La loi 25 arrive et tout sera bouleversé… ok, mais faut quand même continuer à vivre.
Voici donc la liste des tâches à faire pour se rendre comforme à la loi 25 au Québec. Oui, il y en a beaucoup. Je vous invite à lire un coup pour comprendre l’étendu des tâches. Une grande partie peut être résolue seulement avec le bon outil de gestion du consentement.
Note de l’éditeur : Je ne suis pas avocat et rien de ce qui écrit ici peut servir comme conseil légal
Note du marketer : vous pouvez télécharger ce fichier Google Sheets pour avoir tout dans un format plus simple à lire.
Tâches
| Sujet | Inventaire de tous les renseignements personnels détenus par l’entreprise et évaluer la sensibilité pour déterminer les prochaines étapes. |
| Description | Vous pouvez lister tous les renseignements personnels dans un fichier Excel pour bien structurer. Voici un exemple de CDPQ : https://www.cdpq.com/sites/default/files/medias/pdf/diffusion-info_fichier-personnel_fr.pdf |
| Tâche | Faire l’inventaire des renseignements personnels détenus par votre entreprise (ou pour son compte par un tiers) et évaluer la sensibilité; |
| Sujet | Obtention du consentement avant la collecte de données personnelles. |
| Description | Vous devez être capable de récolter et stocker le consentement des utilisateurs. |
| Tâche | Installer un outil de gestion du consentement. Voir article sur le choix d’un outil de gestion du consentement pour en savoir plus. S’assurer que l’outil et votre message respecte les règles du consentement. |
| Sujet | Gestion du déclenchement des cookies/tags en lien avec la récolte de données personnelles à travers un outil qui permet de facilement arriver à vos fins en terme de mesures. |
| Description | Voir l’article sur la gestion du consentement à travers Google Tag manager |
| Tâche | Gérer toutes les tags à travers une plateforme centralisée pour simplifier le processus. Exemple : Google Tag Manager. Doit se connecter à la plateforme de gestion du consentement. |
| Sujet | Gestion du texte du consentement au suivi de l’utilisateur. |
| Description | Le texte doit être incitatif à faire accepter les cookies/suivis. Si le texte n’est pas invitant, cela peut avoir un impact sur le taux d’acceptation. Je ne recommanderais pas d’aller jusqu’à faire de l’humour, mais trouver un moyen de rendre ça attrayant |
| Tâche | Écrire un texte d’acceptation des cookies et faire valider par les avocats. Préparer les catégories que vous voulez laisser l’utilisateur choisir. |
| Sujet | Gestion de la multiplateforme et le suivi de l’utilisateur sur celles-ci. |
| Description | Il faut aussi garder en tête que cela est pareil pour toutes les plateformes numériques que vous avez : application, micro-site et compagnie |
| Tâche | Évaluer les besoins des différentes plateformes dans la gestion des données personnelles et si cela a un impact sur le choix de la plateforme. |
| Sujet | Modification des paramètres de collecte de données personnelles sur votre site web par l’utilisateur en tout temps. |
| Description | L’utilisateur peut changer d’idée et modifier ses paramètres de gestion des informations personnelles en tout temps. Il faut donc lui offrir un lien quelque part pour lui permettre de changer cela. |
| Tâche | Ajouter un bouton dans le footer pour ouvrir à nouveau le module de gestion du consentement |
| Sujet | Liste de tous les cookies qui sont présents sur le site web accessible par l’utilisateur pour pouvoir comprendre la raison des cookies. |
| Description | Valider tous les cookies qui sont sur un site web et identifier dans quel catégorie de cookies ils sont. |
| Tâche | Vérifier que l’outil peut scanner les cookies du site web ET rafraîchir automatiquement la liste pour sauver du temps (et prévenir les erreurs). |
| Sujet | Politiques et des pratiques encadrant la gouvernance des renseignements personnels et publier de l’information détaillée sur celles-ci en termes simples et clairs sur le site Internet de l’entreprise. |
| Description | L’utilisateur doit comprendre ce qui est suivi de lui, comment il peut modifier les paramètres et comment il peut se retirer des suivis. L’entreprise doit aussi fournir les tiers pour qui les renseignements sont collectés ou communiqués. Des règles applicables à la conservation et à la destruction des renseignements personnels; Les rôles et les responsabilités des membres du personnel tout au long du cycle de vie des renseignements personnels; Un processus de traitement des plaintes relatives à la protection des renseignements personnels. Source : https://www.cai.gouv.qc.ca/espace-evolutif-modernisation-lois/thematiques/politiques-pratiques-gouvernance/ |
