Démystifier les politiques de protection des renseignements personnels : ce qu’elles ne sont pas; les idées reçues les plus répandues

Démystifier les politiques de protection des renseignements personnels : ce qu’elles ne sont pas; les idées reçues les plus répandues

Pour créer un site Web complet et conforme, il est très important d’y intégrer une politique de protection des renseignements personnels (officiellement appelée « politique de confidentialité » en vertu des lois du Québec).

Les entreprises qui confondent par erreur leur politique de protection des renseignements personnels avec d’autres documents juridiques pourraient rencontrer des problèmes, ne respectant pas les exigences de la loi du Québec sur la protection des renseignements personnels ou engageant involontairement leur responsabilité envers leurs utilisateurs.

Dans le présent article, nous vous aidons à comprendre ce qu’est une politique de protection des renseignements personnels en expliquant ce qu’elle n’est pas, et ainsi à éviter les idées reçues et les écueils courants.

1.         Une politique de protection des renseignements personnels n’est pas les conditions d’utilisation

On croit souvent à tort que les conditions d’utilisation qu’une entreprise affiche sur son site Web couvrent de manière adéquate tous les aspects juridiques concernant les utilisateurs de celui-ci, y compris la protection des renseignements personnels. Ce n’est pas le cas. Les conditions d’utilisation sont différentes d’une politique de protection des renseignements personnels. Voici en quoi :

Tout d’abord, les conditions d’utilisation d’une entreprise décrivent le cadre juridique applicable à l’accès et à l’utilisation du site Web de l’entreprise et comprennent des dispositions et des modalités concernant notamment les droits, les obligations, les responsabilités, les interdictions et les mises en garde visant l’entreprise et de l’utilisateur. En substance, les conditions d’utilisation constituent un « contrat » juridiquement contraignant entre l’entreprise et un utilisateur qui navigue sur son site Web.

D’autre part, une politique de protection des renseignements personnels est un document conçu spécifiquement pour informer les utilisateurs sur la manière dont l’entreprise recueille, traite et gère les renseignements personnels par le biais de moyens technologiques.[1] En règle générale, une politique de protection des renseignements personnels indique aux utilisateurs quels renseignements personnels l’entreprise peut recueillir, et la façon dont elle les utilise, stocke et protège.

La loi du Québec impose aux entreprises l’obligation non seulement d’afficher sur leur site Web une politique de protection des renseignements personnels lorsqu’elles recueillent des renseignements personnels par des moyens technologiques, mais aussi d’inclure des informations précises dans leur politique de protection des renseignements personnels, comme les coordonnées de l’agent de la protection de la vie privée de l’entreprise, entre autres. À cet égard, une politique de protection des renseignements personnels représente un document de « mise en garde » obligatoire et un outil de « transparence » conçu pour informer les utilisateurs de leurs droits à la protection de la vie privée et de la façon dont leurs renseignements personnels sont recueillis et gérés par l’entreprise.

2.           Une politique de protection des renseignements personnels n’est pas une politique de gouvernance de la protection des renseignements personnels

Bien qu’une politique de gouvernance de la protection des renseignements personnels, aussi appelée politique de protection des données (une « politique de gouvernance de la protection des renseignements personnels »), soit liée à la politique de protection des renseignements personnels, son objet est très différent.

Une politique de gouvernance de la protection des renseignements personnels est un document d’une entreprise énonçant les mesures techniques, physiques et organisationnelles spécifiques que cette entreprise prend pour protéger les renseignements personnels qu’elle a en sa possession contre les atteintes à la protection des données, l’utilisation et l’accès non autorisés ou la perte. La politique de gouvernance de la protection des renseignements personnels vise généralement le personnel, les entrepreneurs et les autres parties prenantes de l’entreprise.

En vertu des lois du Québec sur la protection des renseignements personnels, les entreprises doivent établir et mettre en œuvre des politiques et des pratiques de gouvernance concernant les renseignements personnels afin de protéger les renseignements personnels qu’elles détiennent. Plus précisément, une politique de gouvernance de la protection des renseignements personnels constitue un cadre pour i) la conservation et la destruction des renseignements personnels; ii) la définition des rôles et responsabilités du personnel d’une entreprise qui traite les renseignements personnels tout au long de leur cycle de vie; et iii) l’établissement d’un processus de traitement des plaintes concernant la protection des renseignements personnels.[2]

À l’inverse, la politique de protection des renseignements personnels est un document public qui informe le public des pratiques de l’entreprise en matière de recueil, de traitement et de gestion des renseignements personnels.

Toutefois, il existe un chevauchement entre la politique de protection des renseignements personnels et la politique de gouvernance en la matière : en effet, les lois du Québec sur la protection des renseignements personnels exigent que les entreprises publient sur leur site Web dans des termes clairs et simples des informations détaillées sur leur politique de gouvernance de la protection des renseignements personnels.[3] C’est pourquoi les entreprises incluent les détails de leur politique de gouvernance de la protection des renseignements personnels dans la politique de protection des renseignements personnels qu’elles publient sur leur site Web.

