Les conséquences de la COVID-19 sur la confidentialité des détaillants

Conséquences de la COVID-19 sur les détaillants

La COVID-19 a soulevé de nombreux problèmes de confidentialité pour les détaillants. Ceux-ci incluent des questions à savoir quelles informations peuvent être collectées auprès des clients et des employés lors des contrôles de température, alors que les détaillants essaient de protéger les magasins et le personnel. La pandémie a également soulevé des problèmes de partage de données, tels que ce qui peut être divulgué pour des raisons de recherche de contacts avec les autorités sanitaires. 

De plus, la COVID-19 a accéléré le passage au commerce électronique et au travail à distance. Cela a entraîné une augmentation du risque de cyberattaques et un accent encore plus grand sur l’analyse des données pour rendre le marketing et le marchandisage aussi efficaces que possible. Au fur et à mesure que le monde se remet de l’impact initial de la pandémie et navigue dans les incertitudes à venir, les défis et les opportunités plus larges en matière de confidentialité et de données affectant les détaillants évoluent rapidement. 

Quelles sont les cinq principales choses que les détaillants doivent savoir sur la protection des données et la confidentialité lors de la COVID-19?

1. Si vous recevez des demandes de renseignements sur les employés ou les clients d’une personne disant qu’ils travaillent dans une agence de santé publique, assurez-vous de vérifier que le demandeur est légalement autorisé à faire cette demande. Il est inhabituel pour une autorité sanitaire de pouvoir demander ce type de données à une entreprise privée. company.

Afficher plus d’informations légales 

2. Choisissez un membre de votre équipe pour être spécifiquement responsable du traitement des informations personnelles. Ils peuvent commencer par documenter et comprendre comment vous collectez et partagez les informations des client et doivent traiter les demandes telles que celles décrites au n ° 1 ci-dessus.
Si vous choisissez de poursuivre le contrôle des clients ou des employés à l’aide de prises de température avec des thermomètres, des scanners ou des caméras thermiques, assurez-vous que quelqu’un suit et documente la façon dont vous collectez, utilisez et divulguez toutes ces informations personnelles sensibles. 

En savoir plus sur les contrôles de température 

3. Communiquez aux gens comment vous traitez leurs informations, en particulier dans les situations de données de santé pendant la COVID-19, et essayez de leur donner un sentiment de contrôle sur la façon dont vous utilisez leurs informations lorsque cela est possible. Le consentement individuel est un principe de confidentialité important. Bien que cela ne soit pas toujours possible dans une situation de partage de données sur la santé, il est généralement recommandé de faire de son mieux et de faire au moins savoir à la personne dont vous avez partagé les informations après coup.

Afficher plus d’informations légales 

4. Limitez les informations personnelles que vous collectez et ne conservez que ce dont vous avez besoin pour atteindre votre objectif. Collectez-vous actuellement des informations personnelles dont vous n’avez pas réellement besoin aux fins pour lesquelles vous les demandez? Gardez-vous le passé quand vous en avez besoin? Arrêtez de rassembler ce dont vous n’avez pas besoin et envisagez de supprimer les informations inutiles si vous en avez.

5. Évaluez votre cybersécurité. Le cyber-risque a augmenté au cours de la COVID-19. Évaluez votre cybersanté, surtout si plusieurs de vos employés travaillent à distance. Si vous envisagez de nouveaux investissements technologiques pour naviguer dans le nouvel environnement de vente omnicanal, la protection des données personnelles que vous détenez est essentielle.

Quelques considérations de cybersécurité: 

  • Tous les employés utilisent-ils une protection antivirus à jour? 
  • Vos vidéoconférences sont-elles protégées? 
  • Quel rôle jouent vos fournisseurs dans vos plans de cybersécurité (et de confidentialité)? 
  • Le marché de la cyberassurance évolue rapidement. Vous voudrez peut-être évaluer votre couverture d’assurance. 

