Le 22 septembre 2023 marquait l’entrée en vigueur d’importantes modifications à la Loi sur la protection des renseignements personnels dans le secteur privé du Québec (la « Loi sur le secteur privé ») pour toutes les entreprises qui recueillent, détiennent, utilisent ou communiquent des renseignements personnels dans la province.
Entre autres, les entreprises qui recueillent des renseignements personnels par un moyen technologique sont désormais tenues de publier une politique de confidentialité rédigée en termes simples et clairs. Le terme « moyen technologique » a une vaste portée qui englobe notamment les sites web, les applications, les témoins (cookies), les courriels, les vidéos de surveillance et les objets connectés.
Le 18 décembre 2023, la Commission d’accès à l’information du Québec (la « CAI »), l’organisme gouvernemental chargé d’appliquer la Loi sur le secteur privé, a publié un guide sur la rédaction de politiques de confidentialité (le « Guide »). Le Guide n’a pas force de loi, mais il donne une idée de la façon dont la CAI va interpréter et appliquer la Loi sur le secteur privé. Il devrait donc servir à orienter toute révision d’une politique de confidentialité.
La politique de confidentialité doit être distincte des autres documents, comme les modalités d’utilisation. En plus d’une politique de confidentialité, une entreprise doit avoir une politique de gouvernance des renseignements personnels qui décrit minimalement ce qui suit : les rôles et les responsabilités des membres de son personnel quant à cette gouvernance, de la collecte à la destruction; les règles sur la conservation et la destruction des renseignements personnels; un processus pour le traitement des plaintes liées à la protection des renseignements personnels. Des informations détaillées au sujet de cette politique de gouvernance doivent être publiées en termes simples et clairs sur le site web de l’organisation ou, si elle n’en a pas, elle doivent être rendues accessibles par tout autre moyen approprié.
La politique de confidentialité doit elle aussi être rédigée en termes simples et clairs et publiée sur le site web de l’entreprise, et être rendue accessible par tout autre moyen approprié si nécessaire. Le Guide précise que, selon le contexte, elle doit être accessible au moyen d’un lien à consulter avant de passer une commande en ligne, d’un message affiché à la première utilisation d’une application mobile ou dans le livret qui accompagne un objet connecté.
Le Guide formule des recommandations sur le contenu que doit présenter une politique de confidentialité pour être conforme. Une politique doit minimalement fournir les informations suivantes :
- la façon dont les renseignements personnels sont recueillis (par courriel, dans un formulaire de demande, à l’aide de témoins (cookies), etc.);
- qui sont les tiers qui recueillent des renseignements personnels pour le compte de l’entreprise (fournisseur de services technologiques, fournisseur chargé de traiter les plaintes de la clientèle, etc.);
- si l’entreprise recueille des renseignements personnels à l’aide d’une technologie comportant des fonctions d’identification, de localisation ou de profilage (comme les témoins), des détails sur l’utilisation de cette technologie, qui doit par ailleurs être désactivée par défaut et faire l’objet d’une fenêtre contextuelle ou d’une bannière demandant le consentement exprès;
- une description des renseignements personnels recueillis;
- les buts pour lesquels les renseignements personnels sont recueillis;
- les moyens permettant de refuser la collecte de certains renseignements personnels ainsi que leurs conséquences, s’il y en a;
- les catégories de personnes au sein de l’entreprise qui ont accès aux renseignements personnels;
- le nom des tiers (y compris les fournisseurs de services) à qui l’entreprise va transmettre des renseignements personnels ou qui y auront autrement accès, ou les catégories auxquelles ces tiers appartiennent;
- les mesures que l’entreprise prend pour protéger les renseignements personnels;
- le droit des personnes dont les renseignements personnels sont recueillis d’avoir accès à leurs renseignements et de les faire rectifier, de retirer leur consentement et de déposer une plainte;
- le titre et les coordonnées de la personne responsable de la protection de la vie privée au sein de l’entreprise.
Le Guide montre aussi des exemples concrets des éléments à inclure dans une politique de confidentialité.
En plus de donner des conseils sur le contenu, le Guide fait des recommandations sur la rédaction, en insistant sur l’importance d’une communication claire, précise et simple. Selon le Guide, les politiques de confidentialité devraient être évaluées selon le point de vue de leurs destinataires et présenter uniquement les renseignements pertinents. De plus, les renseignements particulièrement sensibles doivent être portés à l’attention des destinataires, les titres doivent aider à parcourir la politique et les termes techniques doivent être définis. Le ton est aussi important : un ton autoritaire, froid ou menaçant est à éviter. La mise en page doit faciliter la lecture de la politique.
La CAI a indiqué que d’autres outils seront mis à la disposition des entreprises au cours des prochains mois pour les aider à se conformer à la Loi sur le secteur privé et à ses récentes modifications.
Lorsqu’elles révisent leur politique de confidentialité, les entreprises devraient aussi consulter les lignes directrices détaillées que la CAI a publiées le 31 octobre 2023 sur les critères de validité du consentement.
Inscrivez-vous à notre infolettre pour être au courant des plus récentes orientations et règles en matière de protection de la vie privée au Canada. Si vous envisagez de réviser votre politique de confidentialité en 2024, n’hésitez pas à consulter notre équipe de Protection de la vie privée et des données.