La nouvelle politique qui protège la confidentialité des consommateurs entre en vigueur!

La protection de la vie privée et la collecte de données des consommateurs est une préoccupation croissante chez les Canadiens. Avec le récent piratage massif des données d'Equifax, et les vulnérabilités de Facebook en matière de publicité, c'est le bon moment pour discuter de la nouvelle politique de l'Union Européenne sur la protection de la vie privée en ligne: le RGPD.

Les lois (connues sous le nom de Règlement Général sur la Protection des Données, ou RGPD) actuellement en période de grâce, deviendront loi à partir du 25 mai 2018.

Lorsque le RGPD entrera en vigueur, son impact se fera certainement sentir en Europe, mais aussi dans le monde entier.

RGPD: Pourquoi est-ce important pour les Canadiens?

Avec RGPD, des amendes considérables peuvent être infligées en cas de manquement à la protection adéquate des données des utilisateurs:

Jusqu'à 20 millions d'euros ou 4% du chiffre d'affaires global annuel d'une entreprise, le montant le plus élevé étant retenu.

Cette amende peut être encourue par toute entreprise, à l'intérieur ou à l'extérieur de l'UE, qui collecte des « données personnelles » des citoyens de l'UE et qui ne se conforme pas à la réglementation RGPD. Ainsi, même un blog qui reçoit des visiteurs de l'UE et collecte des données par le biais de Google Analytics doit être au courant du RGPD.

Les « données personnelles » ne signifient pas toutes les données collectées, mais elles englobent beaucoup de choses:

« Toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée»); est réputée être une «personne physique identifiable» une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu'un nom, un numéro d'identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale. » ¹

Les données personnelles se réfèrent à tout élément d'information (appelés « identificateurs ») qui pourrait identifier une personne en particulier. Les entreprises, grandes et petites, doivent s'assurer que les données qu'elles recueillent sont correctement anonymisées.

Qu'est-ce que cela signifie pour les dossiers clients?

De nombreuses entreprises disposent d'un logiciel qui les aide à gérer leurs clients, contenant des informations spécifiques à une personne (nom, numéro de téléphone, adresse, etc.). Cette information est nécessaire à l'exploitation d'une entreprise pour le service à la clientèle et la facturation, alors que peut-on faire?

C'est là que le consentement entre en jeu.

Le consentement en vertu du RGPD est rigoureux:

« Si le consentement de la personne concernée est donné dans le cadre d'une déclaration écrite qui concerne également d'autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n'est contraignante. » ²

Les avis de non-responsabilité à usage général, comme « en cliquant sur le lien suivant, vous acceptez toutes les conditions générales énoncées dans notre politique de confidentialité de 30 pages », ne suffiront plus. Les citoyens de l'UE devront également être pleinement conscients de ce qu'ils consentent. Pour recueillir l'information (à des fins de facturation, par exemple), vous devrez démontrer que le client savait exactement quelles informations ont été enregistrées et qu'il a accepté qu'elles puissent être enregistrées.

Mais il y a plus! Outre les données personnelles et le consentement, il existe quelques autres sujets de préoccupation.

Autres points clés du RGPD

Le RGPD est conçu pour protéger les citoyens de l'UE contre une utilisation de leurs données d'une manière qu'ils ne souhaitent pas, ainsi que pour réduire l'impact d'un problème de piratage de données au sein d'une entreprise, tel qu'Equifax. Pour faciliter cet effort, le RGPD se concentre sur certains droits et procédures de surveillance. Voici quelques points clés:

Droit d'accès: Tout citoyen de l'UE a le droit de demander et d'obtenir toutes les informations dont dispose l'entreprise à leur sujet. L'entreprise doit être claire sur la façon dont les données sont traitées et fournir au client une copie des données.

Droit à l'oubli: s'il est démontré que les données ne sont plus pertinentes au regard de leur finalité initiale, le citoyen de l'UE a le droit d'obtenir l'effacement des données.

Responsables de la protection des données: Toute organisation à grande échelle (250 employés ou plus) qui surveille ou traite des données personnelles doit avoir un responsable de la protection des données (parfois en tant que responsable de la protection de la vie privée) pour superviser la stratégie de protection des données. Il peut s'agir d'un employé existant ou d'un nouvel employé, mais une personne qualifiée doit posséder des connaissances spécialisées en matière de conformité au RGPD.

Grâce à la technologie, le monde est devenu beaucoup plus interconnecté. Pourtant, cette interconnexion signifie que les lois et règlements en ligne deviennent une préoccupation mondiale, car les « frontières virtuelles » peuvent être franchies d'un simple clic de souris. Nous devrons voir comment le RGPD est appliqué pour bien comprendre son impact, mais compte tenu des risques associés à la non-conformité, les Canadiens devraient prendre des mesures pour protéger leurs clients, les visiteurs de leur site web et les entreprises.

Comment protégez-vous actuellement les renseignements confidentiels de vos clients? Partagez vos commentaires, vos préoccupations et vos idées dans les commentaires ci-dessous!