À inclure parmi vos résolutions de Nouvel An 2024 : une meilleure politique de confidentialité !‎

Avec l’année 2024 qui s’amorce, les entreprises doivent compter, parmi leurs résolutions de la nouvelle année, celle de réévaluer leurs pratiques en matière de protection de la vie privée et des renseignements personnels.

Depuis l’entrée en vigueur de la majorité des nouvelles dispositions de la Loi sur la protection des renseignements personnels dans le secteur privé (la «Loi sur le privé ») le 22 septembre 2023, les entreprises faisant affaires au Québec ont l’obligation d’adopter certaines politiques en matière de protection de la vie privée et des renseignements personnels, dont une politique de confidentialité. Cette politique sert à informer une personne du fait que ses renseignements personnels sont recueillis, les détails sur la manière dont ces renseignements sont utilisés et divulgués, ainsi que les droits des personnes concernées.

Afin d’aider les entreprises dans la rédaction de leur politique de confidentialité, la Commission d’accès à l’information du Québec a tout récemment publié le guide Rédiger une politique de confidentialité, un guide explicatif sur le sujet (le « Guide »).

Selon le Guide, une politique de confidentialité d’entreprise doit contenir les informations suivantes :

• Le nom de l’entreprise;
• La date d’entrée en vigueur et de dernière mise à jour;
• Les moyens technologiques utilisés (par ex. courriels envoyés à l’entreprise, formulaires de demande de rendez-vous, témoins (cookies), vidéosurveillance, etc.);
• Le nom des tiers qui peuvent recueillir des renseignements au nom de l’entreprise;
• Le recours à des technologies de localisation, d’identification ou de profilage et, si applicable, la manière d’activer celles-ci puisqu’elles doivent être désactivées par défaut;
• Les renseignements personnels recueillis et les objectifs de la collecte;
• Les façons de refuser la collecte de certains renseignements (par ex. en faisant une commande sans créer de compte) et les conséquences possibles d’un refus (par ex. pas d’accumulation de points de fidélité);
• Les catégories de personnes ayant accès aux renseignements;
• Les renseignements qui peuvent être transmis à des tiers, les buts d’une telle transmission, le nom ou les catégories de tiers impliqués, et la possibilité ou non de transmission de ces renseignements hors de la province; et
• Les droits d’accès, de mise à jour, de rectification et de porter plainte.

Le Guide offre également des conseils de rédaction au niveau de la forme, un aspect important pour la conformité puisque la Loi sur le privé exige que la politique soit rédigée « en termes simples et clairs »ce  qui peut représenter un défi considérant la prévalence de termes techniques dans le domaine. Le Guide suggère, notamment de prendre les démarches suivantes:

• Identifier les lecteurs et le contexte afin d’adapter le format et le langage utilisé;
• Identifier les messages clés d’intérêt pour le public cible et supprimer toute information superflue;
• Employer un langage clair, par exemple en rédigeant au « vous » et au « nous » et en utilisant des phrases courtes et un vocabulaire accessible;
• Tester la politique auprès du public cible; et
• Réexaminer et, au besoin, de retravailler régulièrement la politique.

Bien qu’il n’ait pas force de loi, le Guide représente néanmoins un outil intéressant et utile pour les entreprises œuvrant au Québec. Il s’inscrit dans une démarche concertée de la Commission d’accès à l’information de mettre à la disposition du public plus d’outils et d’informations quant à l’interprétation de la nouvelle Loi sur le privé, une initiative réclamée tant par les entreprises que par les praticiens depuis son adoption en 2021.