20 Sep 2024
La Loi 25 : les changements qui pourraient affecter votre eCommerce
Avec son arrivée, la Loi 25 amène son lot de changements pour les organisations et les entreprises, et le monde du commerce électronique n’en est pas exempt. Êtes-vous à jour en ce qui a trait aux changements qui sont en vigueur depuis septembre 2024?
Notre équipe vous a préparé un résumé des changements qui pourraient affecter votre eCommerce ainsi que quelques conseils et exemples d’applications concrètes.
Rappelons-nous que la Loi 25 consiste à moderniser des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé. Comme la technologie est en constante évolution, il est capital de s’y adapter et c’est pourquoi cette réforme permettra de mieux répondre aux nouveaux défis posés par l’environnement numérique actuel.
La loi 25 apporte des précisions quant à la définition d’un renseignement personnel : « Un renseignement personnel désigne toute information qui concerne une personne physique et permet son identification, directe ou indirecte ». En revanche, lorsqu’on parle d’un renseignement qualifié d’ « anonyme » ou d’« anonymisé », cela signifie qu’il ne permet plus, de manière irréversible, d’identifier directement ou indirectement ladite personne.
Bien que la protection de la vie privée et la sécurité sont dans les tendances à surveiller en 2024, plusieurs géants technologiques ont déjà entamé leur croisade contre les third party data. Apple a déjà rendu impossible le partage d’informations personnelles à partir de plateformes publicitaires sur son navigateur Safari, alors que Google prévoit pour 2024 la fin des témoins (cookies) sur son navigateur Chrome.
En gardant à l’esprit que la transparence est une valeur fondamentale chez Novatize, la Loi 25 revêt d’une importance capitale. Nous aspirons à mettre en œuvre les recommandations à la lettre afin de créer un environnement eCommerce sécurisé qui saura inspirer confiance :
- Module de gestion des Cookies : Respectant les normes de la Loi 25, RGPD2, CCPA, etc., notre solution permet aux visiteurs et visiteuses de votre eCommerce de choisir les cookies qu’ils acceptent ou refusent;
- Module de consentement : Offre aux clients et clientes la possibilité de donner un accord explicite et limité dans le temps pour la collecte, l’utilisation et le partage de leurs données;
- Mesures de sécurité renforcées : Nous utilisons des méthodes avancées telles que le chiffrement, le hachage, la pseudonymisation ou l’anonymisation pour protéger les données personnelles contre tout accès non autorisé, perte, altération ou divulgation. Les méthodes de paiement sont d’ailleurs mises constamment à jour pour garantir la certification PCI DSS;
- Désactivation par défaut de la géolocalisation : Le respect à la vie privée des utilisateurs et utilisatrices est très important, c’est pourquoi nous désactivons par défaut la géolocalisation jusqu’à ce que les clients et clientes donnent leur accord explicite;
- Système de droit à l’oubli : Mise en place d’un système d’anonymisation des commandes et des informations clients pour respecter le droit à l’oubli;
- Gestion des fuites de données : Élaboration d’un processus clair de communication et de gestion en cas de fuite de données, ainsi qu’une assistance à la suppression des données sur les modules externes (comme Facebook marketing, Klaviyo, Google analytics, etc.);
- Autres demandes sur mesure en fonction de vos besoins spécifiques.
En plus d’honorer toutes les obligations qui étaient auparavant en fonction, Novatize vous résume les 10 réglementations qui doivent déjà être mises en place sur votre eCommerce depuis le 22 septembre 2023 :
1. Nommer une personne responsable de la protection des renseignements personnels et publier ses coordonnées sur votre site Web;
2. Avoir établi des politiques sur la sécurité des renseignements personnels que vous possédez et publier ces politiques sur votre site Web d’ici septembre 2023;
3. Ne recueillir que les informations nécessaires à l’atteinte de l’objectif, et communiquer clairement ledit objectif lors de la cueillette. Sans consentement de la personne, l’objectif ne pourra être modifié qu’une fois les renseignements personnels recueillis;
4. S’il survient un incident de bris de confidentialité d’un renseignement personnel, prendre les mesures nécessaires afin que des incidents similaires ne se produisent pas. Vous devrez également tenir un registre desdits incidents et, s’ils sont de nature importante, informer la personne concernée ainsi que la Commission d’accès à l’information du Québec;
5. Respecter les nouvelles mesures d’encadrement du partage des données personnelles à des fins d’étude, de recherche, de statistiques ou dans le cadre d’une transaction commerciale;
6. Informer la Commission d’accès à l’information du Québec si vous comptez procéder à des vérifications d’identité par le biais de mesures biométriques (toute identification qui utiliserait les caractéristiques biologiques d’une personne, comme sa voix ou son visage, par exemple);
7. Communiquer à votre clientèle si vous utilisez une technologie afin de l’identifier, de la localiser ou de la profiler ainsi que votre politique de confidentialité;
8. Assumer que le partage des données hors Québec pourra faire l’objet d’un examen approfondi, étant donné que toutes les régions n’ont pas les mêmes politiques de protection des renseignements personnels;
9. Prévoir, par défaut, les paramètres assurant le plus haut niveau de confidentialité du produit ou du service technologique offert au public;
10. Détruire ou anonymiser les renseignements personnels de votre clientèle (et de votre personnel) dès que l’objectif pour lequel vous les avez collectées est atteint, à la suite du délai raisonnable prévu par la Loi (7 ans, en date de la publication de cet article).
