Photo by Helloquence on Unsplash

Dix conseils du Commissaire pour améliorer votre politique de renseignements personnels

Le Commissaire à la protection de la vie privée du Canada publiait très récemment un document intitulé Dix conseils pour améliorer votre politique de confidentialité en ligne et la transparence de vos pratiques en matière de protection de la vie privée. Ce document vise, éléments visuels à l’appui, à aider les entreprises à concevoir ou améliorer leur politique en matière de renseignements personnels (ce que le Commissariat nomme une politique de confidentialité, sans doute influencé par la terminologie anglophone misant sur le concept de « privacy »).

Comme chacun le sait, la Loi sur la protection des renseignements personnels et les documents électroniques (La « LPRPDE » ou « PIPEDA », selon son acronyme anglophone le plus souvent utilisé en pratique) exige que chaque entreprise publie sa politique pour la gestion des renseignements personnels qu’elle détient, utilise, etc. Le document devrait en principe permettre aux individus de comprendre comment l’entreprise en question gère leurs renseignements personnels, le cas échéant. En pratique, par contre, nombre d’entreprises se contentent de publier un document rédigé à la hâte, souvent pour la forme, et qui s’avère inadéquat pour réellement permettre à un individu de comprendre ce qui est fait par l’entreprise et comment.

Bien que le document original mérite d’être consulté, je me permets ici de résumer les dix recommandations du Commissaire :

  1. Rédigez un document réellement basé sur vos activités, sans simplement copier bêtement un modèle trouvé au hasard en ligne.
  2. Décrivez réellement quelle information est recueillie, utilisée ou communiquée à d’autres – ne tentez pas de le faire en des termes vagues.
  3. Faites plus qu’indiquer que votre site peut générer des fichiers témoins (cookies) – fournissez le détail quant à ce que cela implique.
  4. Décrivez adéquatement les choix que vous donnez aux individus par rapport à la cueillette, la communication et l’utilisation de leurs renseignements personnels, sans oublier de décrire comment ils peuvent faire ces choix.
  5. Expliquez comment un individu peut faire corriger ou supprimer les renseignements que vous détenez sur lui.
  6. Mettez perpétuellement à jour votre politique, en évitant de tabler sur une politique rédigée au jour 1, comme décrivant soi-disant vos pratiques, alors qu’en pratique celles-ci ont probablement évolué au fil du temps.
  7. Fournissez aux individus plusieurs façons faciles de communiquer avec vous au sujet de leurs renseignements personnels ou de votre politique.
  8. Rendez l’information véhiculée par votre politique facile à trouver, par exemple sur la page d’accueil de votre site Web.
  9. Rédigez votre politique en langage clair (de tous les jours), en évitant le jargon juridique.
  10. Présentez vos pratiques avec une structure de texte qui en facilite la compréhension, en évitant de simplement présenter le tout dans une série de paragraphes consécutifs sans logique apparente.