Filtrer le contenu par :

Vous vendez en Europe via votre site web? Assurez-vous d’adapter vos pratiques de collecte des renseignements personnels de vos clients

15 février 2018

Grâce à la conclusion de l’Accord économique et commercial global entre le Canada et l’Union européenne (AECG), accepter les achats effectués sur votre site transactionnel par des européens est probablement devenu plus intéressant. Mais attention! Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractères personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (Règlement général sur la protection des données ou RGPD) vous attend au détour! Ce règlement deviendra applicable à vos ventes en ligne dans l’Union européenne à compter du 25 mai 2018.

Vous n’avez donc que quelques mois pour vous y conformer. En effet, une compagnie basée au Québec et qui vend ses produits et services aux européens résidant sur le territoire de l’UE sans se conformer au RGPD est susceptible de se faire imposer une amende pouvant aller jusqu’à 4 % de son chiffre d’affaires annuel mondial ou 20 millions d’Euros, selon le plus élevé des deux. À défaut de mettre en place les mesures requises, la seule alternative pourrait être de s’abstenir de vendre en ligne à des résidents de l’Union européenne afin de ne pas colliger de renseignements personnels sur ces derniers.

Notez que selon votre manière de colliger les renseignements personnels et d’obtenir le consentement de vos clients ou utilisateurs ainsi que le type de renseignements que vous colligez, vous pourriez devoir mettre en place différents mécanismes ou ajouter à des mécanismes existants. Alors, si vous êtes déjà conforme à la législation québécoise et canadienne, voici ce que vous devriez probablement mettre en place pour vous conformer au RGPD.

  • Politique de confidentialité séparée et optimisée.

Une politique de confidentialité relative aux renseignements personnels distincte de vos conditions d’utilisation ou autres clauses contractuelles dont vous exigez l’acceptation de vos utilisateurs ou clients. Cette politique devra, dans certains cas, informer la personne sur laquelle vous colligez des renseignements personnels des risques que le transfert de ses renseignements personnels au Québec peut comporter pour elle. De plus, plusieurs informations devront être ajoutées à votre politique, telle la durée de conservation des renseignements personnels ou, lorsque ce n’est pas possible, les critères pour déterminer cette durée;

  • Conception et protection par défaut.

Des mesures techniques et organisationnelles, telles la « pseudonymisation », qui sont destinées à minimiser la collecte de renseignements personnels et le nombre de personnes qui y ont accès;

  • Retirer mon consentement et m’effacer.

L’ajout d’un bouton « Je désire retirer mon consentement... » ou tout autre moyen permettant à votre client de pouvoir retirer son consentement aussi facilement qu’il vous l’a donné, accompagné d’un moyen technologique pour effacer définitivement et rapidement certains renseignements personnels. Vous devrez également requérir de tous vos sous-traitants à qui vous avez transmis ces renseignements qu’ils fassent de même;

  • Consentement parental.

Pour les médias sociaux, avoir un mécanisme empêchant les enfants de moins de 16 ans de vous divulguer leurs renseignements personnels sans avoir obtenu le consentement parental;

  • Questions quasi-interdites.

Retirer toute question ou champ, ou fonction qui demande à un utilisateur ou un client de révéler son origine raciale ou ethnique, ses opinions politiques, ses convictions religieuses ou philosophiques, ou son appartenance syndicale, ainsi que fournir des données génétiques, des données biométriques aux fins d’identifier une personne physique de manière unique, des données concernant sa santé ou des données concernant sa vie sexuelle ou son orientation sexuelle, sauf si vous entrez dans certaines exceptions prévues par le RGPD;

  • Représentant dans l’UE.

Pour les fins du RGPD, nommer un représentant de votre entreprise situé dans l’Union européenne, sauf si vous ne colligez des renseignements personnels de résidents de l’Union européenne qu’occasionnellement et que le traitement de ceux-ci n’est pas susceptible d’engendrer un risque pour les droits et libertés des personnes physiques;

  • Sous-traitants.

Un contrat écrit avec vos sous-traitants qui doit contenir plusieurs clauses prévues par le RGPD, si vous faites affaires avec des sous-traitants dans le cadre du traitement des renseignements personnels;

  • Portabilité des données.

Un mécanisme permettant de remettre à vos clients ou utilisateurs leurs renseignements personnels colligés automatiquement dans le cadre de l’exécution d’un contrat ou de l’obtention d’un consentement, le tout dans un format structuré, couramment utilisé et lisible par machine. Lorsque c’est techniquement possible, vous devrez être en mesure de remettre ses données directement à un tiers, même s’il s’agit de votre compétiteur;

  • Registre.

Un registre de vos activités de traitement, lequel doit respecter plusieurs critères prévus par le RGPD, sauf dans certains cas.

Satisfaire toutes les exigences du RGPD est une lourde tâche. Vous aurez avantage à obtenir une certification démontrant votre conformité au RGPD afin de profiter pleinement de l’AECG. Finalement, les entreprises qui se seront conformées au RGPD seront mieux préparées à affronter toute nouvelle législation américaine et canadienne relatives aux renseignements personnels qui pourront voir le jour prochainement.

Nicolas St-Sauveur fait partie de l’Équipe stratégique Web de BCF qui offre à notre clientèle des services et des conseils juridiques pertinents à propos de leur présence sur Internet. Cet environnement en constante évolution requiert l’expertise d’une équipe multidisciplinaire comme celle de BCF. L’auteur aimerait souligner la contribution de Me Vincent Ébacher-Anderson de Me Didier Culat à cet article.