L'adoption récente au Québec de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnes (ci-après « Loi 25 »), anciennement connue sous le nom de « projet de loi 64 », a entraîné des changements importants pour les organisations qui recueillent, communiquent et utilisent des renseignements personnels en sol québécois.

Alors que les organisations ont déjà dû se conformer à la première vague d’exigences, entrées en vigueur en septembre 2022, une nouvelle série d’exigences est à venir et ce, aussi rapidement que septembre 2023. Ces dernières nécessitent une préparation et des efforts importants pour une mise en œuvre effective.

Retour sur la Loi 25

La Loi 25 est largement inspirée du « Règlement général sur la protection des données » (RGPD) européen, cette nouvelle loi provinciale tend notamment à accorder plus de droits aux individus qui partagent leur renseignement personnel et, par le fait même, institue un principe général de transparence. En l'occurrence, une personne qui consent à partager ses renseignements personnels avec une organisation doit comprendre comment ces renseignements seront utilisés, communiqués et possiblement partagés à des tiers.

Pour guider les organisations et les entreprises dans ce processus, nos professionnels ont élaboré un guide complet visant à présenter la loi, ses contraintes, mais également les opportunités qui en découlent, réparties autour de 11 thèmes de conformité.

Les pages suivantes décrivent comment KPMG au Canada peut accompagner les organisations du secteur privé et du secteur public dans la mise en conformité et l'opérationnalisation des exigences reliées à l’un de ces thèmes de conformité : transparence et consentement.

L’importance d’obtenir un consentement valide

Pour être valide, un consentement doit être exprimé de manière manifeste et libre, obtenu par le biais d’un langage simple et clair. La Loi 25 prévoit également que l'obtention du consentement ne doit pas être dissimulée à l’intérieur d’une multitude d’informations. 

En plus de ce qui précède, pour que le consentement soit valide, une organisation doit informer l’individu qui partage ses renseignements personnels :

  • Des finalités pour lesquelles les renseignements sont recueillis
  • Des moyens par lesquels les renseignements sont recueillis
  • De ses droits d’accès, de rectification et de retrait de consentement à l’utilisation des renseignements recueillis
  • Des catégories de tiers à qui il est nécessaire de communiquer les renseignements pour les finalités définies; et
  • De la possibilité que les renseignements soient communiqués à l’extérieur du Québec

La Commission d’accès à l’information (CAI) a récemment publié un projet de lignes directrices sur le consentement qui présente des illustrations et fait état de l’interprétation de la CAI de certaines dispositions de la loi, notamment en ce qui a trait aux exigences applicables en cas d’utilisation de renseignements personnels sensibles à des fins secondaires.

Qui doit consentir?

Les exigences de consentement doivent être respectées envers les clients, prospects, mais aussi envers les employés et candidat à l’emploi : bref, tous les individus qui partagent des renseignements personnels, c’est-à-dire « toute information qui permet d’identifier un individu de manière directe ou indirecte », avec une organisation.

Toutefois, à compter du 22 septembre 2023, la Loi 25 exclura de l’application de la loi, les renseignements et coordonnées relatifs aux contacts d’affaires : employeur, fonction, coordonnées professionnelles (adresse courriel, adresse de l’entreprise, numéro de téléphone professionnel, etc.).

L’opérationnalisation du consentement avec KPMG

KPMG dispose de la méthodologie et de l'expérience pratique nécessaires pour vous aider à mettre en œuvre de solides stratégies de gestion des consentements.

Operationalization-fr

Orientations

Identification des besoins d’affaires

  • Fins sérieuses et légitimes
  • Finalités primaires : les renseignements personnels nécessaires à la prestation de services ou des activités d’affaires
  • Finalités secondaires : autres finalités qui ne sont pas essentielles à la prestation de services ou des activités d’affaires

Validation du contexte d’affaires

  • Persona : clients existants, nouveaux clients, prospects, candidats, employés
  • Canal et support (papier, électronique, numérique)
  • Obtention directe du consentement ou par l’entremise de tiers
  • Renseignements personnels sensibles ou non sensibles

Positionnements

  • Finalités visées : primaires et secondaires
  • Modalités d’obtention du consentement pour les nouveaux clients (présumé, opt-out, opt-in) en fonction du contexte et des canaux 
  • Stratégie de gestion pour clients existants
  • Requis pour la gestion du consentement (utilisation – traitement des demandes de retrait)
  • Besoins et requis fonctionnels pour une solution de gestion

