La Loi 25 a marqué un tournant dans le paysage numérique québécois. En imposant des règles strictes en matière de protection des données personnelles, elle a poussé les entreprises à revoir leurs pratiques et à adopter de nouvelles technologies.
La 3ème phase portant sur la portabilité des données est entrée en vigueur le 22 septembre 2024. Cette dernière phase représente un nouveau défi de taille pour les organisations.
Portabilité des données: quelles sont vos obligations ?
Voici les étapes à suivre lorsque par exemple moi, Tom Boutet, demande à recevoir mes informations personnelles.
-
Réception et vérification de la demande:
- Identification de la demande: L’entreprise doit reconnaître formellement la demande de portabilité.
- Vérification de l’identité: L’entreprise doit s’assurer que la demande émane bien de Tom Boutet et non d’un tiers.
- Évaluation de la demande: L’entreprise doit déterminer si la demande est complète et si elle porte sur des données personnelles qu’elle détient effectivement.
-
Identification des données pertinentes:
- Inventaire des données: L’entreprise doit procéder à un inventaire des données personnelles de Tom Boutet qu’elle détient dans ses différents systèmes (CRM, site web, applications, etc.).
- Sélection des données à transmettre: Seules les données qui sont directement liées à Tom Boutet et qui sont nécessaires à l’exercice de ses droits doivent être transmises (voir l’infographie sur la distinction entre le droit d’accès à des renseignements personnels et le droit à la portabilité).
-
Choix du format de sortie:
- Format lisible et structuré: Le format choisi doit être lisible par un être humain et par une machine. Les formats CSV ou JSON sont souvent privilégiés.
- Interopérabilité: Le format doit permettre à Tom Boutet de réutiliser facilement les données dans un autre contexte.
-
Transmission des données:
- Sécurisation de la transmission: Les données doivent être transmises de manière sécurisée pour éviter tout risque de fuite.
- Délai de réponse: L’entreprise dispose d’un délai précis pour répondre à la demande (généralement un mois).
- Confirmation de réception: L’entreprise doit accuser réception de la demande et informer Tom Boutet de la date à laquelle il recevra les données.
-
Conservation d’un justificatif:
- Trace écrite: L’entreprise doit conserver une trace de la demande, de ses actions et de la réponse apportée.
Vous voulez vérifier que vous pouvez répondre à toutes vos obligations ?
Demandez à notre équipeUn contexte réglementaire en constante évolution
Les préoccupations liées à la protection de la vie privée ont conduit à une multiplication des réglementations à l’échelle mondiale, avec des lois emblématiques comme le RGPD en Europe et la CCPA aux États-Unis. Le Québec s’est aligné sur ces tendances internationales en adoptant la Loi 25.
Les premières phases de la loi, axées sur la nomination d’un responsable de la protection des données et l’obtention d’un consentement explicite, ont suscité un certain émoi. Mais c’est avec la portabilité des données que les entreprises ont vraiment pris conscience de l’ampleur de la tâche. La ruée vers les CMP (Consent Management Platform) en témoigne : de nombreuses organisations se sont retrouvées en retard et ont dû rapidement mettre en place des solutions pour se conformer aux nouvelles exigences.
La portabilité des données : une complexité accrue
La portabilité des données oblige les entreprises à fournir aux individus, sur demande, une copie de toutes les données personnelles les concernant. De plus, es données doivent être dans un format structuré et lisible. Cette obligation soulève de nombreuses questions :
- Quelles données doivent être fournies ? Il est essentiel de définir clairement l’étendue des données à transmettre, en tenant compte des différentes sources (CRM, site web, applications, etc.).
- Dans quel format ? Le format de sortie doit être standardisé et facilement compréhensible par l’individu. Les formats CSV ou JSON sont souvent privilégiés.
- Comment sécuriser les données ? La transmission des données doit être sécurisée pour éviter tout risque de fuite.
Pour les entreprises ayant développé leur propre CMP, cette nouvelle exigence représente un défi supplémentaire. En effet, la portabilité des données n’était pas nécessairement prise en compte lors de la conception de ces solutions personnalisées. Il est donc nécessaire de revoir l’architecture technique et d’ajouter de nouvelles fonctionnalités.
Le rôle des agences numériques
Face à cette complexité, les entreprises ont besoin d’être accompagnées par des experts. Les agences numériques ont un rôle clé à jouer en :
- Sensibilisant les entreprises aux enjeux de la portabilité des données.
- Auditant les systèmes d’information pour identifier les données à caractère personnel et les flux de données.
- Mettant en place des solutions techniques pour répondre aux exigences de la loi.
- Formant les équipes sur les bonnes pratiques en matière de protection des données.
En conclusion, la portabilité des données est un enjeu majeur pour les entreprises québécoises. Si cette nouvelle obligation peut sembler contraignante à première vue, elle contribue à renforcer la confiance des consommateurs et à améliorer la protection de leurs données personnelles. Il est donc essentiel que les organisations s’adaptent rapidement à ce nouveau contexte réglementaire en s’appuyant sur l’expertise des agences numériques.