Préparation au RGDP : 7 aspects dont vous devez tenir compte par Derek Lackey

11 juillet 2018
Numérique
diffusionfiches Hotsheetpublicité

Par Derek Lackey, président, Direct Marketing Association of Canada

Le Règlement général sur la protection des données (RGDP) nécessite de repenser complètement vos pratiques de gestion des données :

  • Votre façon de les recueillir
  • Votre façon de les gérer, ainsi que l’endroit où vous les gérez
  • Leur partage ou non, et, surtout
  • Votre façon de traiter ces données, et le moment de le faire.

Si vous faites des affaires avec l’Union européenne (UE), mais pas suffisamment pour entièrement revoir vos activités en matière de données (par exemple : vous êtes une firme qui commercialise un produit ou un service auprès des citoyens de l’UE), nous traitons ici des secteurs clés que, selon nous, les Autorités chargées de la protection des données (ACPD) auront dans leur mire après le 25 mai 2018.

Avant d’adopter des mesures, vous devez déterminer si vous êtes un Responsable du traitement des données ou un Sous-traitant. (Voir le RGDP Chapitre 4.)

En termes simples, un Responsable décide des données qui doivent être recueillies. Un Sous-traitant exécute la demande du Responsable. Il n’est pas inhabituel qu’un organisme s’acquitte de ces deux rôles, et c’est pourquoi vous devez toujours tenir compte de celui qui vous est imparti.

Nous décomposerons ici le RGDP en 7 aspects à retenir :

1. Données et droits de la personne en UE

En vertu du RGDP, toute donnée, en UE, est assujettie aux droits suivants :

  1. Le droit d’être informé
  2. Le droit d’accès
  3. Le droit à la rectification
  4. Le droit d’effacement
  5. Le droit de limitation du traitement
  6. Le droit à la portabilité des données
  7. Le droit de s’opposer au traitement
  8. Les droits reliés aux prises de décisions et au profilage automatisés

On peut obtenir des précisions sur chacun de ces droits au Chapitre 3.

Ces droits pourront être plus facilement respectés si vos données sont centralisées.

Vous devez établir et documenter les politiques et procédures qui vous permettront de respecter l’une ou l’autre de ces exigences dans un délai raisonnable (30 jours).

Si des difficultés surviennent, vous pouvez communiquer avec les Personnes concernées et les informer que vous avez besoin de 60 jours de plus pour gérer leur demande.

Pour respecter ces droits, les éditeurs doivent :

a) Établir des processus pour répondre à la demande de la Personne concernée à l’intérieur d’un délai de 30 jours.
b) Être en mesure de cesser immédiatement de traiter les données des consommateurs individuels ou d’ensembles de consommateurs lorsque la demande leur en est faite.

2. Responsabilité

Un des principes les plus importants du RGDP est la notion de responsabilité. Toute entreprise qui stocke ou traite des données sur les consommateurs doit être en mesure de démontrer comment elle respecte les principes.

Les éditeurs devraient répondre aux cinq questions suivantes :

  1. Au point de collecte des données, avons-nous précisé comment seront utilisées ces données personnelles?
  2. Pouvons-nous déterminer comment les données ont été recueillies et en faire la preuve (date et horodatage, adresse IP, notamment)?
  3. Pouvons-nous limiter la collecte de données à ce qui est spécifiquement nécessaire pour répondre au besoin pour lequel les données sont recueillies (minimisation des données)?
  4. Pouvons-nous stocker les données aussi longtemps qu’il est nécessaire de le faire pour atteindre le but visé?
  5. Pouvons-nous prouver que nous avons tout mis en oeuvre pour sécuriser les données?

En bref, le RGDP requiert un niveau plus élevé de responsabilité et de transparence et place fermement la responsabilité sur la capacité de l’éditeur de pouvoir démontrer sa conformité à tous égards.

Le fait de documenter pourquoi et comment les données personnelles ont été recueillies, ainsi que les politiques et procédures, est un aspect important de la conformité. (Voir le document d’orientation « Accountability »)

3. Minimisation des données

Dans l’ensemble du RGDP, la minimisation des données est invoquée. Si vous n’avez pas besoin des données recueillies pour tenir les activités que vous souhaitez entreprendre, le RGDP vous invite à supprimer ces données.

Une fois que le but de la collecte des données est atteint, vous devriez envisager de supprimer les données. Ainsi sont visées tant la quantité de données (nombre de champs fournis) que la durée pendant laquelle les données sont conservées.

Vraisemblablement, ce sont ces données inutiles qui se traduiront par des pénalités pour votre organisme.

4. Caractère licite du traitement

Il s’agit d’une décision fondamentale qui doit être prise à l’égard de chacune des façons dont vous traitez les données.

Si vous envoyez des courriels, cela constitue une forme de traitement des données. Si vous utilisez des témoins (cookies) pour établir le profil des préférences d’une personne, cela constitue une autre forme de traitement des données.

Pour chaque façon dont vous traitez les données d’une personne, vous devez décider du caractère licite du traitement. (Voir Article 6.)

