Êtes-vous prêt pour vos obligations envers la loi 25 ? Oui je sais qu’elle est entrée en vigueur en septembre 2022, mais le moment le plus important de la mise en application est septembre 2023. Donc la question pourrait être : êtes-vous prêt pour septembre 2023 ?

Considérez-vous comme salués responsables PRP… et les autres. Si vous ignorez ce que signifie responsable de la protection des renseignements personnels, alors là, une mise à jour s’impose !

Levez la main ceux et celles qui n’ont pas nommé leur responsable PRP, formé un comité sur l’accès à l’information et la protection des renseignements personnels, constitué le registre des incidents afin d’être prêt à aviser le CAI et les clients en cas d’incident. Si vous avez la main levée (même dans votre tête) retournez à la case départ en 2022 ! Vous pouvez consulter mes articles dans les éditions de mai et de décembre 2021 du magazine Affaires automobiles !

Pour le reste de la classe… aiguisez vos crayons feutres !

Il y a plusieurs points de la loi qui changeront notre réalité autant pour les concessionnaires que pour les fournisseurs, les fabricants et les consommateurs. En effet, nous serons tous affectés comme clients car nous reprenons le contrôle de notre vie privée et de nos données. La modernisation de la loi 25 en fait l’une des plus strictes du monde et se compare à bien des égards au RGPD en Europe ou au CCPA en Californie. Nous sommes les premiers au Canada à moderniser l’encadrement du respect de la vie privée par comparaison au PIPEDA ou au PIPA de l’Alberta et la Colombie-Britannique.

Certes, il y a les changements majeurs à l’ordre du jour en septembre 2023 (voir article dans l’édition de décembre 2021 d’Affaires automobiles) qui affecteront les affaires et le marketing, mais avant de comprendre les points de loi, nous devons en comprendre le sujet. Nous n’avons jamais eu l’éducation et la formation nécessaires pour comprendre la donnée, sa valeur et comment la travailler. Au contraire, l’industrie de l’automobile à continuellement délégué à l’externe ses besoins essentiels à propos de ses bases de données clients. Nous avons l’habitude de manipuler les données sans planification, d’avoir plus d’une base de données, d’en exporter en Excel pour les fournisseurs comme les ventes privées ou les agences de marketing, d’avoir des profils en doublons ou invalides, de conserver les dossiers clients… à vie !

Afin de bien se préparer, l’ensemble de votre personnel et vous devrez comprendre ce qu’est une donnée. Vous devrez comprendre le cycle de vie des renseignements personnels et savoir pourquoi vous les collectez, comment vous l’entreposez et comment vous l’utilisez avant d’en disposer.

Les 5 étapes sont :La collecte, la conservation, l’utilisation, la communication et la destruction.

La collecte

La première étape du cycle de vie commence lorsque nous collectons un renseignement personnel. Nous pouvons le faire avec un formulaire de demande en ligne sur notre site web, avec le client qui se présente au Service ou aux Ventes, qui appelle aux Pièces, avec les données de Google Analytics, en créant un numéro de membre pour notre programme fidélité ou un profil de comportement que nous déduisons à partir de renseignements divers. Même le fait de regarder un permis de conduire sans copie et conservation constitue une collecte !

Dès le départ nous avons l’obligation de protéger les renseignements personnels et, pour ce faire, nous devrons avoir une réflexion et planifier nos processus en ayant en tête les éléments de bases suivants :

Pourquoi collectons-nous des données ? Nous devons établir la raison légitime de collecter un renseignement personnel pour créer un dossier sur un client.
Collecter le nécessaire seulement ! Limitons la collecte de renseignements à ceux qui sont nécessaires pour la raison légitime préalablement établie. Un truc : si nous ne sommes pas certains qu’un renseignement est nécessaire, ne le collectons pas.
Bien recueillir les renseignements. Assurons-nous d’utiliser des moyens et des outils qui respectent la loi et idéalement directement auprès du client. (Consultez mon article de l’édition d’octobre 2022 d’Affaires Automobiles – Le guide de démarrage rapide des 4 types de données afin de comprendre les types de données).
Expliquons pourquoi nous créons un dossier sur le client ! Oui absolument, nous devons clairement expliquer la raison, l’utilisation des données, par qui, où elles seront conservées, leurs droits d’accès et de rectification.
Obtenir un consentement. Obtenir l’accord du client en prenant bien soin de respecter les principes suivants :

Il doit être manifeste, donc évident, indiscutable, incontestable… pas compliqué.
Il doit être libre, donc donné sans fausses obligations, sans contrainte, même de perception.
Il doit être éclairé, spécifique et précis car le client doit être informé de l’utilisation de ses renseignements personnels : comment ils seront utilisés, par qui et pourquoi ?