Ressources d’orientation sur la cybersécurité: 

Foire aux questions pour les détaillants sur la COVID-19

  • Je suis un détaillant possédant une salle à manger et j’aimerais avoir des conseils sur les meilleures pratiques en matière de registre des clients.

    • De manière générale, recueillez le moins de renseignements possible et conservez-les le moins longtemps possible. Lisez attentivement l’ordonnance. S’il y est dit, par exemple : « Prenez le nom et le numéro de téléphone d’une personne par groupe », prenez uniquement ces informations.
    • Conservez les informations de contact que vous recueillez dans un endroit sécurisé. Les méthodes « analogiques » comprennent l’écriture des informations dans un livre et le stockage de ce livre dans un endroit fermé muni d’une serrure. Si vous choisissez d’utiliser une méthode numérique de collecte et de stockage, comme une application de réservation, effectuez des recherches pour en savoir plus sur la manière dont ce tiers traitera vos informations client : les conservera-il en sécurité sans les utiliser à d’autres fins ? (Les détaillants peuvent être tenus responsables de ce qu’il advient des informations personnelles qu’ils recueillent, puis partagent avec d’autres entreprises.)
    • Supprimez les informations après la période de conservation prescrite.
    • Si quelqu’un vous demande ces informations à des fins de recherche de contacts, assurez-vous d’obtenir de sa part des preuves qu’il est lié à une autorité de santé publique habilitée à faire cette demande. Si et quand vous partagez des informations que vous avez recueillies, il est sage de documenter pourquoi vous l’avez fait et avec qui vous les avez partagées. Il existe des régulateurs de la protection de la vie privée habilités à enquêter si quelqu’un se plaint du fait que vous avez mal géré ses informations personnelles – dans ce cas, avoir des dossiers et démontrer de bonnes pratiques peut vous aider.

  • Avec l’augmentation du commerce électronique et du travail à distance, que peuvent faire les détaillants indépendants pour se protéger contre les risques de fraude et de cybersécurité pendant la COVID-19 ?

    L’hameçonnage, les vulnérabilités de visioconférence, les logiciels malveillants et les erreurs simples ne sont que quelques-uns des risques accrus de cybersécurité.

    Les détaillants qui cherchent à se protéger contre un risque accru de fraude et de cybersécurité doivent se tourner vers leurs employés (par exemple, formation), processus (par exemple, politiques Bring Your Own Device (BYOD)) et technologies (par exemple, protection antivirus mise à jour, sécurité de la visioconférence).

    Gardez à l’esprit que tous les risques de fraude ne sont pas nécessairement des cyber-risques. Par exemple, les escroqueries COVID-19 signalées incluent des fraudeurs se faisant passer pour des agences de santé publique pour obtenir des informations personnelles (les détaillants doivent toujours vérifier que quelqu’un leur demandant ces données a l’autorité légale de le faire) et se faisant passer pour des vendeurs vendant des tests COVID-19.

    Lire la suite :

    Des conseils sur la cybersécurité destinés spécifiquement aux petites et moyennes entreprises existent et pourraient être utiles à de nombreux détaillants indépendants. Afficher les ressources (anglais seulement).

  • Comment aborder la cyber-assurance et la gestion des risques ?

    Les détaillants peuvent souhaiter envisager la cyber-assurance ou évaluer leur couverture actuelle s’ils l’ont déjà. Le marché de la cyber-assurance évolue rapidement.

    Si vous choisissez d’améliorer votre cyber-maturité au cours de cette période, sachez que les communications sensibles sur le cyber-risque peuvent être soumises à des obligations de divulgation dans les enquêtes réglementaires et les litiges si un cyber-incident se produit. Envisagez de mettre en œuvre une stratégie de privilège juridique lorsque vous naviguez dans la gestion des cyber-risques afin que vos communications soient privilégiées, le cas échéant. Voir plus d’informations et des liens vers des conseils canadiens sur la fraude et la cybersécurité COVID-19.


