PIPEDA, CPPA et Cookies Consent au Canada

PIPEDA : les bases

Commençons par un aperçu de la PIPEDA, ou Loi sur la protection des renseignements personnels et les documents électroniques. Cette loi vise à protéger les renseignements personnels des résidents canadiens et à s’assurer qu’ils demeurent privés et sécurisés.

Selon la PIPEDA, les renseignements personnels comprennent les données d’identification comme le nom, la date de naissance, l’adresse IP, les témoins et plus encore. Elle s’applique à toute organisation qui recueille, divulgue ou utilise des renseignements personnels à des fins commerciales.

Par ses dix principes, elle régit toute la collecte, l’utilisation et la divulgation des données privées au Canada :

Principes directeurs

Voici les dix principes directeurs de la PIPEDA:

1. 1. La responsabilité: L’organisation qui recueille les renseignements sera tenue responsable de la conformité. Cette responsabilité s’applique toujours à toute donnée transférée à un autre fournisseur pour traitement.
   2. Identification des objectifs: L’entreprise doit identifier le but de la collecte des données. Ainsi, la finalité doit être claire au moment de la collecte.
   3. Consentement: L’individu doit savoir que les informations sont collectées et à quelles fins elles seront utilisées. De même, les personnes doivent d’abord donner leur consentement.
   4. Limitation de la collection: Seules les informations nécessaires à la réalisation de l’objectif de l’organisation peuvent être collectées. Le processus de collecte doit également être équitable et légal.
   5. Limitation de l’utilisation, de la divulgation et de la conservation : Une entreprise ne peut pas utiliser les données personnelles à d’autres fins que celles pour lesquelles elles ont été divulguées. Elle doit obtenir un consentement supplémentaire, comme l’exige la loi, pour utiliser les données dans d’autres domaines, et elle ne peut conserver les informations que jusqu’à ce qu’elles répondent à cet objectif.
   6. Exactitude: L’organisation doit veiller à ce que toutes les données à caractère personnel soient complètes et exactes, conformément à ses objectifs.
   7. Garanties: Des mesures appropriées doivent être prises pour protéger les informations personnelles et sensibles.
   8. Transparence: L’organisation doit mettre à la disposition des utilisateurs ses politiques et pratiques qui régissent la manière dont elle gère les données personnelles. Ceux-ci doivent pouvoir examiner ces pratiques avant de donner leur consentement au partage des informations.
   9. Accès individuel: Un individu doit recevoir sur demande des détails sur l’existence, l’utilisation et la divulgation des données personnelles. Elle aura également accès aux données afin de pouvoir en contester l’exactitude et l’exhaustivité, si nécessaire.
   10. Contestation de la conformité: Les personnes peuvent contester la conformité d’une organisation avec les principes décrits ci-dessus. Il devrait y avoir un rôle désigné au sein de l’organisation pour répondre à ces préoccupations.

Vous trouverez ici le texte actuel de la PIPEDA.

Utilisez la consent management platform CookieFirst pour vous conformer à la PIPEDA. La CMP CookieFirst propose un générateur complet de politique en matière de cookies, une bandeau cookies ou un avis de cookies personnalisable et une gestion de scripts tiers.

Obligations en vertu de la PIPEDA

Alors, que doit faire exactement une entreprise pour se conformer à la PIPEDA ?

L’aspect le plus important de cette législation est le consentement. Les organisations doivent obtenir le consentement de tous avant de recueillir, d’utiliser ou de divulguer des renseignements personnels. De même, elles doivent continuer à fournir des produits et des services même si une personne refuse de donner son consentement – à moins que les données ne soient essentielles pour conclure la transaction.

Votre organisation doit également élaborer des politiques de données claires et compréhensibles qui peuvent être fournies aux utilisateurs et démontrer la conformité à la PIPEDA.

