Loi 25 et gestion des témoins: comment vous conformer à la loi

Pour que votre entreprise soit conforme à la loi 25, vous devez tenir compte d'éléments importants, notamment dans la gestion des témoins (cookies).

Rappelons d'abord que la loi 25 modernise certaines lois déjà en vigueur, notamment la Loi sur la protection des renseignements personnels dans le secteur privé, qui s'applique à toutes les entreprises privées exerçant leurs activités au Québec qui collectent des renseignements personnels sur leurs clients, leurs employés ou leurs partenaires, peu importe leur taille. On peut citer par exemple:

• les boutiques en ligne et les commerces: collecte des noms, adresses et informations de paiement des clients;
• les cabinets professionnels (avocats, comptables, consultants): conservation de dossiers contenant des renseignements;
• les entreprises en technologie et marketing: utilisation de témoins et d'outils de suivi sur les sites Web;
• les entreprises de services aux autres entreprises: même si elles traitent principalement avec d'autres entreprises, elles doivent assurer la protection des renseignements personnels de leurs employés, le cas échéant.

Informer vos utilisateurs de l'utilisation d'une technologie de suivi

Toute entreprise utilisant un site Web ou une application avec des fonctionnalités d'identification, de localisation ou de profilage doit informer l'utilisateur avant toute collecte de données.

L'entreprise doit:

• mentionner qu'une technologie de suivi est utilisée (ex.: témoins de profilage, pixels de suivi publicitaire, outils d'analyse comportementale);
• indiquer quels sont les moyens offerts pour activer ces fonctions.

Par exemple, si votre site Web utilise Google Analytics pour suivre le comportement des visiteurs, un bandeau de consentement doit préciser clairement que cette technologie permet d'analyser les comportements de navigation et que l'utilisateur peut activer cette fonction.

Gérer les témoins (cookies)

Les utilisateurs de votre site Web ou de votre application doivent avoir le choix d'accepter ou non un certain nombre de témoins qui concernent leurs données personnelles. Un gestionnaire de témoins doit permettre aux utilisateurs de prendre des décisions claires. Voici six règles essentielles:

1. Témoins désactivés par défaut: tous les témoins permettant le profilage, l'identification ou la localisation doivent être désactivés par défaut. En général, seules les catégories de témoins strictement nécessaires peuvent être activées par défaut;
2. Clarté et spécificité des fins: chaque témoin doit être décrit avec sa finalité exacte (ex.: publicité ciblée, analyse du trafic) ainsi que la durée pendant laquelle il demeure sur le navigateur de l'utilisateur;
3. Choix des finalités par l'utilisateur: l'utilisateur doit pouvoir sélectionner les types de témoins qu'il accepte (ex.: accepter l'analyse du trafic mais refuser la publicité ciblée);
4. Refus aussi simple que l'acceptation: un bouton «Refuser tout» doit être aussi accessible et visible qu'un bouton «Accepter tout»;
5. Choix des tiers: si des données sont transmises à des entreprises tierces (ex.: Google, Facebook), l'utilisateur doit pouvoir choisir à qui il consent à transmettre ses données;
6. Retrait du consentement à tout moment: l'utilisateur doit pouvoir modifier ses préférences à tout moment, pas seulement lors de sa première visite sur le site.

Fournir à l'utilisateur un accès à ses données

Tout utilisateur peut demander:

• une copie des renseignements collectés sur lui;
• une explication sur la manière dont ses données sont utilisées.

Si des données sont inexactes, il peut demander leur correction.

FAQ | Questions les plus fréquentes sur la gestion des témoins (cookies)

En mettant en place un gestionnaire de témoins conforme et une politique de confidentialité claire, vous réduisez votre risque juridique tout en respectant la vie privée de vos utilisateurs.

Besoin d'aide? Communiquez avec nous pour une évaluation de la conformité de votre site par notre équipe d'experts en protection des renseignements personnels.