Réalisations

Mise en œuvre

  • Rédaction des libellés et révision de l’avis de protection des renseignements personnels pour couvrir les exigences d’information
  • Validation des moments clés des parcours clients
  • Modification de la documentation utilisée dans le cadre des activités d’affaires impliquant la collecte de renseignements personnels dans les parcours clients 
  • Adaptation en fonction des spécificités des activités d’affaires
  • Optimisation des obtentions de consentement en fonction des parcours clients

Gestion et solution

  • Mode de conservation
  • Implantation d’une solution permettant de valider le statut et la gestion des retraits de consentement

Les organisations doivent mettre en œuvre la gestion des consentements pour garantir la validité de ceux-ci pour les clients existants et futurs afin d’offrir une expérience optimale, de maintenir une relation de confiance avec les parties prenantes et de réduire les risques réputationnels qui découlent d’une gestion inadéquate.

Cette stratégie doit prendre en compte:

Cette stratégie doit prendre en compte

Exigences de conformité
Ressources financières
Ressources matérielles
Ressources humaines
Ressources technologiques

Planifier sa mise en œuvre sur des bases saines

KPMG invite d’entrée de jeu ses clients à se positionner sur des aspects qui permettront de guider les travaux de mise en œuvre.

Positionnements Étapes à réaliser

L’étendue (qui)

Pour quelles entités la collecte de renseignements personnels est-elle effectuée?

Qui sont les personas visés par le consentement?

  • Identifier les besoins d’affaires et opérationnels
  • Valider le contexte d’affaires
  • Définir les cas d’utilisation
  • Dresser l’inventaire des processus impliquant la collecte de renseignements personnels
  • Identifier les particularités de chaque entité (le cas échéant)

Les modalités d’obtention (comment)

Comment le consentement des individus sera-t-il obtenu?

  • Dresser l’inventaire des finalités pour lesquelles les renseignements personnels sont recueillis
  • Dresser l’inventaire des interfaces utilisateurs, des outils, des solutions et des scénarios de collecte de consentement, ainsi que les risques associés à ceux-ci
  • Définir la stratégie d’obtention (opt-in/opt-out et le niveau de granularité)
  • Déterminer les modalités privilégiées en fonction des interfaces et de la stratégie d’obtention

Le libellé du consentement (quoi)

Comment l’organisation remplira-t-elle son obligation d’information envers les individus lors de l’obtention du consentement?

  • Valider les requis du consentement
  • Décliner le contenu du libellé en fonction des interfaces utilisateurs

La gestion des consentements existants

Comment gérer les consentements préalablement obtenus?

  • Dresser l’inventaire et analyser les consentements existants
  • Identifier les capacités de retrait de consentement dans le cadre des systèmes existants
  • Déterminer les moyens à privilégier pour effectuer une re-sollicitation effective (le cas échéant)

Une fois l’orientation de la stratégie des consentements définie, les organisations devront procéder à sa mise en œuvre, soit l’implantation puis la gestion, ce qui implique notamment:

  • Mettre à jour les politiques de protection des renseignements personnels ainsi que les différents libellés de consentement et communications existants.
  • Mettre en œuvre des processus et solutions requises pour consolider les consentements recueillis de différentes sources et assurer la conservation
  • Définir les exigences fonctionnelles et choisir des solutions adaptées à l’architecture technologique en place
  • Implanter des solutions de gestion des consentements et de leur retrait
  • Définir une méthode de rétention

Au-delà de l’implantation des obligations réglementaires, la mise en œuvre est l’occasion de revoir et d’aider à optimiser les processus déjà en place. L’implication du volet expérience client (CX) dans la mise en œuvre de la nouvelle stratégie d’obtention de consentement est cruciale afin de s’assurer que celle-ci tienne compte des futurs besoins du marketing (communications, connaissance client, personnalisation, etc.) pour minimiser l‘impact sur les ventes et l’expérience livrée aux prospects et aux clients de l’organisation.

