Loi 25 : la dernière phase est en cours!

07 Juil 2023 Loi 25

Par : Julia Pierre
Loi 25 : la dernière phase est en cours!

Fuites de données, ventes d’informations confidentielles, attaques informatiques, ces scénarios ne sont malheureusement plus des cas isolés. Devant leur menace grandissante, le gouvernement du Québec frappe fort avec le renforcement de la Loi 25, qui a un impact considérable sur les activités marketing des organisations depuis maintenant plusieurs mois. Depuis septembre 2024, nous entrons dans la troisième et dernière phase que les organisations doivent garder sous la loupe.

En mai 2023, Meta écopait d’une amende record équivalente à 1,75 milliard de dollars canadiens pour avoir enfreint le Règlement Général sur la Protection des Données (RGPD) adopté en Europe il y a 5 ans (source).

Cette sanction s’inscrit dans une crainte de plus en plus grande de voir exploiter les données des individus, alors que l’ancien analyste de l’Agence nationale de sécurité américaine (NSA), Edward Snowden, accusait en 2019 Washington d’avoir transmis des informations confidentielles à la presse à des fins nébuleuses.

Depuis quelques années déjà, cette hantise fait tranquillement son chemin en territoire québécois…et les comptes à rendre se feront en trois phases.

Phase 1 – Depuis septembre 2022 :

C’est dans ce contexte que le gouvernement du Québec a serré l’étau pour obliger les organisations à se conformer à la Loi sur la protection des renseignements personnels dans le secteur privé (Loi 25) depuis septembre 2022.

Avec toutes les conséquences qu’elle entraîne dans son sillage, particulièrement pour les activités marketing des organisations tant du milieu corporatif, que public et communautaire, les entrepreneurs sont nombreux à opposer une certaine résistance, qui pourrait bien les amener à réagir à la dernière minute.

Phase 2 – Dès septembre 2023

Les données concernées :

C’est en septembre prochain que les mesures entourant la Loi 25 devront se concrétiser au sein des entreprises. Si la collecte de données et leur utilisation vous touche de près ou de loin, ne la prenez pas à la légère et entamez dès maintenant les mesures pour vous y conformer. En tant que professionnel·le du marketing, les renseignements personnels sont des atouts de taille pour cibler et personnaliser vos communications. Vous aurez donc intérêt à savoir lesquelles seront particulièrement concernées (source) :

  • Nom;
  • Adresse civique;
  • Numéro de téléphone;
  • Adresse courriel;
  • Numéro d’assurance sociale;
  • Historique de crédit;
  • Et plus encore!

Selon le Commissariat à la protection de la vie privée du Canada (CPVPC), « Les renseignements personnels sont les données qui concernent un « individu identifiable ». Il s’agit de renseignements qui, seuls ou jumelés à d’autres données, permettent de vous identifier en tant qu’individu. » (source)

Ce qui n’est pas considéré comme un renseignement personnel selon le CPVPC inclut les informations « qui ne concernent pas un individu, soit parce que le lien avec cette personne est trop vague ou trop distant (p. ex. un code postal s’applique à un vaste secteur où se trouvent de nombreuses résidences). »

Ressource complémentaire : Commissariat à la protection de la vie privée du Canada

Les organisations qui souhaitent continuer à collecter des données en toute légalité devront ainsi mettre en place dès septembre 2023 la technologie pour :

  • Expliquer clairement à leurs utilisateur·trices en quoi leurs informations seront utilisées avant leur exploitation;
  • Informer leurs utilisateur·trices de tout changement quant à l’utilisation de leurs informations;
  • Mettre en place des mesures pour protéger les données personnelles, tant celles entreposées physiquement que virtuellement;
  • Anonymiser ou supprimer les données personnelles une fois utilisées pour les fins annoncées;
  • Permettre aux individus d’accéder à leurs données en tout temps et effectuer toute correction demandée par ces derniers (obligatoire à partir de septembre 2024);
  • Supprimer les informations personnelles si un individu retire son consentement dans un délai de 30 jours;
  • Nommer une personne responsable de la protection des données personnelles entreposées par l’organisation (le ou la responsable par défaut est la personne ayant l’autorité la plus élevée).

En amont de ces démarches et pour bien y répondre, il est fortement recommandé aux organisations de détenir un inventaire des données qui sont présentement collectées ainsi que leur utilisation.

Ressource complémentaire : Finance et investissement

Quelques cas en marketing :

À l’occasion d’une séance Découverte, notre formateur et expert en marketing numérique, Jean-François Renaud, présentait quatre cas concrets de la Loi 25 appliqués au marketing.

Jean-François Renaud
Jean-François Renaud
Président et co-fondateur
Adviso

#1 – Collecte et valorisation de données primaires*

Pour des données dites « non sensibles », les popups expliquant l’usage des informations récoltées demeureront suffisants.

Pour les données dites « sensibles », il faudra recevoir un consentement explicite de l’utilisateur·trice impliquant un processus de signature avant tout usage.

*Applicable au numérique, mais aussi à la collecte en magasin et par téléphone.

#2 – Partage d’audiences

Il faudra aussi faire preuve de vigilance avec le partage d’audiences dans le cadre de la Loi 25. À titre de rappel, souvenons-nous qu’on le retrouve dans :

  • Le remarketing (search, display, vidéo)
  • L’inclusion ou l’exclusion d’audiences
  • L’extension d’audiences (lookalike modelling) et enrichissement
  • Le partenariat et les commandites (partenaires doivent être détaillés dans la politique)

On peut se consoler un peu toutefois, car les informations collectées avant septembre 2023 ne seront pas contraintes au rétro-consentement si leur usage est conforme à la politique de confidentialité de l’organisation.