3.           Une politique de protection des renseignements personnels n’équivaut pas à l’obtention d’un consentement exprès

Il peut être tentant pour une entreprise de supposer que le consentement exprès d’un utilisateur au recueil et au traitement de ses renseignements personnels peut se substituer à la publication d’une politique de protection des renseignements personnels. Malheureusement, ce n’est pas le cas.

Le consentement exprès d’un utilisateur au recueil et au traitement de ses renseignements personnels à une fin particulière doit être compris au pied de la lettre. L’utilisateur « autorise » expressément l’entreprise à recueillir ses renseignements personnels demandés et à les traiter tels qu’ils ont été communiqués. Par exemple, une entreprise peut obtenir le consentement exprès d’utilisateurs au recueil de leurs renseignements personnels à des fins de marketing et de promotion. Cette autorisation ne soustrait pas l’entreprise à son obligation d’afficher sur son site Web une politique de protection des renseignements personnels qui donne un aperçu détaillé de ses politiques et pratiques en matière de protection des renseignements personnels.

Une politique de protection des renseignements personnels est un document qui décrit comment une entreprise recueille, utilise, stocke et protège les renseignements personnels qu’elle obtient de ses utilisateurs, de ses clients ou d’autres parties prenantes. Ce document ne vise pas à obtenir le consentement exprès d’un utilisateur, mais à fournir des renseignements clairs et accessibles, à informer les utilisateurs de la façon dont leurs renseignements personnels sont gérés et à leur donner le contrôle sur leur vie privée.

4.           Une politique de protection des renseignements personnels n’est pas une politique relative aux témoins

Avec l’avènement de la réglementation sur la protection des données, les témoins sont devenus un point central des discussions sur la protection des renseignements personnels. Toutefois, il est essentiel de faire la distinction entre une politique de protection des renseignements personnels et une politique relative aux témoins.

Une politique relative aux témoins est un document qui explique comment les témoins et les technologies de suivi semblables sont utilisés sur le site Web d’une entreprise. Elle décrit habituellement les types de témoins utilisés, l’objectif de leur utilisation, la façon dont ils permettent aux entreprises de recueillir des renseignements et la façon dont les utilisateurs peuvent configurer leurs préférences en la matière.

En revanche, bien qu’une politique de protection des renseignements personnels puisse faire référence à l’utilisation de témoins par une entreprise, elle couvre un champ plus large, y compris tous les aspects du recueil et du traitement des renseignements personnels, non seulement au moyen de témoins, mais dans le cadre de toutes les interactions avec l’entreprise. En ce sens, on peut considérer qu’une politique relative aux témoins est un sous-ensemble d’une politique de protection des renseignements personnels.

Bien qu’une politique relative aux témoins soit étroitement liée au recueil de renseignements personnels, les entreprises doivent être conscientes qu’elle ne sert pas aux mêmes fins qu’une politique de protection des renseignements personnels exhaustive.

5.           Une politique de protection des renseignements personnels n’est pas un avis de non-responsabilité

On trouve souvent sur les sites Web des avis de non-responsabilité portant sur un éventail de questions allant de la responsabilité aux droits de propriété intellectuelle. Toutefois, ces avis de non-responsabilité ne remplacent pas une politique de protection des renseignements personnels.

Généralement, un avis de non-responsabilité limite la responsabilité d’une entreprise à l’égard de l’utilisation de son site Web et comprend des avis concernant les droits et responsabilités légaux des utilisateurs. L’objet principal d’un avis de non-responsabilité est de protéger l’entreprise contre toute responsabilité. À l’inverse, une politique de protection des renseignements personnels a un objectif de transparence et porte sur les droits des utilisateurs en ce qui concerne leurs renseignements personnels.

L’utilisation d’un avis de non-responsabilité au lieu d’une politique de protection des renseignements personnels peut exposer l’entreprise à des risques juridiques, car l’une ne peut être utilisée comme un substitut de l’autre.

Conclusion

Nous espérons que vous comprenez maintenant mieux ce qu’est une politique de protection des renseignements personnels en comprenant ce qu’elle n’est pas.

Votre politique de protection des renseignements personnels présente vos engagements en matière de protection des renseignements personnels envers le grand public et sert de promesse à vos utilisateurs quant à la façon dont leurs renseignements personnels seront recueillis et traités.

Assurez-vous que votre politique de protection des renseignements personnels est claire et distincte des autres politiques, vous permettant non seulement de respecter pleinement les lois du Québec, mais aussi d’établir un lien de confiance avec vos utilisateurs et diverses parties prenantes.

[1] Article 8.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-39.1.
[2] Article 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-39.1.
[3] Paragraphe 2 de l’article 3.2 de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ, c P-39.1.

par Amir Kashdaran

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2024