Il doit avoir une durée et des objectifs spécifiques, car un renseignement personnel a une durée de vie qui peut être un nombre de jours, de mois ou d’années selon une demande, une relation d’affaires ou autres.

À mon avis, il s’agit de l’un des points les plus importants à saisir dans la loi 25 car l’impact est large. Le consentement est à la base de tout. Terminé les consentements implicites ou cachés, compliquées, remplis de verbiages incompréhensifs. Le client (nous tous individuellement aussi) a le pouvoir de tout choisir. L’entreprise a l’obligation de tout lui expliquer et de proposer. C’est un changement de garde, un virage à 180 degrés car c’est la vie privée par défaut ! Terminé le buffet à volonté ou tous les fournisseurs pouvaient aller s’empiffrer de données majoritairement acquises de façon discutable !

La conservation

La durée de vie des renseignements personnels définit indirectement la seconde étape du cycle car la conservation ou l’entreposage est la période durant laquelle nous conservons ces infos sur nos clients. Qu’on utilise ou pas, et peu importe la forme ou le format, tant que la donnée n’est pas détruite, on se doit de respecter les obligations suivantes :

Mesures de sécurité : tout faire pour assurer la sécurité des données clients.
Bases de données propres et mises à jour : avoir des renseignements clients à jour et valides pour respecter la loi et pouvoir bien utiliser les données.
Sauvegarde/copie de sauvegarde/archives : Votre responsable TI doit mettre en place un système qui vous permettra de pouvoir repartir la machine en cas d’attaque.

L’utilisation

Dans cette phase, les données de renseignements personnels qui sont entreposées sont disponibles pour les employés de la concession. Nous devons définir qui peut utiliser les données et les raisons pour lesquelles ils peuvent le faire. Que ce soit pour l’analytique, les statistiques, la relance, les rappels ou le service à la clientèle, nous devons respecter les obligations suivantes :

Limiter l’accès : seules les personnes qui doivent recevoir un renseignement personnel pour effectuer leur travail.
Limiter l’utilisation : la raison pour laquelle l’information a été collectée devrait être la seule raison de son utilisation.
Obtenir un nouveau consentement : si la raison pour laquelle la donnée a été collectée a été accomplie.

La communication

Lorsque nous utilisons des renseignements personnels à l’extérieur de la concession avec des partenaires, et que ceux-ci ont accès à nos données, par le CRM, le DMS, les bases de données exportées, pour le marketing ou le renouvellement, nous devons aussi nous assurer de respecter certaines obligations  :

Limiter l’accès : seules les personnes qui doivent recevoir un renseignement personnel pour effectuer leur travail.
Obtenir le consentement : si nous voulons transmettre de l’information à un partenaire, nous devons en informer le client dans la phase du consentement.
Respecter la loi : Au-delà du respect du client, il faut suivre les obligations légales en matière de communication et particulièrement à l’extérieur du Québec.

La destruction

La fin du cycle de vie d’un renseignement personnel est la destruction… pas fou comme logique. Il arrive parfois que les données sont archivées afin d’être disponibles pour des obligations légales ou gouvernementales, avant d’être détruites et purgées de la base de données. Nous aurons les obligations suivantes :

Droit d’accès et rectification : il est possible qu’avant la destruction de ses renseignements personnels, un client veut y accéder (dans un fichier structuré), rectifier ou demander la destruction de ses renseignements personnels.
Détruire sécuritairement : quand la raison pour laquelle elle a été collectée a été accomplie et que nous n’avons pas besoin de conserver en vertu d’une loi.

Il est essentiel de comprendre ce cycle de vie des renseignements personnels, pourquoi on collecte, comment, qui l’utilise et comment en disposer adéquatement. Nous devons comprendre l’importance capitale d’avoir une base de données légale, morale, sécurisée, propre et bien ordonnée. Cette vulgarisation d’un sujet complexe est grandement inspirée du CAI (Commission d’Accès à l’Information) et résume bien l’ensemble des sujets à discuter et à planifier.

Ainsi, en plus d’avoir un avantage concurrentiel en qualité du respect des clients, nous pourrons utiliser de meilleures données et prendre de meilleures décisions adaptées et personnalisées à notre clientèle. Pour respecter la loi, nous devons comprendre où nous sommes, quel est l’état des lieux.

Je vous laisse avec la première étape à faire afin de vous préparer. Une cartographie physique et numérique de tous les points de contact et chemins que peuvent emprunter les données de vos clients, leurs renseignements personnels. Un rayon X de votre écosystème et de votre équipe pour savoir où circulent les données. Bonne préparation !

L'article Les 5 étapes du cycle de vie d’un renseignement personnel a été publié initialement sur Affaires automobiles.