La loi 25 : terminée la déresponsabilisation !

Avez-vous pris action et assumé vos responsabilités liées à la loi 25 depuis septembre 2022 ?

Nommer votre responsable PRP, de la protection des renseignements personnels ? Ajouter ses coordonnées sur votre site et dans votre politique de confidentialité ? Former le comité RP (renseignements personnels) ? Commencer à tenir un registre des incidents de confidentialité et aviser le CAI (Commission d’accès à l’information) et les clients au besoin ?

Considérez-vous comme salués, concessionnaires (fournisseurs et constructeurs aussi) !

Si vous n’avez pas répondu « pfff, ben oui Dom, absolument, voyons lol ! » à ces 4 simples questions, je suis inquiet pour vous et pas seulement parce qu’il y a maintenant des amendes de 10 et de 25 M $ ! Sérieusement, comment vous préparerez-vous pour les 13 obligations beaucoup plus complexes de septembre 2023 ?

Oui, je sais, la mise en application se fait graduellement sur 3 ans, de 2022 à 2024. Probablement une des raisons de l’inaction générale. Pour 2024, il n’y a qu’une obligation, 2022 était un « réchauffement »,  mais 2023, c’est le 80 % si je peux simplifier avec mon vieil ami Pareto.

Voyons donc ensemble ce que nous devons faire pour respecter la loi, respecter les renseignements personnels (et nos clients) et venir qu’à développer une saine gouvernance des données.

Voici, sans ordre particulier, un résumé de vos 13 nouvelles obligations :

  1. Détruire les renseignements personnels lorsque les fins auxquelles ils ont été recueillis sont accomplies.

2. Aviser la CAI au plus tard 60 jours avant la mise en service de toute technique biométrique permettant de vérifier ou de confirmer l’identité d’une personne, employés ou clients.

3. Tout consentement obtenu doit être manifeste, libre, éclairé et donné à des fins spécifiques.

4. Avant de communiquer à l’extérieur du Québec un renseignement personnel, une organisation devra procéder à une Évaluation des Facteurs relatifs à la Vie Privée.

5. Procéder à une Évaluation des facteurs relatifs à la vie privée (ÉFVP) pour tout projet d’acquisition, de développement et de refonte de système d’information/électronique impliquant des renseignements personnels.

6. Les personnes pourront vous demander de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements.

7. L’obligation de communiquer, dans un format technologique structuré et couramment utilisé, les renseignements personnels recueillis des clients, à leur demande.

8. Par défaut, les paramètres de confidentialité du produit/service technologique offert doivent avoir le plus haut degré de confidentialité, sans aucune intervention de la personne concernée.

9. Rédiger une politique de confidentialité en termes simples et clairs et la diffuser sur votre site web. Aviser les personnes de toute modification dont votre politique pourrait faire l’objet.

10. Les technologies permettant d’identifier, de localiser ou d’effectuer un profilage ne pourront être activées par défaut, car ce sera à la personne concernée de les activer si elle le souhaite. De plus, vous devrez les informer au préalable.

11. Informer la personne concernée quand elle fait l’objet d’une décision fondée exclusivement sur un traitement automatisé de ses renseignements personnels.

12. Établir et mettre en œuvre des politiques et des pratiques de gouvernance des renseignements personnels et prévoir, entre autres, les rôles et les responsabilités des employés tout    au long du cycle de vie des renseignements personnels, les règles applicables à la conservation et à la destruction, des activités de formation et de sensibilisation à la protection des renseignements personnels offerts par l’organisme à son personnel.

13. Lors des collectes des renseignements personnels, vous devez fournir transparence aux personnes concernées, en des termes simples et clairs, des renseignements comme la finalité, les moyens, les droits d’accès et de rectification, si on les communique à un tiers ou si les renseignements personnels sont communiqués à l’extérieur du Québec.

Oui c’est une grosse modernisation de la Loi sur la Protection des renseignements personnels dans le secteur privé (LPRPSP) qui est en vigueur depuis 1994. Toutes les entreprises ont du travail à faire, concessionnaires comme fournisseurs et constructeur.

Nous allons devoir tous collaborer afin de permettre à nos écosystèmes actuels de se transformer et répondre aux nouvelles exigences de la loi.

Nous allons devoir collaborer afin d’amener notre industrie vers l’excellence et devenir un modèle.

La bonne nouvelle, c’est que lorsque votre concession aura fait la cartographie phygital nécessaire et l’inventaire de vos renseignements personnels, vous aurez le portrait global de l’état de vos lieux. Ainsi, vous serez en mesure de commencer le nettoyage, changer les processus qui causent les problèmes et obtenir une base de données propre, avec les renseignements personnels de vos clients en ordre. Plus de doublons. La base pour vous permettre de bien gérer la relation avec votre client pour son cycle de vie et toutes ses futures transactions. Oui, commencer à bien faire les choses lors de la collecte nous permettra d’avoir une saine gestion et d’améliorer notre rétention !

Allez et passez à l’action dès aujourd’hui… car c’est commencé depuis un an.

À propos de Dominic Sigouin

Dominic Sigouin est président de Noahvik consultants, entreprise qui se spécialise dans le marketing numérique. Vous pouvez le joindre à dominic@noahvikconsultants.com

Articles liés
Share via
Copy link