Il y a 3 fondements du caractère licite pour le secteur privé :

a) CONTRACTUEL : Pour tous les clients et quasi-clients, vous pouvez mener tous les types de traitement requis pour l’exécution de ce contrat. Nous vous recommandons de faire une mise à jour de vos modalités et conditions et de préciser que vous avez l’intention de leur envoyer des courriels, en leur offrant une possibilité de refus au point de collecte des données ainsi que dans chaque courriel envoyé (mécanisme de désinscription/désabonnement qui permet facilement à la personne de refuser de recevoir les courriels). Il devrait être tout aussi facile de se désinscrire/désabonner que de s’inscrire/abonner. Important à noter : cela ne vous donne pas carte blanche pour ajouter toutes sortes de conditions à vos modalités et conditions. Elles doivent être pertinentes quant à votre capacité de respecter votre contrat auprès de ces personnes.

b) INTÉRÊT LÉGITIME : Beaucoup de choses ont été écrites et discutées quant à cette forme de caractère licite du traitement, mais nos avocats nous assurent que les intervenants du B2B peuvent communiquer en adoptant une approche conviviale de l’option de refus. Les clients potentiels qui sont mobilisés et démontrent un intérêt à l’égard de vos activités peuvent être contactés selon cette approche. La règle à suivre, en général, est : si le destinataire d’un courriel est susceptible de se demander « Pourquoi ce message est-il adressé à MOI? », vous devriez vous demander : « Cette personne devrait-elle être inscrite sur notre liste? » Pour pouvoir affirmer qu’il s’agit d’un intérêt légitime, il est nécessaire de mener une Évaluation d’intérêt légitime. Il s’agit, essentiellement, d’un test déterminant l’équilibre entre les intérêts de votre organisme et ceux de la personne concernée.

c) CONSENTEMENT : Si vous utilisez des formulaires Web et les inscriptions en ligne (ouverture d’un compte) ou la collecte de données à l’occasion de foires commerciales (cartes professionnelles, numériseurs à des expositions, notamment), assurez-vous d’ajouter quelques phrases à vos formulaires de collecte des données. Par exemple : « Merci de vous abonner à [nom de votre abonnement à des courriels] de [nom et adresse de l’organisme]. Nous vous enverrons de l’information portant sur [votre secteur de service]. Vous pouvez communiquer avec nous à ______ ou à ________. Vous pouvez vous désabonner en tout temps. »

Dans une case à cocher distincte, vous pourriez ajouter « Oui, veuillez m’envoyer des messages pertinents de sources de l’industrie, y compris des commanditaires et des annonceurs. »

(Voir le document d’orientation « Legitimate Interest » ou « Consent »)

5. Ententes avec des tiers

Les ententes et contrats avec des tiers, revendeurs, partenaire et même clients, ne sont PAS tenus actuellement de fournir les précisions requises pour expliquer clairement les responsabilités de chacun en vertu du RGDP. À mesure que ces contrats arriveront à échéance, un examen méticuleux des incidences du RGDP devrait être envisagé, et les clauses appropriées devraient être incluses dans les nouvelles ententes.

6. Protocole en cas de violation de données

Le RGDP requiert que tout organisme qui maintient des données personnelles sur des personnes concernées de l’UE ait un processus instauré et bien documenté dans cas d’incident de violation de données. Il y a certaines exigences de reddition de rapports, selon la nature de la violation; lorsque des données personnelles sensibles sont en cause et qu’il y a possibilité de dommages à la personne concernée, vous devez en aviser votre Autorité chargée de la protection des données (ACPD) dans les 72 heures. (Voir le document d’orientation « Breach Reporting »)

7. Formulaire Web et notification de témoins (cookies)

Cet aspect relèvera de la nouvelle loi portant sur la vie privée et les communications électroniques qui est en préparation dans le cadre du processus parlementaire à l’UE. Simplement, fournissez une option Oui/Non afin que les consommateurs puissent choisir de vous autoriser à utiliser des témoins pour mieux les servir. Le fait de les forcer à choisir entre consulter votre site ou fournir leur consentement ne constitue pas, selon le RGDP, un consentement « librement accordé ».

Autres considérations :

  1. Si votre entreprise mène ses activités de l’extérieur de l’UE, vous devriez tout au moins avoir nommé un représentant à l’intérieur de l’UE.
  2. Vous ne devriez transférer des données à l’extérieur de l’UE que vers des pays qui offrent un niveau de protection adéquat. La LPRPDE (loi canadienne actuelle sur la protection de la vie privée) a été jugée adéquate, ce qui signifie que les données peuvent être transférées de l’UE vers le Canada. Pour le faire vers les États-Unis, vous pouvez prendre en considération le bouclier de protection des données (UE-États-Unis).
  3. Les grands organismes qui conservent une quantité importante de données personnelles seraient bien avisés de nommer un responsable de la protection des données.

Des amendes pouvant atteindre 20 millions € (23,9 millions $ US) ou quatre pour cent des ventes annuelles peuvent être exigées en cas de non-conformité. La perte de données sur votre auditoire et de revenus numériques pour n’avoir pas instauré une stratégie relative au RGDP pourrait être plus lourde encore de conséquences. (Voir le document d’orientation « Administration Fines ») Magazines Canada

Les fiches Hotsheets : Lectures utiles pour les magazines culturels et indépendants. Chaque « hotsheet » diffuse de l’information actuelle sur un sujet donné et est rédigé par un expert du domaine. Les fiches Hotsheets ont été préparés par Magazines Canada.

Canada Council for the Arts / Conseil des arts du Canada Department of Canadian Heritage Ontario Arts Council / Conseil des arts de l'Ontario Ontario Media Development Corporation (OMDC)