| Tâche | Valider la politique de vie privée sur le site web comprends une section sur la gouvernance. Est-ce que la politique dit ce qui sera fait avec les données des utilisateurs du site web? |
| Sujet | Responsable de la protection des renseignements personnels (cette tâche est en vigueur depuis septembre 2022). |
| Description | Si aucun nom n’est présent dans la politique de confidentialité, c’est le président qui est automatiquement cette personne. |
| Tâche | Désigner une personne qui est responsable de la protection des renseignement personnels et l’indiquer dans la politique de vie privée. |
| Sujet | Mesures de sécurité du meilleur que vous pouvez pour protéger les données personnelles. |
| Description | L’utilisateur doit être assuré que les données personnelles qu’il envoie à l’utilisateur sont en sécurité. Cela doit être regardé par le service des technologies de l’information d’une entreprise pour assurer la sécurité des données. |
| Tâche | S’assurer avec le département de cybersécurité/sécurité informatique/TI que tout est optimal pour la sécurité des données et prendre note les protocoles de sécurité. |
| Sujet | Droit à la désindexation. |
| Description | les personnes pourront demander aux entreprises de cesser de diffuser leurs renseignements personnels ou de désindexer tout hyperlien rattaché à leur nom donnant accès à des renseignements si cette diffusion leur cause préjudice ou contrevient à la loi ou à une ordonnance judiciaire |
| Tâche | S’assurer que l’outil permet de facilment désindexer une personne. |
| Sujet | Consentement des parents/tuteurs si votre site web est destiné au moins de 14 ans. |
| Description | Si votre site web a pour but de vendre des produits / informer / rejoindre les moins de 14 ans, vous devez demander le consentement d’un tuteur/parent pour un utilisateur en bas de 14 ans. Cela veut dire que vous devez vraiment vouloir pour avoir ces informations, car ça devient vraiment compliqué. Cela veut aussi dire que vous devriez avoir peut-être un filtre pour les utilisateurs en bas de 14 ans. |
| Tâche | Si votre site est ciblé aux personnes en bas de 14 ans, il faut s’assurer que l’outil de gestion du consentement prend en compte cette particularité. |
| Sujet | Destruction des renseignements personnels lorsque les données ne sont plus utilisées par l’entreprise. |
| Description | Si l’entreprise a des raisons de ne pas détruire les renseignements personnels, celle-ci doit anonymiser les renseignements personnels. Pour anonymiser, une donnée doit remplir les trois critères suivants. L’individualisation : Il ne doit pas être possible d’isoler une personne ni de l’identifier directement ou indirectement. La corrélation : Il ne doit pas être possible de relier des ensembles de données distincts qui concernent une même personne. L’inférence : Il ne doit pas être possible de déduire de nouvelles informations sur une personne. Limiter la durée de conservation des données et établir un plan pour détruire ou anonymiser les données au fil du temps. |
| Tâche | Si votre site est ciblé aux personnes en bas de 14 ans, il faut s’assurer que l’outil de gestion du consentement prend en compte cette particularité. |
| Sujet | Règles en ligne avec les incidents liés aux renseignements personnels. |
| Description | Tenir un registre des incidents liés aux renseignements personnels pour garder une trace précise de ce qui s’est passé. Informer la CAI (Commission d’accès à l’information) et les personnes concernées en cas d’incident impliquant des renseignements personnels. Communiquer l’information sur l’incident en respectant un délai jugé raisonnable, en fonction du risque et de la sensibilité des renseignements personnels concernés. |
| Tâche | Lien pour aviser : https://www.cai.gouv.qc.ca/incident-de-confidentialite-impliquant-des-renseignements-personnels/aviser-commission-et-personnes-concernees/ |
| Sujet | Droit à la portabilité. |
| Description | Fournir aux consommateurs une copie numérique de l’ensemble des renseignements personnels recueillis, dans un format facilement lisible et compréhensible. |
| Tâche | S’assurer que l’outil permet de facilement exporter les données d’un utilisateur précis. |
Sources utilisées pour réaliser ce document :
