Au Québec, la collection et l'utilisation des données personnelles de clients par un tiers sont régis par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) et au fédéral par le Personal Information Protection and Electronic Documents Act (PIPEDA) et plus récemment le Digital Electronic Act. Son application est contrôlée par le Commissariat à la Protection de la Vie Privée du Canada (Office of the Privacy Commissioner of Canada).
En France, ces questions sont régies par la Loi Informatique et Libertés de 1978 et contrôlées par la Commission Nationale Informatique et Libertés (CNIL).
Il existe également d'autres réglementations sectorielles selon que l'on s'attache aux données financières, aux données de santé, ou aux informations de crédit par exemple. Enfin, il existe des différences d'un pays à l'autre, d'un état à l'autre mais dans l'ensemble ces réglementations encadrent 10 domaines :
1. Responsabilité
Toute organisation est responsable des renseignements personnels qu'elle collecte et doit désigner un responsable qui devra protéger les données de ses clients dans le respect du cadre de la loi.
2. Objectif de la collecte de données
La finalité pour laquelle des renseignements personnels de clients doivent être recueillis doit être déclarées avant où au moment de la collecte.
3. Consentement du client
Toute personne doit être informée de toute collecte, utilisation ou communication de renseignements personnels qui la concernent et y consentir, à moins qu'il ne soit pas approprié de le faire.
4. Limite de la collecte
L'organisation ne peut recueillir que les renseignements personnels nécessaires aux fins déterminées et doit procéder de façon honnête et licite.
5. Limite de l'utilisation, communication et conservation des données
Les renseignements personnels ne doivent pas être utilisés ou communiqués à des fins autres que celles auxquelles ils ont été recueillis, à moins que la personne concernée n'y consente ou que la loi ne l'exige. La durée de conservation des données personnelles doit être limité au strict nécessaire à l'atteinte de la finalité énoncée.
6. Exactitude
Les renseignements personnels doivent être aussi exacts, complets et à jour que l'exigent les fins auxquelles ils sont destinés.
7. Mesures de sécurité
Les renseignements personnels doivent être protégés au moyen de mesures de sécurité correspondant à leur degré de sensibilité.
8. Transparence de la politique de protection des renseignements personnels
L'organisation doit énoncer clairement ses politiques et ses pratiques concernant la gestion des renseignements personnels et les rendre facilement accessibles à toute personne.
9. Droit d'accès aux renseignements personnels
L'organisation doit informer toute personne qui en fait la demande de l'existence de renseignements personnels qui la concernent, de l'usage qui en est fait et des demandes d'accès exercées par des autorités légales. Tout individu a le droit de contester l'exactitude, le caractère intégral ou partiel des informations et et de demander la rectification des renseignements le concernant.
10. Réclamations et plainte
Toute personne peut se plaindre du non respect des principes de protection énoncées sur ses renseignements personnels. Il peut le faire auprés de l'organisation ou de l'autorité gouvernementale en place (Commissariat à la Protection de la Vie Privée du Canada (Office of the Privacy Commissioner of Canada, la CNIL en France)
Quant aux États-Unis, ils font office de parent pauvre dans ce domaine. Historiquement, la collecte des données personnelles n'était pas interdite au niveau fédéral. Dans les faits, de nombreuses lois ont été passés dans les états et dans le secteur privé pour pallier les risques. La Californie avec le Online Privacy Protection Act (OPPA) et le Massachussets avec le 201 CMR 17 sont les états les plus actifs dans ce domaine. On notera également le Children Onine Privacy Protection Act (COPPA) au niveau fédéral qui a l'avantage de réglementer strictement les renseignements personnels sur les enfants.
Enfin, toute entreprise qui a des opérations en union européenne est soumise à la GDPR que l'Amérique du nord, très en retard dans ce domaine, n'est quant-à-elle pas tenue de respecter, sauf si elle délivre des biens ou services en Europe.
En quoi la GDPR est différente ? Toutes les recommandations précédentes deviennent obligatoires dans le cadre de la GDPR et des obligations supplémentaires sont ajoutées :
droit à l'oubli pour les individus (possibilités de demander la suppression de données ou de liens anciens)
obligation de conserver un registre des failles sur les données personnelles
obligation de concevoir la protection des données personnelles à l'origine (privacy by design)
obligation d'informer en cas de vol de données
obligation d'effectuer une analyse d'impacts sur les données des consommateurs et de prouver que les risques sont adressés
obligation de s'assurer de la sécurité auprès des fournisseurs et sous-traitants impliqués dans la gestion
obligation de nommer un Chief Data Officer
obligation de former et sensibiliser le personnel à la protection des données
instauration de pénalités pouvant se monter à 4% des revenus annuels pour les companies non conformes.
Alors si vous craignez que les données de vos clients se retrouvent sur le Dark Web, il est temps de mettre en place un plan d'action. Enfin, ce n'est pas parce que l'arsenal juridique québécois ou canadien est en retard que vous ne devez pas anticiper les besoins. Il est a parier que les clients eux, entameront un procès ou une class-action en cas de négligence de protection.
Faites appel à nous !
Comments