Dernièrement, depuis septembre 2024, la phase 3 de la Loi 25 est entrée en vigueur et a introduit des obligations supplémentaires pour les entreprises, notamment en matière de portabilité des données. Ce droit à la portabilité permet aux individus de récupérer leurs données personnelles dans un format lisible et structuré. Cela signifie que vous devez être prêts et prêtes à transférer les renseignements personnels informatisés d’un utilisateur ou d’une utilisatrice à un autre fournisseur ou fournisseuse, ou directement à l’individu, sur demande. Le délai pour traiter une demande de portabilité est de 30 jours pour les entreprises privées et de 20 jours pour les organismes publics, avec une possibilité de prolongation sous certaines conditions.
Vous devrez donc revoir vos pratiques de gestion des données pour vous assurer que vos renseignements sont transférables dans des formats courants comme JSON, CSV ou XML. Il est également crucial de mettre en place des mesures de sécurité pour garantir que les données en transit soient protégées contre les accès non autorisés.
En plus de la portabilité, d’autres exigences sont entrées en vigueur, telles que la création d’un registre pour documenter les demandes de portabilité, la vérification de l’identité des demandeurs pour prévenir les abus, ainsi que la mise en œuvre de politiques et procédures claires pour traiter ces demandes de manière conforme. Cette nouvelle phase vise à renforcer la transparence et la protection des données dans un contexte numérique de plus en plus exigeant.
Pour vous assurer d’être conforme, il est essentiel de former vos membres du personnel et de mettre à jour vos processus de gestion des données. L’adaptation à ces nouvelles obligations permettra de renforcer la confiance de votre clientèle tout en minimisant les risques de sanctions par la Commission d’accès à l’information.
Afin d’obtenir la liste complète des règles en cours ainsi que celles à venir, ou afin d’obtenir de l’aide sur le sujet, consultez la rubrique du gouvernement du Québec sur la protection des renseignements personnels.
Les conseils Novatize quant à la sécurité des renseignements personnels
L’équipe de Novatize a à cœur le rayonnement des valeurs de la firme, et parmi celles-ci on retrouve la transparence. C’est avec cet intérêt en tête qu’on émet ces suggestions quant à la protection des données personnelles.
Responsable de la protection des renseignements personnels
En plus de désigner une personne responsable de la protection des renseignements personnels, nous recommandons de publier son nom, une description de son rôle et de ses responsabilités sur votre site eCommerce. Vous pouvez même ajouter sa photo ainsi qu’une adresse courriel pour la rejoindre, au besoin.
Démontrez à votre clientèle le sérieux et la transparence avec lesquels vous prévoyez protéger ses informations. L’absence de risque n’existera jamais, mais assurez-vous que votre entreprise fait tout en son pouvoir afin d’offrir une expérience de magasinage sécuritaire.
Incident de confidentialité
Un incident de confidentialité est tout événement qui a causé la fuite d’informations confidentielles à des tiers qui n’étaient pas autorisés à les recevoir.
Par exemple, certaines plateformes de commerce électronique ont des failles connues et des scripts peuvent parfois être injectés en récoltant des informations sensibles. Un autre exemple possible pourrait être le départ de votre entreprise d’un employé malveillant qui avait accès à la base de données de la clientèle et qui partagerait des informations sensibles à autrui.
Notre conseil : dès que vous savez (ou pensez) qu’un incident est survenu, communiquez avec les personnes responsables de la sécurité informatique afin de vous assurer qu’il n’y a pas de risque que cela ne se reproduise. Pensez immédiatement à des mesures correctives à mettre en place.
Informez également votre clientèle et votre communauté de l’incident une fois que la situation sera sous contrôle. Bien que le sujet soit délicat, les cachettes ou le manque d’honnêteté le sont encore plus. Minimisez l’impact réputationnel lié à un incident en communiquant de manière transparente et professionnelle :
- La cause de l’incident
- Les mesures correctives qui ont été instaurées suite à l’incident
- Les informations de contacts nécessaires en cas de questionnements
Transparence et honnêteté au coeur des actions
Chez Novatize, l’honnêteté est au cœur de chacune de nos actions, ce qui nous pousse à privilégier la franchise et l’intégrité avant toute chose. Dans cette optique, nous vous encourageons vivement à élaborer vos propres politiques concernant la sécurité des renseignements personnels et à les rendre publics en les publiant sur votre site Web.
De plus, il est primordial que vous communiquiez avec votre clientèle si vous utilisez une technologie spécifique permettant de l’identifier, la localiser ou la profiler. Vos client(e)s doivent être pleinement informé(e)s de ces mesures afin de garantir une protection optimale de leurs données ainsi que de leurs informations personnelles.
En adoptant cette approche, vous saurez démontrer votre engagement envers la transparence tout en renforçant la confiance de vos client(e)s envers votre entreprise.
Vous souhaitez être accompagné dans l’optimisation de vos politiques de confidentialité pour assurer la conformité de vos actions? Contactez un expert ou une experte chez Novatize.
📍 330-330 rue Saint-Vallier Est, G1K 9C5, Québec, QC, Canada
Inspiré par ce que vous avez lu?
Notre équipe d’experts peut vous aider à propulser votre commerce électronique au prochain niveau!