vérifier quelles lois pourraient s’appliquer à elle en prenant en compte la localisation de sa clientèle, ainsi que le public qu’elle attire sur son site web.
La politique de confidentialité: est-elle obligatoire?
C’est le RGPD et la loi-64 qui obligent toutes les entreprises à avoir une politique de confidentialité sur leur site web. En effet, toute organisation est obligée d’avoir une politique de vie privée ou de confidentialité et celle-ci doit être visible en tout temps.
Habituellement, on retrouve ce document dans les onglets principaux du site web, de manière à ce que les visiteurs y aient accès facilement. La politique de confidentialité doit obligatoirement contenir les informations suivantes:
- Quelles données sont collectées;
- Combien de temps les données sont conservées;
- À quelles fins les données sont collectées;
- Avec qui les données sont partagées;
- Quels sont les droits des visiteurs;
- Quelles sont les mesures mises en place pour protéger les renseignements personnels;
- Etc.
L’idéal est de faire rédiger votre politique de confidentialité par un expert, de façon à ce que celle-ci soit personnalisée et qu’elle reflète les pratiques de votre entreprise à l’interne.
L’essentiel à retenir est que les gens veulent de la transparence. Il est donc essentiel d’avoir une bonne politique de confidentialité qui soit claire.
Dans mon entreprise, qui doit être responsable de la protection des données?
Même si le titre change selon la loi, le RGPD et la loi-64 prévoient la nomination d’un responsable de la protection des données.
La loi-64, contrairement au RGPD, prévoit que le responsable à la protection des informations privées est de facto la personne qui a la plus haute fonction dans l’entreprise. Selon la loi, cette personne peut toutefois déléguer la responsabilité à un employé si elle le souhaite.
Dans votre organisation, qui devrait avoir accès aux données clients?
Retenez une chose : moins les données sont partagées, mieux c’est.
Selon le RGPD, la loi-64 et la loi C-28, il n’y a pas de règle qui stipule quoi que ce soit à ce sujet. Si la personne en charge de l’organisation souhaite partager les informations avec ses employés, ça lui appartient. Or, tous n’ont pas besoin d’avoir accès aux données privées des clients, encore moins quand ce sont des données sensibles, comme le numéro d’assurance social ou de passeport.
Il est donc fortement recommandé de limiter le partage des données à l’interne et de divulguer celles-ci seulement avec les employés qui en ont réellement besoin pour exécuter leurs tâches.
Quand dois-je informer les autorités d’un incident?
Selon la gravité de l’incident, le RGPD et la loi-64 prévoient différentes marches à suivre lorsqu’une faille survient. D’abord, l’entreprise devrait appeler un avocat. Si l’incident remplit les critères spécifiés par les lois, l’entreprise doit appeler la Commission d’Accès à l’Information (CAI) ou l’Office de la protection de la vie privée au Québec. En Europe, chaque pays a sa propre autorité.
Vous vous demandez peut-être quelle entité contacter si votre entreprise est située au Québec, mais que vous faites affaire avec des clients européens? Dans ces cas-là, regardez d’où viennent les clients dont les données ont été impactées et contactez les autorités de ce pays, ainsi que toutes les juridictions européennes où ces clients sont actifs.
Procédures à mettre en place en cas d’incident
Toutes les lois, que ce soit le RGPD, la loi-64 ou la loi C-28 obligent les entreprises à avoir des procédés en place à l’interne en cas d’incident. Par exemple, toute entreprise doit déterminer à l’interne:
- Le département contacter en premier en cas d’incident;
- À quel moment il faut appeler les assurances;
- Quelles sont les mesures mises en place pour limiter les conséquences de l’incident.
L’entreprise est également responsable de divulguer ces informations à son équipe, afin que tous les employés connaissent le processus à l’interne en cas d’incident. Aussi, ces politiques doivent être en conformité avec les lois en vigueur.
Pour des incidents ou des failles de sécurité, vous pouvez calquer la procédure de la loi-64. La procédure mentionne clairement dans quels cas les autorités doivent être contactées. Vous pouvez également trouver des informations dans le texte du projet de règlement sur les incidents de confidentialité. Voir les références en annexe pour plus d’informations à ce sujet.
Authentifier l’identité d’un client: procédures à mettre en place
Il est important de toujours confirmer l’identité de la personne qui vous contacte avant de lui partager des informations privées. Par exemple, quand un client vous appelle et vous demande de lui communiquer les informations que vous avez sur lui, vous devez avoir une procédure précise qui permet d’authentifier son identité. Au Québec et en Europe, la loi-64 et le RGPD ne prévoient pas de règle précise quant à cette procédure. Il en va de chaque entreprise d’établir sa propre marche à suivre.
