La Loi 25 : les changements qui pourraient affecter votre eCommerce

Tout d’abord, la Loi 25 vient préciser la définition de ce qu’est un renseignement personnel : « est un renseignement personnel tout renseignement qui concerne une personne physique et permet de l’identifier directement ou indirectement. »

Au contraire, lorsqu’on parlera de renseignement dit « anonyme » ou « anonymisé », on entend qu’il « ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne. »

Bien que la cybersécurité eCommerce soit une des tendances à surveiller en 2023, plusieurs géants technologiques ont déjà entamé leur croisade contre les third party data. Apple a déjà rendu impossible le partage d’informations personnelles à partir de plateformes publicitaires sur son navigateur Safari, alors que Google prévoit pour 2024 la fin des témoins (cookies) sur son navigateur Chrome.

Les changements engendrés par la Loi 25 qui affecteront votre eCommerce

En plus d’honorer toutes les obligations qui étaient auparavant en fonction, vous devez entre autres : 

1. Nommer une personne responsable de la protection des renseignements personnels et publier ses coordonnées sur votre site Web.

2. Avoir établi des politiques sur la sécurité des renseignements personnels que vous possédez et publier ces politiques sur votre site Web d’ici septembre 2023.

3. Ne recueillir que les informations nécessaires à l’atteinte de l’objectif, et communiquer clairement ledit objectif lors de la cueillette. Sans consentement de la personne, l’objectif ne pourra être modifié qu’une fois les renseignements personnels recueillis.

4. S’il survient un incident de bris de confidentialité d’un renseignement personnel, prendre les mesures nécessaires afin que des incidents similaires ne se produisent pas. Vous devrez également tenir un registre desdits incidents et, s’ils sont de nature importante, informer la personne concernée ainsi que la Commission d’accès à l’information du Québec.

5. Respecter les nouvelles mesures d’encadrement du partage des données personnelles à des fins d’étude, de recherche, de statistiques ou dans le cadre d’une transaction commerciale.

6. Informer la Commission d’accès à l’information du Québec si vous comptez procéder à des vérifications d’identité par le biais de mesures biométriques (toute identification qui utiliserait les caractéristiques biologiques d’une personne, comme sa voix ou son visage, par exemple).

7. Communiquer à votre clientèle si vous utilisez une technologie afin de l’identifier, de la localiser ou de la profiler ainsi que votre politique de confidentialité.

8. Assumer que le partage des données hors Québec pourra faire l’objet d’un examen approfondi, étant donné que toutes les régions n’ont pas les mêmes politiques de protection des renseignements personnels. 

9. Détruire ou anonymiser les renseignements personnels de votre clientèle (et de votre personnel) dès que l’objectif pour lequel vous les avez collectées est atteint, à la suite du délai raisonnable prévu par la Loi (7 ans, en date de la publication de cet article).

Afin d’obtenir la liste complète des règles en cours ainsi que celles à venir, ou afin d’obtenir de l’aide sur le sujet, consultez la rubrique du gouvernement du Québec sur la protection des renseignements personnels. 

Les conseils Novatize quant à la sécurité des renseignements personnels

L’équipe de Novatize a à cœur le rayonnement des valeurs de la firme, et parmi celles-ci on retrouve la transparence. C’est avec cet intérêt en tête qu’on émet ces suggestions quant à la protection des données personnelles.

Responsable de la protection des renseignements personnels

En plus de désigner une personne responsable de la protection des renseignements personnels, nous recommandons de publier son nom, une description de son rôle et de ses responsabilités sur votre site eCommerce. Vous pouvez même ajouter sa photo ainsi qu’une adresse courriel pour la rejoindre, au besoin. 

Démontrez à votre clientèle le sérieux et la transparence avec lesquels vous prévoyez protéger ses informations. L’absence de risque n’existera jamais, mais assurez-vous que votre entreprise fait tout en son pouvoir afin d’offrir une expérience de magasinage sécuritaire. 

Incident de confidentialité

Un incident de confidentialité est tout événement qui a causé la fuite d’informations confidentielles à des tiers qui n’étaient pas autorisés à les recevoir. 

Par exemple, certaines plateformes de commerce électronique ont des failles connues et des scripts peuvent parfois être injectés en récoltant des informations sensibles. Un autre exemple possible pourrait être le départ de votre entreprise d’un employé malveillant qui avait accès à la base de données de la clientèle et qui partagerait des informations sensibles à autrui.

Notre conseil : dès que vous savez (ou pensez) qu’un incident est survenu, communiquez avec les personnes responsables de la sécurité informatique afin de vous assurer qu’il n’y a pas de risque que cela ne se reproduise. Pensez immédiatement à des mesures correctives à mettre en place.

Informez également votre clientèle et votre communauté de l’incident une fois que la situation sera sous contrôle. Bien que le sujet soit délicat, les cachettes ou le manque d’honnêteté le sont encore plus. Minimisez l’impact réputationnel lié à un incident en communiquant de manière transparente et professionnelle : 

• La cause de l’incident
• Les mesures correctives qui ont été instaurées suite à l’incident
• Les informations de contacts nécessaires en cas de questionnements

Vous souhaitez mettre en place les meilleures pratiques eCommerce et vous assurer de la conformité de vos actions. Contactez un expert ou une experte chez Novatize. 

📞 +1 844 932 6682

📥 contact@novatize.com

📍 330-330 rue Saint-Vallier Est, G1K 9C5, Québec, QC, Canada