    Afficher plus d’informations et des liens vers les directives canadiennes sur la fraude et la cybersécurité de la COVID-19.

  • Qu’est-ce que les autorités de réglementation canadiennes nous conseillent de faire lors de la collecte et du partage de renseignements personnels sur la santé en réponse à la COVID-19?

    Le Commissariat à la protection de la vie privée du Canada (CPVP) a publié des directives COVID-19 générales sur les obligations en matière de confidentialité dans les situations d’échange de renseignements pendant la pandémie. Le guide CPVP comprend également des liens vers les ressources des régulateurs régionaux de la confidentialité. Cela est utile si vous essayez de décider de la quantité d’informations personnelles d’une personne à collecter, par exemple : si elle est malade ou alors si vous pensez qu’elle pourrait l’être, et quand partager ses informations avec une autre organisation.

    Même pendant la réponse à la pandémie, les lois normales sur la confidentialité s’appliquent, sauf si une législation d’urgence en dispose autrement.

    La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), qui s’applique à de nombreux détaillants, vous permet uniquement de recueillir, d’utiliser ou de divulguer des renseignements personnels sur la base d’un consentement valable et à des fins qu’une personne raisonnable jugerait appropriées dans les circonstances. Généralement, des exceptions s’appliquent lorsque (1) une personne est gravement malade (2) lorsqu’une autorité de santé publique habilitée à demander des informations demande (il est essentiel de vérifier si elle est effectivement autorisée à vous le demander), et si (3) vous pensez que quelqu’un enfreint une ordonnance de quarantaine.

    Consultez les instructions du CPVP.

  • Que dois-je faire si on me demande de partager les informations sur la santé d’une personne avec une autorité de santé publique afin d’aider à faire face à la pandémie de la COVID-19?

    Les détaillants peuvent recevoir des demandes provenant d’autres organisations dans le but de vouloir partager des informations qui permettront d’identifier un individu. Peu de circonstances obligent légalement une entreprise privée à partager les informations médicales d’une personne avec le gouvernement. 

    Avant de partager des informations sensibles, vérifiez si l’organisation :  

    • A une autorité sanitaire ; 
    • A une base légale pour la demander ; 
    • Si elle vous demande simplement de coopérer. 

    Si vous partagez des informations sur une personne, évaluez soigneusement la demande. Prendre soin des informations que vous divulguez, pourquoi et à qui vous aidera à réduire les risques liés à la réglementation, aux litiges et à la réputation. Que vous soyez légalement tenu ou non de partager les informations personnelles de quelqu’un, il serait judicieux de documenter la manière dont vous avez analysé les considérations de confidentialité dans le processus de décision de partager ces informations. Les principes de confidentialité tels que la responsabilité, la transparence, le consentement et la limitation de la collecte et du partage des données s’appliquent toujours. 

    Afficher plus d’informations légales (Anglais seulement) 

  • Les détaillants peuvent-ils filtrer les clients à la porte, par exemple en prenant leur température ?

    Le dépistage individuel, tel que la prise de température, est techniquement admissible, mais doit être abordé avec beaucoup de prudence. Sachez que les orientations du gouvernement dans ce domaine sont rares et évoluent rapidement. Tout d’abord, évitez toute impression de dépistage des clients pour une raison quelconque au-delà de la croyance que le client pourrait présenter des symptômes de la COVID-19. Deuxièmement, si vous pensez que les prises de température présentent un avantage, prenez grand soin de les faire conformément aux principes canadiens de protection de la vie privée, soyez conscient du consentement et de la limitation et de la protection des renseignements personnels obtenus et partagés. De plus, le personnel prenant la température des clients doit continuer à suivre les directives habituelles en respectant les limites de distance physique de deux mètres et les autres précautions sanitaires.

  • Lire la suite sur la confidentialité et les données du commerce de détail

    Soyez entendu. Économisez de l’argent. Restez informé.

    Devenez membre.