Une obligation pour toute collecte à l’aide d’une technologie
La publication d’une politique de confidentialité est obligatoire si vous recueillez des renseignements personnels à l’aide d’une technologie. Cette politique doit être publiée dans votre site Web ou diffusée par tout autre moyen permettant aux personnes concernées d’en prendre connaissance. Elle leur permet d’être informées des renseignements que vous recueillez sur elles.
Par exemple, lorsque vous recueillez des renseignements personnels au moyen de votre site Web ou d’une application mobile, les personnes concernées doivent avoir accès à votre politique de confidentialité.
Qu’est-ce qu’une politique de confidentialité?
Il s’agit d’une politique expliquant les pratiques d’une entreprise pour protéger les renseignements personnels recueillis au moyen de cette technologie. Son objectif est d’informer les personnes concernées des renseignements qui sont ainsi recueillis et de la façon dont votre organisation utilisera, conservera et protégera ceux-ci.
Cette politique doit être adaptée au contexte dans lequel elle s’inscrit et informer les personnes :
- Des renseignements personnels collectés par ce moyen technologique et des fins pour lesquelles ils sont recueillis;
- Des tiers à qui ils pourraient être communiqués et dans quels contextes;
- Des mesures de protection mises en place pour préserver leur confidentialité;
- Du recours à l’utilisation de témoins de connexion (cookies), si tel est le cas;
- Des droits et des recours des personnes concernées;
- De toute modification apportée à la politique, si tel est le cas.
La politique de confidentialité doit permettre aux personnes concernées de comprendre l’utilisation et la circulation de leurs renseignements. Elles doivent pouvoir comprendre vos pratiques liées à cette collecte réalisée à l’aide d’un moyen technologique. Par conséquent, cette politique doit être rédigée en termes simples et clairs.
Technologie disposant de paramètres de confidentialité
Les entreprises qui recueillent des renseignements personnels en offrant des produits ou des services technologiques disposant de paramètres de confidentialité doivent :
- S’assurer que les paramètres de confidentialité par défaut assurent le plus haut niveau de confidentialité, et ce, sans aucune intervention de la personne concernée.
Les paramètres de confidentialité d’un témoin de connexion ne sont pas visés par cette exigence.
Spécificités pour les entreprises
Peu importe la technologie utilisée, des informations spécifiques doivent être incluses dans la politique de confidentialité. Les lois applicables prévoient cependant certaines distinctions.
Contrairement au secteur public, les modalités de la politique de confidentialité des entreprises ne feront pas l’objet d’un règlement du gouvernement. Des obligations de transparence doivent cependant être respectées. Consultez la page Informations à fournir avant une collecte de renseignements personnels.
Fonction permettant d’identifier, de localiser ou d’effectuer un profilage
Vous devrez fournir des informations supplémentaires aux personnes concernées si vous collectez leurs renseignements en utilisant une technologie comprenant des fonctions permettant :
- D’identifier ces personnes;
- De les localiser;
- D’effectuer un profilage à leur sujet.
Le profilage est défini comme suit :
- La « collecte et l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de la personne ».
Dans un tel cas, vous devrez informer les personnes :
- Que vous utilisez une telle technologie;
- Des moyens offerts pour activer les fonctions d’identification, de localisation ou de profilage.
Par conséquent, vous ne pouvez pas activer ces fonctions par défaut. La personne concernée doit pouvoir le faire elle-même, volontairement.