LA LOI 25 S’APPLIQUE-T-ELLE AU COMMERCE INTERENTREPRISES (B2B)?

Plusieurs entreprises en commerce interentreprises (B2B) sont confuses et ne savent pas si la loi 25, soit les nouvelles modifications aux lois sur la protection des renseignements personnels dans le secteur privé s’appliquent à leurs activités. D’autres pensent tout simplement qu’elles n’ont pas à s’en préoccuper. Qu’en est-il vraiment ?

1. Pensez aux renseignements que vous détenez concernant vos clients et à quoi ils servent.

La définition de renseignement personnel est volontairement large et inclut tout un tas d’informations qui ne viendraient pas automatiquement à l’esprit. Un renseignement personnel permet d’identifier une personne, que ce renseignement soit seul (par exemple, un numéro d’assurance sociale) ou combiné à d’autres (comme un nom et un prénom).

La loi 25 exclut cependant les renseignements qui concernent l’exercice d’une fonction au sein d’une entreprise. Un nom, un titre et une fonction, de même que les adresse, numéro de téléphone et adresse courriel de cette personne au travail ne sont donc pas des renseignements personnels lorsque ceux-ci concernent l’identification de la personne sur son lieu de travail.

Les entreprises qui font du commerce entre entreprises se servent certes de ces informations pour contacter des personnes spécifiques dans leur relation client. En revanche, dès que l’information de contact est combinée à d’autres renseignements spécifiques à une personne, la loi a vocation à s’appliquer.

Une entreprise peut avoir décidé de collecter l’adresse personnelle des dirigeants de ses meilleurs clients, pour leur envoyer un cadeau personnalisé. Une autre peut détenir des adresses courriel qui sont également les adresses courriel personnelles de dirigeants d’entreprises à propriétaire unique. Une autre peut détenir des informations de paiement reliées à une carte de crédit personnelle.

Si l’une de ces situations ou d’autres situations similaires s’appliquent à votre entreprise, alors votre entreprise devrait évaluer dans quelle mesure elle collecte, utilise et communique les renseignements personnels de ses clients et de quelle manière elle est soumise à la Loi 25 sur ces aspects.  Seules les informations qui servent spécifiquement à contacter une personne au sein d’une entreprise sont exclues de l’application de la loi.  

2. Ne négligez pas vos employés.

Bien que vos activités commerciales se concentrent sur les entreprises, vous avez aussi des employés, dont vous collectez les renseignements personnels du début de leur processus d’embauche jusqu’à la fin de leur emploi chez vous et parfois même après.

Les renseignements personnels collectés sur les employés sont par exemple leurs antécédents criminels ou de crédit lors de l’évaluation de leur candidature, leur numéro d’assurance sociale pour des fins fiscales, leur rendement au travail et la raison de la fin de leur emploi. Dans certaines entreprises, il pourra aussi s’agir de renseignements biométriques collectés par des horodateurs, la voix ou l’image d’un employé collectées par de la vidéosurveillance ou la géolocalisation exacte d’un livreur.

Tous ces renseignements constituent des renseignements personnels au sens des lois de protection de la vie privée applicables, ce qui signifie que votre entreprise devra mettre en place un programme complet de gestion des renseignements personnels de vos employés. À l’inverse d’entreprises qui sont en relation directe avec les consommateurs, ce programme pourrait être allégé, mais non moins important.

Concrètement, cela signifie que votre entreprise devra notamment mettre en place des politiques et pratiques documentées de gestion des renseignements personnels d’employés, un mécanisme de détection et de traitement des incidents de confidentialité impliquant des renseignements personnels d’employés, des évaluations des facteurs relatifs à la vie privée (EFVP) si votre entreprise utilise un système ou un fournisseur à qui il faudra transmettre des renseignements personnels à l’extérieur du Québec, un mécanisme de traitement et d’analyse des demandes d’accès à l’information et des délais de conservation spécifiques pour les renseignements personnels des employés.

