Aucune concession automobile n’a envie de faire l’objet d’une amende de 25 M$. Or, c’est à cette énorme conséquence que s’exposent de nombreux concessionnaires qui ne respectent toujours pas les nouvelles dispositions législatives de la loi 25 en matière de protection des renseignements personnels dans le secteur privé. C’est ce que soutient Carl Boyer, président d’Infra Info.
Depuis plus d’un an, Infra Info fait partie des fournisseurs qui s’évertuent à sensibiliser les concessionnaires automobiles à se conformer à ces nouvelles règles qui risquent de coûter très cher aux contrevenants.
Rappelons que depuis septembre 2022, la loi 25 est en vigueur et applicable pour toutes les entreprises, quel que soit leur secteur d’activités, ainsi qu’aux organismes publics, qui sont maintenant tenus de respecter la vie privée de leurs consommateurs. « Ces nouvelles obligations sont claires, insiste M. Boyer, expert en technologie de l’information qui évolue dans l’industrie automobile depuis une quinzaine d’années. Toutes les entreprises, incluant celles du milieu automobile, sont désormais imputables de la protection des données de leurs clients. »
Qu’est-ce que ça veut dire concrètement ?
« Tous les concessionnaires doivent maintenant désigner une personne responsable de la protection des renseignements personnels et publier son titre et ses coordonnées sur leur site Internet respectif », nous informe Carl Boyer.
Ce n’est pas tout. En cas d’incident de confidentialité, que ce soit un vol d’identité, une brèche dans les données, de l’hameçonnage et autres, les concessionnaires doivent tenir un registre. Ils ont désormais l’obligation de prendre rapidement des mesures afin de diminuer le risque qu’un préjudice soit causé aux personnes concernées, peut-on lire dans le communiqué publié par la CAI. « Notez qu’une entreprise victime d’un incident doit aussi aviser la Commission et les personnes concernées présentant un risque sérieux de préjudice », renchérit M. Boyer.
Tout incident devra d’ailleurs être conservé au registre de l’entreprise pendant cinq ans à partir de la date à laquelle l’organisation en a pris connaissance.
Ces nouvelles dispositions incluent également d’autres règles, dont le respect du nouvel encadrement applicable à la communication de renseignements personnels sans le consentement de la personne concernée dans le cadre d’une transaction commerciale ou encore à des fins d’étude, de recherche ou de production de statistiques, avertit la CAI.
« La formation d’un comité sur l’accès à l’information et la protection des renseignements personnels fait aussi partie des nouvelles directives fortement conseillée », souligne Carl Boyer. Un comité qu’il compare à celui portant sur la santé et la sécurité du travail.
Des nouvelles règles sous-estimées
De l’avis de Carl Boyer, la majorité des concessions automobiles, tout comme plusieurs autres entreprises, ne réalisent malheureusement pas encore la portée de ces nouvelles dispositions. « Il faut comprendre que ces nouvelles dispositions ont pour but de favoriser l’implantation d’une culture de gouvernance au sein des entreprises. » À ce propos, certains concessionnaires joints pour la rédaction de cet article nous ont justement répondu ne pas encore saisir les réels impacts de la loi 25.
« Je peux comprendre cette attitude que présentent certains concessionnaires face à cette nouvelle loi, indique Daniel Fox, vice-président du Groupe Olivier. Cette loi est très complexe et le simple fait de passer à travers ses tenants et aboutissants afin d’isoler les obligations qui sont requises pour les concessionnaires n’est pas évident. »
Le gestionnaire du Groupe Olivier a d’ailleurs utilisé le document d’une quinzaine de pages produit par la Corporation des concessionnaires du Québec pour retenir les grandes lignes de la loi. Selon lui, ce document aide à créer une structure interne qui répond aux exigences de la nouvelle loi.
« Malheureusement, les outils de la CCAQ ne livrent pas une solution clé en main. C’est à nous, comme concessionnaires, de bâtir notre propre programme interne. À mon avis, il est important que les concessionnaires saisissent l’ampleur de ces nouvelles dispositions concernant la vie privée de leur clientèle… et leurs sérieuses conséquences afin d’établir leur comité », soutient ce gestionnaire qui, depuis septembre 2022, occupe justement les fonctions de la personne responsable de tout incident de confidentialité dont pourraient faire l’objet les concessions du groupe.
Rappelons que les modifications apportées par la loi 25 entrent progressivement en vigueur sur une période de trois ans, jusqu’en 2024. La prochaine date à retenir est le 22 septembre 2023 alors que les gens auront désormais droit à l’oubli. « À ce moment-là, la collecte des renseignements personnels, que ce soit en ligne ou en concession, devra se faire avec le consentement des clients en termes clairs et précis », avertit Carl Boyer.
Quels sont vos risques ?
Carl Boyer invite d’ailleurs les concessionnaires à profiter de ces nouvelles mesures pour prendre conscience de leur environnement. « Depuis un an, notre entreprise offre un service de cartographie physique et numérique des opérations des PME afin de les aider à identifier quels sont leurs risques. » Des subventions gouvernementales sont d’ailleurs accessibles pour ce type d’analyse.
Il faut savoir que plus de 80 % des incidents liés à la confidentialité relèvent d’erreurs commises à l’interne dans les entreprises, explique cet expert en TI. « Prenez l’exemple de la méga fuite d’informations qui a touché près de neuf millions de membres et clients du Groupe Desjardins. Le coupable était jusqu’à preuve du contraire un employé très fiable qui, un jour, a décidé de mettre aux enchères les informations des clients de l’institution financière », évoque le président d’Infra Info.
Selon Carl Boyer, de telles fuites risquent de se produire plus fréquemment en raison des facteurs économiques (inflation, récession et hausse du taux directeur), qui limitent le pouvoir de consommation d’une bonne partie de la population. « Les concessionnaires automobiles ont donc tout intérêt à sensibiliser leur personnel aux risques auxquels ils sont exposés et comment ils peuvent mieux prévenir les incidents. »
En fait, conclut Carl Boyer, les impacts liés aux incidents de confidentialité ne se limitent pas seulement au risque de recevoir des amendes salées de la Commission d’accès à l’information. « Il en va aussi de la réputation de l’entreprise. Les consommateurs seront sans doute moins portés à visiter des entreprises qui ne protègent pas leurs données privées. Ce qui peut se traduire par des dizaines, voire des centaines d’éventuelles pertes de vente de véhicules au profit d’un concurrent. »