Fuites de données, ventes d’informations confidentielles, attaques informatiques, ces scénarios ne sont malheureusement plus des cas isolés. Devant leur menace grandissante, le gouvernement du Québec frappe fort avec le renforcement de la Loi 25, qui a un impact considérable sur les activités marketing des organisations depuis maintenant plusieurs mois. Depuis septembre 2024, nous entrons dans la troisième que les organisations doivent garder sous la loupe.
En mai 2023, Meta écopait d’une amende record équivalente à 1,75 milliard de dollars canadiens pour avoir enfreint le Règlement Général sur la Protection des Données (RGPD) adopté en Europe il y a 5 ans (source).
Cette sanction s’inscrit dans une crainte de plus en plus grande de voir exploiter les données des individus, alors que l’ancien analyste de l’Agence nationale de sécurité américaine (NSA), Edward Snowden, accusait en 2019 Washington d’avoir transmis des informations confidentielles à la presse à des fins nébuleuses.
Depuis quelques années déjà, cette hantise fait tranquillement son chemin en territoire québécois…et les comptes à rendre se feront en trois phases.
C’est dans ce contexte que le gouvernement du Québec a serré l’étau pour obliger les organisations à se conformer à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) depuis septembre 2022.
Avec toutes les conséquences qu’elle entraîne dans son sillage, particulièrement pour les activités marketing des organisations tant du milieu corporatif, que public et communautaire, les entrepreneurs sont nombreux à opposer une certaine résistance, qui pourrait bien les amener à réagir à la dernière minute.
C’est en septembre 2023 que les mesures entourant la Loi 25 devront se sont concrétisées au sein des entreprises. Si la collecte de données et leur utilisation vous touchent de près ou de loin, ne la prenez pas à la légère et entamez dès maintenant les mesures pour vous y conformer si ce n’est déjà fait. En tant que professionnel·le du marketing, les renseignements personnels sont des atouts de taille pour cibler et personnaliser vos communications. Vous aurez donc intérêt à savoir lesquelles seront particulièrement concernées (source) :
Selon le Commissariat à la protection de la vie privée du Canada (CPVPC), « Les renseignements personnels sont les données qui concernent un « individu identifiable ». Il s’agit de renseignements qui, seuls ou jumelés à d’autres données, permettent de vous identifier en tant qu’individu. » (source)
Ce qui n’est pas considéré comme un renseignement personnel selon le CPVPC inclut les informations « qui ne concernent pas un individu, soit parce que le lien avec cette personne est trop vague ou trop distant (p. ex. un code postal s’applique à un vaste secteur où se trouvent de nombreuses résidences). »
Ressource complémentaire : Commissariat à la protection de la vie privée du Canada
Les organisations qui souhaitaient continuer à collecter des données en toute légalité auraient dû ainsi mettre en place dès septembre 2023 la technologie pour :
En amont de ces démarches et pour bien y répondre, il est fortement recommandé aux organisations de détenir un inventaire des données qui sont présentement collectées ainsi que leur utilisation.
Ressource complémentaire : Finance et investissement
À l’occasion d’un webinaire Infopresse, notre formateur et expert en marketing numérique, Jean-François Renaud, présentait quatre cas concrets de la Loi 25 appliqués au marketing.
Pour des données dites « non sensibles », les popups expliquant l’usage des informations récoltées demeurent suffisants.
Pour les données dites « sensibles », il faudra recevoir un consentement explicite de l’utilisateur·trice impliquant un processus de signature avant tout usage.
*Applicable au numérique, mais aussi à la collecte en magasin et par téléphone.
Il faut aussi faire preuve de vigilance avec le partage d’audiences dans le cadre de la Loi 25. À titre de rappel, souvenons-nous qu’on le retrouve dans :
On peut se consoler un peu toutefois, car les informations collectées avant septembre 2023 ne sont pas contraintes au rétroconsentement si leur usage est conforme à la politique de confidentialité de l’organisation.
La Loi 25 exclut la demande de consentement pour l’usage de données à des fins statistiques, d’optimisation ou l’utilisation des UTM de Google Analytics, car ceux-ci ne permettent pas d’identifier un individu.
En revanche, il faut obtenir le consentement des utilisateur·trices pour activer les technologies telles que Google Analytics permettant de récolter les dites données. Le consentement est donc désormais requis pour l’utilisation de ces tactiques :
Il est toujours possible d’utiliser les renseignements personnels sans consentement explicite dans les cas de personnalisation suivants :
Pour toute personnalisation impliquant des données sensibles, le consentement explicite sera strictement obligatoire.
Accédez à la présentation détaillée avec Jean-François Renaud :
Des solutions existent pour s’adapter sans trop de dommage à la nouvelle réalité imposée par la Loi 25. Vous pouvez déjà vous inspirer de ces quelques idées :
La troisième phase de la Loi 25 introduit un changement majeur dans le paysage de la protection des données personnelles au Québec : le droit à la portabilité des données. Ce nouveau droit confère aux individus la possibilité de récupérer leurs données personnelles dans un format lisible. Ensuite ces individus pourraient décider de transmettre leurs informations à une autre entreprise (concurrente) s’ils le souhaitent.
Quelles sont les obligations des entreprises ?
Face à cette nouvelle réalité, les entreprises doivent s’adapter et mettre en place les mesures nécessaires pour répondre aux demandes de portabilité des données. Voici les principales obligations :
Les enjeux pour les entreprises
La portabilité des données représente à la fois un défi et une opportunité pour les entreprises :
Défis :
Opportunités :
Comment se préparer?
Pour se préparer à cette nouvelle obligation, les entreprises peuvent :
La portabilité des données est une évolution majeure qui transforme le paysage de la protection des données personnelles. En se préparant dès maintenant, les entreprises pourront non seulement se conformer à la loi mais aussi tirer parti des opportunités qu’elle offre.