20 Jan 2024
La Loi 25 : les changements qui pourraient affecter votre eCommerce
Avec son arrivée, la Loi 25 amène son lot de changements pour les organisations et les entreprises, et le monde du commerce électronique n’en est pas exempt. Êtes-vous à jour en ce qui a trait aux changements qui sont en vigueur depuis septembre 2022? Êtes-vous au courant de ce qui s’en vient en 2024?
Notre équipe vous a préparé un résumé des changements qui pourraient affecter votre eCommerce ainsi que quelques conseils et exemples d’applications concrètes.
Rappelons-nous que la Loi 25 consiste à moderniser des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé. Comme la technologie est en constante évolution, il est capital de s’y adapter et c’est pourquoi cette réforme permettra de mieux répondre aux nouveaux défis posés par l’environnement numérique actuel.
La loi 25 apporte des précisions quant à la définition d’un renseignement personnel : « Un renseignement personnel désigne toute information qui concerne une personne physique et permet son identification, directe ou indirecte ». En revanche, lorsqu’on parle d’un renseignement qualifié d’ « anonyme » ou d’« anonymisé », cela signifie qu’il ne permet plus, de manière irréversible, d’identifier directement ou indirectement ladite personne.
Bien que la protection de la vie privée et la sécurité sont dans les tendances à surveiller en 2024, plusieurs géants technologiques ont déjà entamé leur croisade contre les third party data. Apple a déjà rendu impossible le partage d’informations personnelles à partir de plateformes publicitaires sur son navigateur Safari, alors que Google prévoit pour 2024 la fin des témoins (cookies) sur son navigateur Chrome.
En gardant à l’esprit que la transparence est une valeur fondamentale chez Novatize, la Loi 25 revêt d’une importance capitale. Nous aspirons à mettre en œuvre les recommandations à la lettre afin de créer un environnement eCommerce sécurisé qui saura inspirer confiance :
- Module de gestion des Cookies : Respectant les normes de la Loi 25, RGPD2, CCPA, etc., notre solution permet aux visiteurs et visiteuses de votre eCommerce de choisir les cookies qu’ils acceptent ou refusent;
- Module de consentement : Offre aux clients et clientes la possibilité de donner un accord explicite et limité dans le temps pour la collecte, l’utilisation et le partage de leurs données;
- Mesures de sécurité renforcées : Nous utilisons des méthodes avancées telles que le chiffrement, le hachage, la pseudonymisation ou l’anonymisation pour protéger les données personnelles contre tout accès non autorisé, perte, altération ou divulgation. Les méthodes de paiement sont d’ailleurs mises constamment à jour pour garantir la certification PCI DSS;
- Désactivation par défaut de la géolocalisation : Le respect à la vie privée des utilisateurs et utilisatrices est très important, c’est pourquoi nous désactivons par défaut la géolocalisation jusqu’à ce que les clients et clientes donnent leur accord explicite;
- Système de droit à l’oubli : Mise en place d’un système d’anonymisation des commandes et des informations clients pour respecter le droit à l’oubli;
- Gestion des fuites de données : Élaboration d’un processus clair de communication et de gestion en cas de fuite de données, ainsi qu’une assistance à la suppression des données sur les modules externes (comme Facebook marketing, Klaviyo, Google analytics, etc.);
- Autres demandes sur mesure en fonction de vos besoins spécifiques.
Les changements engendrés par la Loi 25 qui affecteront votre eCommerce
En plus d’honorer toutes les obligations qui étaient auparavant en fonction, Novatize fait ressortir 10 nouvelles réglementations qui devront être mises en place dès le 22 septembre 2023 :
1. Nommer une personne responsable de la protection des renseignements personnels et publier ses coordonnées sur votre site Web;
2. Avoir établi des politiques sur la sécurité des renseignements personnels que vous possédez et publier ces politiques sur votre site Web d’ici septembre 2023;
3. Ne recueillir que les informations nécessaires à l’atteinte de l’objectif, et communiquer clairement ledit objectif lors de la cueillette. Sans consentement de la personne, l’objectif ne pourra être modifié qu’une fois les renseignements personnels recueillis;
4. S’il survient un incident de bris de confidentialité d’un renseignement personnel, prendre les mesures nécessaires afin que des incidents similaires ne se produisent pas. Vous devrez également tenir un registre desdits incidents et, s’ils sont de nature importante, informer la personne concernée ainsi que la Commission d’accès à l’information du Québec;
5. Respecter les nouvelles mesures d’encadrement du partage des données personnelles à des fins d’étude, de recherche, de statistiques ou dans le cadre d’une transaction commerciale;
6. Informer la Commission d’accès à l’information du Québec si vous comptez procéder à des vérifications d’identité par le biais de mesures biométriques (toute identification qui utiliserait les caractéristiques biologiques d’une personne, comme sa voix ou son visage, par exemple);
7. Communiquer à votre clientèle si vous utilisez une technologie afin de l’identifier, de la localiser ou de la profiler ainsi que votre politique de confidentialité;
8. Assumer que le partage des données hors Québec pourra faire l’objet d’un examen approfondi, étant donné que toutes les régions n’ont pas les mêmes politiques de protection des renseignements personnels;
9. Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
10. Détruire ou anonymiser les renseignements personnels de votre clientèle (et de votre personnel) dès que l’objectif pour lequel vous les avez collectées est atteint, à la suite du délai raisonnable prévu par la Loi (7 ans, en date de la publication de cet article).
