Vous avez à installer un nouveau pont-élévateur dans votre atelier pour les véhicules électriques. Vous voulez refaire votre système d’alarme et de caméras de surveillance. Vous devez mettre à jour votre système de gicleurs, d’extincteurs et de sécurité incendie. Vous allez installer une nouvelle porte de garage automatisée pour les clients et leurs véhicules.
Dans tous ces cas, vous prendrez soin de choisir le bon fournisseur, avec les renseignements détaillés sur la sécurité, les normes, les assurances, la conformité, un contrat clair et bien plus. Vous ne voudriez pas jouer avec la sécurité de votre personnel ou de vos clients en installant n’importe quoi sans poser de questions. Vous êtes des gestionnaires responsables et vous prenez des décisions éclairées.
Maintenant, avez-vous le même processus rigoureux avec des sujets comme la vie privée et la sécurité des renseignements personnels, quand vous choisissez vos fournisseurs de technologies et de marketing ?
Considérez-vous comme salués ceux et celles qui prenez les décisions.
Vous me direz que les risques et les dangers associés aux renseignements personnels sont bien moindres, si on les compare à des outils ou de l’équipement qui peuvent mettre la sécurité physique en péril. J’en conviens, mais les risques de préjudices graves à la vie privée de vos employés et de vos clients sont bien réels avec les incidents de confidentialité. Le risque pour votre réputation ou une gestion de crise sont autant de conséquences pour votre concession que les sanctions jusqu’à 25 M $ ou 4 % du chiffre d’affaires mondial (le plus élevé des 2).
Quand vous prenez le temps d’analyser votre écosystème de partenaires et de fournisseurs qui interagissent avec vos données, vous réalisez que c’est plus complexe qu’il n’y paraît à première vue. Vous devez considérer qui collecte, utilise, conserve, partage (et devrait détruire), bref, tout ceux à qui vous communiquez les renseignements personnels. Vos DMS, CRM, site web, outils de calcul, logiciels de rendez-vous au service, produits de F&A et garantie, ventes privées, logiciels de RH, centre d’appels externe et autres ont entre leurs mains vos données, les renseignements personnels de vos clients et de vos employés. Que font-ils avec et est-ce conservé de façon sécuritaire ? Agissent-ils de façon responsable en tout respect des lois ? Et quand survient un incident de confidentialité dans leur entreprise, comment suis-je responsable et impacté comme concessionnaire ?
« Quand vous prenez le temps d’analyser votre écosystème de partenaires et de fournisseurs qui interagissent avec vos données, vous réalisez que c’est plus complexe qu’il n’y paraît à première vue. Vous devez considérer qui collecte, utilise, conserve, partage (et devrait détruire), bref, tout ceux à qui vous communiquez les renseignements personnels. »
Seulement sur votre site web et ses multiples « plug-in », outils, fichiers temporaires, pixels ou scripts. Il y a tant de possibilités que vous partagiez des renseignements personnels de vos clients, sans le savoir. Ce n’est pas seulement informatique, car il pourrait en être de même avec un fournisseur qui télécharge votre base de données. La cour suprême du Canada a dernièrement statué qu’une adresse IP est un renseignement personnel. La CAI (Commission d’Accès à l’Information) a donné ses lignes directrices pour les 8 critères de validités du consentement. La FTC aux États-Unis a commencé à avertir les concessionnaires de leurs responsabilités avec la communication des renseignements personnels à leurs partenaires. Google Analytics, Pixels Facebook et autres ont de plus en plus de problèmes juridiques avec le respect de la vie privée.
Les défis sont nombreux, mais comment s’y retrouver dans ce « nouveau domaine ». Vous avez de l’expérience, des références, des normes et des certifications en plus du soutien de votre fabricant pour choisir vos fournisseurs habituels. Mais pour tous ceux qui gravitent dans le monde des données et des renseignements personnels, de l’abstrait, il n’en est rien. Presque pas de guide ou de référence car tout le monde commence à se poser des questions à ce sujet. Mais vos responsabilités comme concessionnaire sont déjà présentes avec vos fournisseurs, et vous devez vous assurer de bien comprendre vos contrats et leur exécution.
« Avec ces points, vous serez en mesure de mieux comprendre ce qui se passe sur votre site, dans vos concessions, avec vos clients, vos employés et vos fournisseurs. Vous serez plus en contrôle et responsable de la protection des renseignements personnels. »
Voici donc des idées et les pistes de réflexion pour vous aider à prendre le contrôle dans ce dossier :
- Comprendre dans le détail et en toute transparence les outils utilisés sur votre site web.
- Comprendre dans le détail les processus avec vos partenaires de produits et de services.
- Faire retirer tout ce qui ne vous convient pas des outils et des processus.
- Connaître les renseignements personnels et les autres données collectés par ces outils ou ces fournisseurs.
- Où ces données sont-elles conservées ? Au Québec ou ailleurs ?
- Quelles sont les protections prévues pour assurer la sécurité des renseignements personnels ?
- Quelle utilisation font-ils de ces renseignements et les partagent-ils avec des tiers ?
- S’assurer qu’aucun outil ou processus n’est utilisé pour collecter les données des clients sans leur consentement.
- Que vos fournisseurs se limitent à ce que vous avez approuvé dans le contrat.
- Que vous ayez des contrats avec DPA clair (Data Processing Agreement – entente de responsabilité).
- Apporter une prudence particulière avec les renseignements personnels sensibles.
- Que votre gestionnaire de consentement qui explique simplement soit bien configuré sur votre site.
- Utilisez les formulaires de consentement dans vos opérations.
- Échanger, discuter avec vos fournisseurs, vos partenaires et votre fabricant et posez des questions.
Avec ces points, vous serez en mesure de mieux comprendre ce qui se passe sur votre site, dans vos concessions, avec vos clients, vos employés et vos fournisseurs. Vous serez plus en contrôle et responsable de la protection des renseignements personnels.
C’est essentiel de s’y mettre dès aujourd’hui, car vous avez déjà commencé à recevoir des communications de certains de vos fournisseurs à propos d’incidents de confidentialité qu’ils ont eu chez eux… avec vos renseignements personnels, ceux de vos clients et de vos employés.
Vous devez déjà répondre aujourd’hui à vos nouvelles obligations, et tout débute avec l’analyse approfondie et une compréhension de votre écosystème. Bonne fouille archéologique !