La Saint-Valentin est à nos portes, et avec elle, l’occasion pour les entreprises de lancer des campagnes promotionnelles via des programmes de fidélité. Ces initiatives peuvent renforcer la relation client et augmenter les ventes, mais attention : si l’amour de vos clients est précieux, leur confiance en votre manière de gérer leurs renseignements personnels l’est encore plus. Au Québec, la Loi 25 a d’ailleurs renforcé les obligations prévues à la Loi sur la protection des renseignements personnels dans le secteur privé (« Loi sur le privé »)[1], et ces règles s’appliquent aux campagnes promotionnelles et aux programmes de fidélité.
Ce qu’il faut savoir
La Loi sur le privé impose des obligations aux organisations qui recueillent, utilisent ou communiquent des renseignements personnels. Voici les sept principes clés à respecter pour mener votre campagne conformément à la Loi sur le privé :
1. Consentement : L’obligation d’obtenir un consentement est intimement liée à la distinction entre les fins « primaires » et « secondaires »[2]. Une fin primaire correspond à une finalité qui concerne la fourniture d’un service, d’un produit que la personne a demandé, ou l’accès à un emploi, et qui est annoncée au moment de la collecte. Les finalités secondaires désignent toutes les autres fins poursuivies par une organisation. Une organisation devrait obtenir un consentement qui satisfait aux huit critères de validité lorsqu’elle souhaite utiliser ou communiquer des renseignements personnels à des fins secondaires[3]. Pour plus d’information sur les règles encadrant l’obtention du consentement en droit québécois, veuillez consulter notre bulletin précédent à ce sujet.
2. Profilage : Le recours à des outils technologiques permettant d’analyser les habitudes de consommation ou le comportement de clients pour leur offrir des promotions personnalisées constitue du profilage[4]. L’organisation doit alors informer les personnes concernées de l’utilisation de tels outils et des moyens leur permettant d’activer les fonctionnalités de profilage. Autrement dit, elle doit obtenir un consentement exprès avant de commencer à cibler les futurs valentins.
Attention, un consentement obtenu pour la simple communication d’infolettre ne suffit généralement pas pour brosser le profil d’une personne.
Qu’est-ce que le profilage?
Le profilage s’entend de la collecte et de l’utilisation de renseignements personnels afin d’évaluer certaines caractéristiques d’une personne physique, notamment à des fins d’analyse du rendement au travail, de la situation économique, de la santé, des préférences personnelles, des intérêts ou du comportement de cette personne.
3. Non aux lacs de données : Une organisation ne peut recueillir des renseignements personnels « au cas où », par exemple, pour constituer des lacs de données dont l’utilisation est déterminée ultérieurement. Les renseignements doivent être nécessaires pour une finalité précise, qui est annoncée à la personne concernée au moment de recueillir ses renseignements personnels[5]. Autrement dit, les renseignements personnels contenus dans un lac de données sont généralement inutilisables sans le consentement des personnes concernées aux utilisations projetées. Planifiez votre programme à l’avance.
4. Évaluation des facteurs relatifs à la vie privée (ÉFVP) : Un programme de fidélité pourrait déclencher l’obligation de réaliser une ÉFVP, laquelle s’applique à tout projet d’acquisition, de développement et de refonte de système d’information ou de prestation électronique de services impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels[6]. Une seconde ÉFVP pourrait également être requise si des renseignements personnels sont communiqués ou traités hors du Québec, par exemple, si le fournisseur de la plateforme utilisée est situé à l’extérieur du Québec[7].
5. Contrats avec les fournisseurs : Si vous externalisez la gestion de votre programme de fidélité ou de votre campagne d’offres personnalisées à un tiers, assurez-vous d’avoir un contrat écrit en place, lequel prévoit minimalement le contenu obligatoire de la Loi sur le privé en matière de protection des renseignements personnels[8].
6. Retrait du consentement : Rappelez-vous que les personnes concernées peuvent changer d’idée[9]. Dans vos communications, permettez facilement aux destinataires de retirer leur consentement pour la prospection commerciale[10]. Pour les programmes de fidélité, offrez une manière simple et facile de se retirer du programme.
7. Conservation des données : Une fois la finalité pour laquelle les renseignements personnels ont été recueillis atteinte, ceux-ci doivent être détruits, sauf si une obligation en permet une conservation étendue[11]. Fixez des durées de conservation licites et détruisez les renseignements une fois celle-ci atteinte.
Conseils pour une relation durable
- Clarifiez vos intentions : Communiquez les finalités d’utilisation des renseignements personnels de manière transparente à vos clients, au moment de recueillir leurs renseignements.
- Faites-vous dire « oui » : Obtenez un consentement valide des personnes concernées.
- Protégez ceux qui vous aiment : Exigez des garanties contractuelles pour la protection des renseignements de vos clients et, le cas échéant, analysez les risques de votre campagne ou programme à l’aide d’une ÉFVP.
Un programme de fidélité bien conçu peut renforcer vos liens avec vos clients, mais n’oubliez pas : leur confiance est le plus précieux des cadeaux.
