Parce que… c’est l’épisode 0x349!

Shameless plug

• 21 au 23 novembre 2023 - European Cyber Week
• février 2024 - SéQCure
• Formation Crise et résilience
  • Ateliers et conférences (Auto évaluation)
  • Formation PCA 2022
  • 4 Guides pour survivre à une CyberCrise
  • Formation PCA en ligne

Description

Dans cet épisode du podcast, on discute des nouvelles lignes directrices concernant le consentement des renseignements personnels sous la Loi 25, dont l’échéance principale pour la conformité est fixée au 22 septembre 2022. Les intervenants, Simon et son interlocuteur, examinent comment cette réglementation vient modifier les pratiques des organisations en matière de collecte et d’utilisation des données personnelles au Québec. Ils notent que ces changements sont très concrets et ont un impact majeur sur le fonctionnement des organisations, les obligeant à revoir et ajuster leurs processus existants.

La Loi 25 apporte de nouvelles obligations pour les entreprises, en particulier autour de la question du consentement. Les organisations doivent s’assurer que la forme de consentement qu’elles obtiennent est adéquate pour les types de données qu’elles collectent. Les renseignements personnels sensibles, tels que les données médicales ou biométriques, nécessitent une attention particulière. Il est souligné que le consentement n’est pas toujours express et peut être implicite ou présumé dans certaines situations.

Les intervenants discutent des différences entre le régime québécois et le régime européen RGPD, notant que le premier repose essentiellement sur le consentement alors que le second permet d’autres bases juridiques pour la collecte de données. Cependant, ils notent que cette approche unique au Québec crée des zones grises et des ambiguïtés, et que les lignes directrices de la Loi 25, bien qu’elles apportent certaines clarifications, introduisent également de nouvelles zones d’incertitude.

Un point important soulevé est l’obligation pour les organisations d’informer les individus sur leur droit de retirer leur consentement, avec des nuances concernant les limites de ce retrait. Ils soulignent qu’il existe des finalités essentielles, par exemple, dans le cadre d’un contrat de vente, où le consentement ne peut être retiré. Les organisations doivent donc élaborer des processus pour gérer ces retraits de consentement et distinguer entre les utilisations essentielles et non essentielles des données personnelles.

Les intervenants mettent également en lumière la question des cookies, mentionnant que la Loi 25 traite cette question de manière séparée et permet une certaine flexibilité dans l’utilisation de différents types de cookies. Ils soulignent que les organisations ont besoin de mieux comprendre et naviguer dans les nuances de la réglementation concernant les cookies pour éviter les complications.

L’introduction de cette loi a également pour conséquence une augmentation de la communication des organisations vers leurs clients pour les informer des modifications apportées à leurs politiques de confidentialité. Ils évoquent les défis technologiques associés à la mise en œuvre de ces changements, notamment en ce qui concerne l’intégration de l’intelligence artificielle et le rôle des fournisseurs de services marketing dans la gestion du retrait du consentement.

En conclusion, ils notent que l’ajustement aux nouvelles directives est un processus complexe et dynamique, avec des éléments encore ambivalents et incertains. Ils anticipent que les organisations feront face à une “aventure” en naviguant dans les ramifications technologiques de la conformité. Ils appellent à une réflexion sur l’équilibre entre la protection des données personnelles et le maintien d’un service personnalisé basé sur l’IA, soulignant le dilemme entre la sécurité des données et la qualité du service.

En somme, cet épisode met en évidence les nuances complexes et les défis pratiques que les organisations doivent aborder dans le contexte des nouvelles directives sur le consentement des renseignements personnels introduites par la Loi 25 au Québec.

Notes

• Lignes directrices sur les critères de validité du consentement - renseignements personnels - Consultation sur le projet de texte
• Lignes directrices 2023-1 sur les critères de validité du consentement

Collaborateurs

• Nicolas-Loïc Fortin
• Simon Du Perron

Crédits

• Montage par Intrasecure inc
• Locaux virtuels par Riverside.fm

Tags: cai, consentement, l25, loi25, pl64