En Europe toutefois, le RGPD stipule qu’il faut avoir en place un registre du traitement des données. Ceci consiste en un document dans lequel sont décrits tous les différents traitements des données. C’est-à-dire un document qui détaille dans quel contexte chaque donnée est traitée, avec qui celle-ci est partagée et comment elle est utilisée.
Les autorités en France ont notamment un gabarit pré-fait sur leur site web qui permet aux entreprises de personnaliser leur procédure selon le type de données qu’elles collectent.
Même si la CAI a dit qu’elle développerait des outils semblables pour aider les entrepreneurs québécois, ce type de document n’existe malheureusement pas encore au Québec. Toutefois, nous verrons probablement des améliorations d’ici l’an prochain, puisque la majorité des obligations liées à la loi-64 entreront en vigueur seulement en 2023. C’est un dossier à suivre…
Si une personne demande de communiquer les informations que j’ai sur elle, comment dois-je procéder?
D’abord, que ce soit dans le RGPD ou la loi-64, les 2 lois stipulent que les utilisateurs ont le droit de connaître les informations qu’une entreprise a sur eux. En tant qu’organisation, vous devez informer l’utilisateur de ce droit dans votre politique de confidentialité.
En second lieu, l’entreprise doit répondre à la requête de l’utilisateur et transmettre les informations demandées, et ce, dans les délais prescrits par la loi. Tel qu’abordé plus haut, l’organisation doit s’assurer que la personne qui fait la requête est bien celle qui a le droit de recevoir les informations.
Destruction des données : jusqu’à quand puis-je conserver les données?
Les lois ne prévoient pas de délai de destruction des données collectées. Les données peuvent être gardées aussi longtemps que vous en avez besoin pour exécuter votre travail. Si vous avez par exemple un commerce en ligne et que vous vendez des chandails, vous récolterez fort probablement des informations comme le prénom, l’email et l’adresse du domicile du client. Vous pourriez avoir besoin de ces informations avant, pendant et après l’expédition, afin d’assurer un bon service. Il est alors légitime de conserver les données qui sont essentielles au bon déroulement de vos opérations.
Sauf exceptions – comme lorsque vous êtes tenus de conserver les informations pour respecter certaines lois – à partir du moment où vous n’avez plus besoin de ces renseignements, vous avez la responsabilité de les détruire.
Les mesures à respecter, dans les grandes lignes
Les différentes lois sur la protection des données privées peuvent sembler être un casse-tête quand on est une entreprise qui fait des affaires ailleurs qu’au Québec. Mais l’important à retenir est que les gens veulent avoir la liberté de choisir de donner leurs informations ou non.
Que ce soit pour l’inscription à une infolettre ou pour les données collectées sur votre site web, ils veulent pouvoir donner leur consentement de manière consciente et éclairée. Assurez-vous donc de demander le consentement des gens avant de faire quoi que ce soit.
Sachez que plus de 80% des plaintes qui sont portées concernent le consentement, car les gens reçoivent des emails auxquels ils n’ont jamais consenti. Ayez de bonnes pratiques de marketing et envoyez des emails ou des SMS aux personnes qui veulent vraiment recevoir vos messages. C’est ainsi que vous éviterez les amandes.
Si vous respectez ces règles de base, tout devrait bien se passer. Quand les gens savent à quoi s’attendre, la grande majorité d’entre eux donnent leurs informations personnelles sans problème. Soyez transparents, respectez les décisions des consommateurs et vous pourrez continuer à faire votre marketing numérique comme vous l’avez toujours fait.
Annexe
Document sur la Loi-64 (version administrative dans laquelle les modifications sont ajoutées au fur et à mesure.): https://www.cai.gouv.qc.ca/documents/CAI_Loi_prive_version_administrative.pdf
Document sur RGPD: https://www.cnil.fr/fr/reglement-europeen-protection-donnees
Foire aux questions CRTC: https://crtc.gc.ca/fra/com500/faq500.htm
Site du CRTC: https://crtc.gc.ca/fra/archive/2012/2012-548.htm
Document qui explique en détail quelle autorité contacter en Europe lorsqu’un incident survient et que vos clients sont à l’extérieur du Canada: https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp244_en_40857.pdf
Procédures à mettre en place en cas d’incident: https://www.cai.gouv.qc.ca/incident-de-confidentialite-impliquant-des-renseignements-personnels/