Afin d’obtenir la liste complète des règles en cours ainsi que celles à venir, ou afin d’obtenir de l’aide sur le sujet, consultez la rubrique du gouvernement du Québec sur la protection des renseignements personnels.
Les conseils Novatize quant à la sécurité des renseignements personnels
L’équipe de Novatize a à cœur le rayonnement des valeurs de la firme, et parmi celles-ci on retrouve la transparence. C’est avec cet intérêt en tête qu’on émet ces suggestions quant à la protection des données personnelles.
Responsable de la protection des renseignements personnels
En plus de désigner une personne responsable de la protection des renseignements personnels, nous recommandons de publier son nom, une description de son rôle et de ses responsabilités sur votre site eCommerce. Vous pouvez même ajouter sa photo ainsi qu’une adresse courriel pour la rejoindre, au besoin.
Démontrez à votre clientèle le sérieux et la transparence avec lesquels vous prévoyez protéger ses informations. L’absence de risque n’existera jamais, mais assurez-vous que votre entreprise fait tout en son pouvoir afin d’offrir une expérience de magasinage sécuritaire.
Incident de confidentialité
Un incident de confidentialité est tout événement qui a causé la fuite d’informations confidentielles à des tiers qui n’étaient pas autorisés à les recevoir.
Par exemple, certaines plateformes de commerce électronique ont des failles connues et des scripts peuvent parfois être injectés en récoltant des informations sensibles. Un autre exemple possible pourrait être le départ de votre entreprise d’un employé malveillant qui avait accès à la base de données de la clientèle et qui partagerait des informations sensibles à autrui.
Notre conseil : dès que vous savez (ou pensez) qu’un incident est survenu, communiquez avec les personnes responsables de la sécurité informatique afin de vous assurer qu’il n’y a pas de risque que cela ne se reproduise. Pensez immédiatement à des mesures correctives à mettre en place.
Informez également votre clientèle et votre communauté de l’incident une fois que la situation sera sous contrôle. Bien que le sujet soit délicat, les cachettes ou le manque d’honnêteté le sont encore plus. Minimisez l’impact réputationnel lié à un incident en communiquant de manière transparente et professionnelle :
- La cause de l’incident
- Les mesures correctives qui ont été instaurées suite à l’incident
- Les informations de contacts nécessaires en cas de questionnements
Transparence et honnêteté au coeur des actions
Chez Novatize, l’honnêteté est au cœur de chacune de nos actions, ce qui nous pousse à privilégier la franchise et l’intégrité avant toute chose. Dans cette optique, nous vous encourageons vivement à élaborer vos propres politiques concernant la sécurité des renseignements personnels et à les rendre publics en les publiant sur votre site Web.
De plus, il est primordial que vous communiquiez avec votre clientèle si vous utilisez une technologie spécifique permettant de l’identifier, la localiser ou la profiler. Vos client(e)s doivent être pleinement informé(e)s de ces mesures afin de garantir une protection optimale de leurs données ainsi que de leurs informations personnelles.
En adoptant cette approche, vous saurez démontrer votre engagement envers la transparence tout en renforçant la confiance de vos client(e)s envers votre entreprise.
Vous souhaitez être accompagné dans l’optimisation de vos politiques de confidentialité pour assurer la conformité de vos actions? Contactez un expert ou une experte chez Novatize.
📍 330-330 rue Saint-Vallier Est, G1K 9C5, Québec, QC, Canada
Inspiré par ce que vous avez lu?
Notre équipe d’experts peut vous aider à propulser votre commerce électronique au prochain niveau!