#3 – Suivi et optimisation

La Loi 25 exclut la demande de consentement pour l’usage de données à des fins statistiques, d’optimisation ou l’utilisation des UTM de Google Analytics, car ceux-ci ne permettent pas d’identifier un individu.

En revanche, il faudra obtenir le consentement des utilisateur·trices pour activer les technologies telles que Google Analytics permettant de récolter les dites données. Le consentement sera donc requis pour l’utilisation de ces tactiques :

  • Analyse du trafic et mesure du taux de conversion
  • Tests A/B (même si le·la client·e est reconnu·e, mais non identifié·e)
  • Google Analytics (si le cookie ID est retiré)

#4 – Personnalisation et expérience client

Il sera toujours possible d’utiliser les renseignements personnels sans consentement explicite dans les cas de personnalisation suivants :

  • Les données sont nécessaires pour fournir un service ou un produit (ex : livraison)
  • La personnalisation repose sur des données non sensibles

Pour toute personnalisation impliquant des données sensibles, le consentement explicite sera strictement obligatoire.

Accédez à la présentation détaillée avec Jean-François Renaud :


Quelques pistes de solutions:

Des solutions existent pour s’adapter sans trop de dommage à la nouvelle réalité imposée par la Loi 25 et il est fort à parier que les prochains mois en verront d’autres émerger. Vous pouvez déjà vous inspirer de ces quelques idées :

  • Faites affaires avec des technologies telles que les Consent Management Plateform (CMP)
  • Développez une stratégie numérique et de données solide, car, pour citer Jean-François Renaud, « si ce que l’organisation souhaite accomplir avec des données demain n’est pas clair, ce sera bien difficile de préparer sa conformité à la Loi 25! »
  • Trouvez des astuces créatives à travers votre rédaction pour rassurer vos audiences et les inciter à vous prêter leurs données en toute confiance (10 popups qui donnent envie de dire « Oui! »)
  • Profitez de l’étape de connexion au compte de vos utilisateur·trices pour demander des permissions complètes
  • Faites-vous accompagner par un·e  avocat·e ou un·e  juriste

Phase 3 – dès septembre 2024 :

La troisième phase de la Loi 25 introduit un changement majeur dans le paysage de la protection des données personnelles au Québec : le droit à la portabilité des données. Ce nouveau droit confère aux individus la possibilité de récupérer leurs données personnelles dans un format lisible. Ensuite ces individus pourraient décider de transmettre leurs informations à une autre entreprise (concurrente) s’ils le souhaitent.

Quelles sont les obligations des entreprises ?
Face à cette nouvelle réalité, les entreprises doivent s’adapter et mettre en place les mesures nécessaires pour répondre aux demandes de portabilité des données. Voici les principales obligations :

  • Répondre aux demandes: Les entreprises doivent répondre aux demandes de portabilité dans un délai raisonnable et fournir les données dans un format structuré, communément utilisé et lisible par l’utilisateur.
  • Informer les personnes concernées: Les entreprises doivent informer les personnes concernées de leur droit à la portabilité et des modalités pour exercer ce droit.
  • Mettre en place des processus: Il est essentiel de mettre en place des processus internes pour gérer efficacement les demandes de portabilité.
  • Sécuriser les données: La transmission des données doit être sécurisée pour protéger la vie privée des personnes concernées. Il est en effet essentiel de ne pas transmettre ces informations à une personne non autorisée.

Les enjeux pour les entreprises
La portabilité des données représente à la fois un défi et une opportunité pour les entreprises :

Défis :

  • Coûts: La mise en conformité peut engendrer des coûts importants, notamment en termes de développement informatique et de ressources humaines.
  • Complexité technique: La récupération et la transmission de données dans un format standard peuvent s’avérer complexes, surtout pour les entreprises disposant de systèmes d’information hétérogènes et dispersés.
  • Risques de sécurité: La gestion des demandes de portabilité peut exposer les entreprises à des risques de fuites de données. Il faut introduire un processus d’identification et d’authentification pour s’assurer que la personne qui fait la demande est bel et bien la personne à qui appartient ces données.

Opportunités :

  • Fidélisation de la clientèle: En facilitant la portabilité des données, les entreprises peuvent renforcer la confiance de leurs clients.
  • Amélioration de la relation client: La portabilité des données peut favoriser une relation plus transparente et collaborative avec les clients.
  • Innovation: La portabilité peut stimuler l’innovation en encourageant le développement de nouveaux services et de nouvelles applications.

Comment se préparer?
Pour se préparer à cette nouvelle obligation, les entreprises peuvent :

  • Évaluer l’impact: Réaliser un audit de leurs systèmes d’information pour identifier les données concernées et les processus à adapter.
  • Évaluer le volume de demande: Nous recommandons souvent d’évaluer le nombre de demandes à satisfaire de manière manuelle avant de se lancer dans de grands chantiers d’automatisation.
  • Mettre à jour les politiques: Revoir et mettre à jour les politiques de confidentialité et les contrats avec les clients.
  • Former le personnel: Sensibiliser les employés aux nouvelles obligations et les former aux procédures à suivre.
  • Choisir les bons outils: Investir dans des outils technologiques adaptés pour faciliter la gestion des demandes de portabilité.

La portabilité des données est une évolution majeure qui transforme le paysage de la protection des données personnelles. En se préparant dès maintenant, les entreprises pourront non seulement se conformer à la loi mais aussi tirer parti des opportunités qu’elle offre.