3. Votre site web peut collecter des renseignements personnels.

Les sites web peuvent être visités par des gens du grand public et ceux-ci peuvent être un moyen de collecter des renseignements qui pourraient être des renseignements personnels. Par exemple, certains formulaires de contact ou de demande de soumission contiennent des champs de texte qui peuvent occasionner la collecte de renseignements personnels. Les applications de clavardage en ligne, les boutiques en ligne ou encore les pages de recrutement sont aussi des points de collecte potentiels de renseignements personnels. Enfin, si vos équipes de développement web ou de marketing déposent des témoins de connexion (cookies) sur vos pages dans le but d’améliorer l’expérience utilisateur ou en vue de faire de la publicité ciblée, il y a fort à parier que ces technologies puissent également collecter certains renseignements personnels.

La collecte de renseignements personnels sur les sites web nécessite l’obtention de consentements appropriés et la désactivation par défaut des technologies comme certains types de témoins de connexion. De manière générale, une entreprise publiera aussi des conditions d’utilisation de même qu’une politique de confidentialité sur son site.  

4. N’oubliez pas vos pages ou comptes professionnels sur les réseaux sociaux.

Dans la même lignée que lorsqu’il est question d’un site web, les profils et comptes de réseaux sociaux peuvent permettre à des entreprises de collecter des renseignements personnels, par exemple dans l’acquisition de nouveaux clients qui pourraient écrire à votre entreprise à partir de leur profil personnel, lors de la publication de commentaires sur vos services, dans les messages privés ou encore lors de l’utilisation d’outils permettant d’effectuer de la publicité ciblée au moyen d’audiences.

En conclusion, les entreprises qui offrent des services entre entreprises devraient nécessairement avoir en place en date du 22 septembre 2023 :

• Un programme de gestion des renseignements personnels de leurs employés impliquant minimalement :
  • La nomination d’un Responsable de la protection des renseignements au sein de l’entreprise (la personne ayant la plus haute autorité ayant ce rôle par défaut en vertu de la loi, celle-ci peut déléguer les fonctions à une personne de son choix)
  • Une politique concernant la gestion des renseignements personnels d’employés, incluant les pratiques de surveillance de l’entreprise;
  • Une révision des consentements pré-embauche et ceux qui sont donnés à l’emploi lors de la signature du contrat portant sur la collecte, l’usage et la conservation des renseignements personnels des employés par l’entreprise;
  • Un processus de gestion des incidents de confidentialité impliquant des renseignements personnels d’employés;
  • Des personnes désignées à l’interne pour traiter les demandes d’accès à l’information, plaintes et autres droits des employés prévus par les lois;
  • La révision des pratiques de sécurité de l’information de l’entreprise en ce qui concerne les renseignements personnels des employés (adaptées à la sensibilité des renseignements)
  • Un processus de vérification diligente des nouveaux fournisseurs de services lorsque cela concerne les renseignements personnels d’employés ainsi qu’un processus de déclenchement des Évaluation des facteurs relatifs à la vie privée, si cela est nécessaire.

Dans le cas où l’entreprise pourrait aussi recueillir des renseignements personnels de clients ou de consommateurs du grand public, celle-ci devra s’assurer d’ajouter à son programme de gestion de la vie privée :

• Une politique interne de gestion des renseignements personnels;
• Une révision des consentements nécessaires à la collecte, l’utilisation et la communication des renseignements personnels;
• Une politique de confidentialité publiée sur son site web, décrivant ses pratiques de gestion des renseignements personnels et fournissant plus d’informations sur la collecte, l’utilisation, la communication et la conservation des renseignements personnels des clients de l’entreprise ou du grand public. La politique devra aussi identifier clairement le Responsable de la protection des renseignements personnels de l’entreprise, de même que de décrire les façons pour le grand public d’exercer ses droits en matière de protection des renseignements personnels.

Ces éléments ne sont offerts qu’à titre informatif et chaque programme de protection des renseignements personnels peut différer selon le modèle d’affaires de l’entreprise et de sa réalité particulière. L’important est de bien évaluer votre posture et de démarrer les discussions à l’interne. Pour en savoir plus, contactez l’équipe de protection des données, cybersécurité et renseignements personnels de chez Robic.