Les lois sur la confidentialité des données telles que la PIPEDA et la CPPA exigent le consentement de l’utilisateur avant l’obtention et le traitement des données personnelles.

Droits des consommateurs

La PIPEDA accorde des droits étendus aux consommateurs en matière de confidentialité des données. Ils peuvent demander pourquoi leurs données sont collectées ou utilisées et obtenir l’accès à ces dossiers spécifiques.

Les personnes ont le droit de savoir qui est responsable de la protection de leurs données. Ils peuvent également attendre de l’organisation qu’elle prenne des mesures de sécurité minimales pour les garder en sécurité. S’ils estiment que leurs données privées n’ont pas été traitées correctement, ils peuvent se plaindre auprès de la partie concernée au sein de l’entreprise.

CookieFirst propose toutes sortes d’intégrations et de plugins (par exemple un WordPress Cookies Plugin) et est compatible avec pratiquement toutes les technologies Web disponibles. De plus, CookieFirst s’intègre au Google Consent Mode, un moyen respectueux de la confidentialité d’utiliser Google Analytics.

PIPEDA et consentement en matière de cookies

Puisque la PIPEDA exige que vous obteniez le consentement de vos utilisateurs avant de recueillir et de partager leurs renseignements personnels, la loi s’applique également aux témoins. Bien que cette définition soit encore en évolution, le fait est que les organisations doivent obtenir un consentement clair avant de suivre les données.

Lorsqu’une organisation demande le consentement, elle doit indiquer si ces données seront partagées avec une autre organisation ou un tiers. De même, elle doit décrire la raison pour laquelle les informations sont collectées et le but dans lequel elles seront utilisées.

Pour se conformer à cette législation, les utilisateurs doivent également avoir accès aux règles de confidentialité qui régiront la manière dont l’organisation gère ses données.

À quoi cela ressemble-t-il en pratique ?

En termes simples, les utilisateurs doivent avoir clairement la possibilité de dire oui ou non aux cookies. Vous devez offrir le choix aux utilisateurs dès avant qu’ils n’utilisent le produit ou le service, et vous devez expliquer les conditions de manière claire.

Si vous souhaitez en savoir plus sur les types de cookies, alors lisez notre article : Que sont les cookies ?

Qu’est-ce que la CPPA ?

En novembre 2020, le gouvernement canadien a introduit la CPPA – ou loi sur la protection de la vie privée des consommateurs. Cette loi est très semblable au GDPR en Europe et vise à améliorer les protections prévues par la PIPEDA afin de mieux protéger les résidents.

Même si les principes directeurs de la PIPEDA resteront inchangés, elle établira de nouvelles règles sur la façon dont les entreprises peuvent recueillir, utiliser et communiquer des renseignements personnels. Elle sera mise en application à partir de la fin de 2021 et s’appliquera à toutes les organisations qui accèdent aux renseignements des citoyens canadiens à des fins commerciales.

D’autres améliorations apportées par ce nouveau règlement permettront aux individus de contrôler le transfert de leurs informations personnelles entre organisations. Ils auront également le droit de demander la suppression de ces données s’ils choisissent de retirer leur consentement.

Même si les utilisateurs consentent à partager leurs données, la CPPA obligera l’entreprise à supprimer des identifiants spécifiques – comme les noms – des données qu’elle détient.

En vertu de la CPPA, le consentement explicite à la collecte de cookies sera considéré comme l’exigence par défaut. Bien que cela ne signifie pas que le consentement implicite par le biais d’un avis ne sera pas acceptable dans certaines circonstances, les entreprises devront prendre des mesures supplémentaires pour se conformer.

Par exemple, le consentement implicite peut fonctionner si le propriétaire du site web n’utilise les cookies que pour améliorer l’expérience de l’utilisateur ou recueillir des données d’utilisation pour lui-même. En revanche, si les cookies collectent des données à partager avec des tiers pour développer des publicités ciblées, ils devront probablement obtenir un consentement explicite préalable.