Data gathering, touchpoints and client experience

Utilisation et conservation des consentements

La Loi 25 prévoit que le consentement n’est valide que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Ainsi les organisations doivent également déterminer quand il sera nécessaire et opportun de demander le consentement pour l'utilisation ultérieure des renseignements personnels d'une personne. KPMG aide les organisations à déterminer un standard basé sur l'appétit pour le risque, les exigences réglementaires et les besoins de l’organisation.

Implantation d’une solution technologique pour la gestion des consentements

Pour assurer la gestion effective des consentements, les organisations peuvent choisir d’utiliser les différentes solutions technologiques disponibles sur le marché.

L’équipe multidisciplinaire de KPMG aide les organisations à définir les requis fonctionnels, à établir la mesure de gestion transitoire et à identifier et mettre en œuvre la solution cible de gestion du consentement.

À haut-niveau voici des étapes clés et des activités sous-jacentes pour sélectionner, déployer et rendre opérationnelle une solution technologique qui couvre la gestion des consentements :

Vision et stratégie
1
  • Critères de réussite
  • Adhésion
  • Évaluation de la maturité
  • Feuille de route
Éléments fondateurs / Conception du programme
2
  • Fondamentaux : langage, taxonomie, cadres communs
  • Opportunité de convergence, alignement des fonctionnalités, point d'intégration
  • Établir les exigences commerciales, fonctionnelles et techniques à haut-niveau
Sélection du fournisseur
3
  • Acheter vs. construire
  • Sélection de l'outil ou des outils
  • Démonstration des fournisseurs
  • Critères d'évaluation
  • Notation de l'appel d'offre
mise en œuvre
4
  • Configuration et implantation de la solution
  • Planification de la conversion et exécution de la migration des données
  • Stratégie de test, test de performance et acceptation par les utilisateurs
  • Plan de soutien post-production pour le déploiement
Gestion de projet en continu
Formation, sensibilisation et adhésion

Confidentialité par défaut : quel est l’impact sur le consentement?

Les organisations doivent aussi se préparer à l’entrée en vigueur de l’exigence de confidentialité par défaut. En vertu de cette règle une technologie qui collecte des données telles que l’adresse IP, une adresse MAC ou une adresses courriel à des fins de profilage, de géolocalisation ou d’identification ne peut être activée par défaut. Au contraire, elle doit plutôt être activée par un geste positif de l’individu qui utilise cette technologie. Par exemple, les cookies de ciblage publicitaire utilisés par un site Web ne peuvent pas être stockés sur l'appareil d'un utilisateur, sauf si ce dernier a explicitement donné son accord. Cela se fait généralement par l'intermédiaire d'un message contextuel ou d'une bannière qui informe l'utilisateur de l'utilisation de cookies et lui permet de choisir s'il souhaite les accepter ou non. L'objectif de la confidentialité par défaut pour les cookies est d'accroître la transparence et de donner aux utilisateurs plus de contrôle sur le suivi et la collecte de leurs données par les sites Web. 

À noter que les témoins nécessaires au fonctionnement du site Web ou de l’application sont exclus de cette exigence.

Opérationnalisation
Phase d'initialisation
  • Balayage des sites et classification des témoins (cookies)

Vision utilisateur
Première visite Visites suivantes
  • Sélection des options et documentation du consentement (création d'une clé unique)
  • Préférences enregistrées dans un registre des consentements
  • Validation avec la clé unique
  • Un nouveau consentement est demandé si des changements sont identifiés à la suite d'un balayage

L’expérience et les connaissances dont vous avez besoin

KPMG au Canada est un leader en matière de protection des renseignements personnels. Nos équipes de professionnels multidisciplinaires ont mené à bien de nombreux projets visant à rendre des organisations conformes à la Loi 25 et travaillent également sur des projets de mise en conformité de la loi qui découlera de l’adoption du projet de loi C-27, et comprennent les défis auxquels votre organisation peut être confrontée. C’est pourquoi KPMG au Canada adopte une approche holistique pour la gestion du consentement, en tenant compte non seulement des questions de conformité, mais aussi des besoins d’affaires et opérationnels de l’organisation.

Communiquez avec nous pour approfondir la discussion avec nos leaders en protection des renseignements personnels et vous assurer que votre entreprise mette en place une saine gestion des consentements.

Communiquez avec nous

Tenez-vous au courant de sujets qui vous intéressent.

Inscrivez-vous aujourd’hui pour avoir accès à du contenu personnalisé en fonction de vos intérêts.

Communiquez avec nous