Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Infolettre Therrien Couture Joli-Coeur

Restez informé de nos articles les plus récents, nos activités de formation et offres d'emploi.

Écrivez-nous

En remplissant ce formulaire, vous permettez à notre équipe de saisir pleinement vos besoins et de vous offrir le service le plus adapté à vos attentes. Merci de votre confiance, nous nous engageons à vous fournir un suivi dans les plus brefs délais.

Technologie et gouvernance de l’information

Politique de renseignements personnels : comment rédiger la vôtre?

  • Geneviève Gagné
Par Geneviève Gagné Avocate
Nous y étions déjà et la tendance se poursuit : la protection des données personnelles est devenue un volet incontournable des activités commerciales.

Les entreprises québécoises, à l’instar de ce qui prévaut dans plusieurs pays, doivent lorsqu’elles recueillent des renseignements personnels se conformer à certaines obligations quant à leur collecte, leur utilisation et leur maintien de la sécurité. Des informations à ce sujet doivent également être fournies aux personnes sur lesquelles ces données sont recueillies, typiquement divulguées dans une politique de protection des renseignements personnels. Le nouveau projet de loi 64 du gouvernement québécois fait d’ailleurs de l’adoption d’une telle politique une obligation pour les entreprises du secteur privé.

Les renseignements personnels incluent tout ce qui concerne une personne et permet de l’identifier. Cette définition large s’applique ainsi aux coordonnées de vos fournisseurs, de vos clients, des adresses courriel de vos abonnés de votre infolettre ou des utilisateurs d’un compte sur votre site internet, etc.  Les lois en vigueur au Québec, ou celles qui pourraient s’appliquer à vous si vous faites affaires à l’international (ex. RGPD), exigent généralement de disposer d’un intérêt légitime ou d’obtenir le consentement d’une personne avant de recueillir des renseignements personnels sur elle. Également, vous devez entre autres :

  • Veillez à ce qu’ils soient exacts;
  • Les utiliser pour une fin qui soit permise (ex. traiter une commande, créer un compte d’usager, etc.);
  • Les conserver dans un lieu raisonnablement sécuritaire;
  • Les détruire une fois la fin de leur collecte accomplie, sauf obligation contraire prévue par une loi.

Si les données que vous recueillez peuvent servir à la géolocalisation ou le profilage des utilisateurs, des obligations additionnelles seront applicables en vertu du nouveau projet de loi 64.

Ce dernier renforce également le contrôle des personnes en ce qui concerne leurs données. Des droits tels l’accès et la rectification des renseignements personnels, au retrait du consentement à ce qu’ils soient communiqués ou utilisés, à être avisé si les renseignements sont transférés à l’extérieur du Québec, etc., s’installent ainsi en droit québécois. Mais le droit le plus important des personnes est probablement d’être informé de tout ce qui précède. C’est le rôle d’une politique de protection des renseignements personnels. Afin de préparer la vôtre, la première étape est donc de procéder à une évaluation de vos pratiques en la matière. La liste de questions suivantes, non exhaustive, vous servira de point de départ dans ce contexte :

  • Quel type de renseignements personnels recueillez-vous?
  • Comment sont-ils recueillis?
  • Sur quelle base légale (consentement exprès ou implicite de la personne, exécution d’un contrat, obligation légale, etc.)?
  • À quelle fin utilisez-vous ces renseignements (sollicitation commerciale, statistique de vente, gestion de compte-clients, etc.)?
  • Qui a accès à ces données à l’interne?
  • Où les renseignements personnels sont-ils conservés?
  • Sont-ils communiqués ou revendus à des tiers?
  • Quelles sont les mesures de sécurité en place pour assurer la protection et la confidentialité des données?
  • Quel est le procédé à l’interne pour permettre aux personnes d’exercer leurs droits?
  • Qui est la personne-ressource dans votre entreprise à laquelle les requêtes peuvent être adressées?

Les réponses à ces questions vous permettront d’implanter les mécanismes de conformité nécessaires et d’élaborer une politique de renseignements personnels qui soit adaptée à votre entreprise. En effet, comme chaque modèle d’affaires est unique, les politiques de renseignements personnels peuvent paraître semblables, mais chacune est unique. Nous vous recommandons d’ailleurs de vous adresser à un spécialiste pour sa rédaction. Cela permettra de vous assurer de couvrir les éléments qui s’appliquent à vous, faire les nuances nécessaires et aussi éviter d’importer erronément dans votre politique ce qui ne s’appliquerait qu’à un tiers, tel un compétiteur. Une bonne politique de protection des renseignements personnels devrait aussi limiter votre responsabilité, dans la mesure permise par la loi. Notre équipe en Technologie, propriété intellectuelle et communications peut vous accompagner en ce sens. 

Il est également à noter que le nouveau projet de loi 64 exigera également des entreprises qu’elles disposent à l’interne d’un responsable de la protection des données personnelles. À défaut de désignation expresse, c’est le plus haut dirigeant qui sera présumé en charge. Si vous faites affaire à l’international, vous aurez également à considérer les exigences supplémentaires du RGPD. En cette ère numérique où les renseignements personnels ont acquis une valeur économique intrinsèque, l’heure est dans tous les cas à la sensibilisation et à la gouvernance sur leur usage. 

1