Voir toutes les formations

Thématiques

Voir toutes les conférences

Contactez notre équipe

FORMATIONS
Voir toutes les formations
CONFÉRENCES
Voir toutes les conférences
SERVICE AUX ENTREPRISES
Contactez notre équipe
mon compte
Recherche

Cookies et vie privée: ce que toute organisation devrait savoir

Pour ceux et celles qui auront été présents à la conférence Tendances marketing numérique le 15 juin dernier, vous en aurez peut-être beaucoup appris sur l’utilisation légale que l’on puisse faire des cookies en marketing numérique. Nos conférencières à l’événement et avocates chez ROBIC, Caroline Jonnaert, également agente de marques et associée, et Élisabeth Lesage-Bigras, nous présentent ici deux lois à ne pas négliger pour préserver sa réputation organisationnelle.

Lois applicables

Principale législation et projets de loi

Il n’existe pas de législation portant spécifiquement sur les témoins de connexion au Québec. Par conséquent, les témoins de connexion sont réglementés dans cette province par :

  • la Loi canadienne anti-pourriel;
  • les lois sur la protection des renseignements personnels (collectivement, les « Lois applicables »).

Loi anti-pourriel
La Loi canadienne anti-pourriel (la « LCAP ») est actuellement la seule loi qui mentionne ou régit expressément l’utilisation des témoins de connexion et autres technologies similaires.

Caroline Jonnaert
CAROLINE JONNAERT, AVOCATE, AGENTE DE MARQUE ET ASSOCIÉE, ROBIC

Lois sur la protection de la vie privée
Dans la province de Québec, la principale législation responsable de la protection des données dans le secteur privé est la Loi sur la protection des renseignements personnels dans le secteur privé. La Loi s’applique à la collecte, à l’utilisation et à la communication de renseignements personnels dans la province par toute personne qui exploite une entreprise. La Loi est jugée « essentiellement similaire » à la loi fédérale, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDE »), qui s’applique aux organisations du secteur privé au niveau fédéral, mais aussi lorsque les renseignements personnels sont divulgués au-delà des frontières provinciales ou internationales. Il convient de noter que le Projet de loi 64 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels), une importante réforme législative, a été adopté dans la province de Québec le 22 septembre 2021. Le Projet de loi 64 modifiera de façon substantielle le régime de protection des renseignements personnels régissant les secteurs privé et public. Le présent article a été rédigé en tenant compte des changements qui seront introduits par cette réforme législative en ce qui concerne l’utilisation des témoins de connexion dans le secteur privé.

Élisabeth Lesage-Bigras
ÉLISABETH LESAGE-BIGRAS, AVOCATE, ROBIC

Jusqu’à présent, la jurisprudence n’a pas eu à déterminer si les témoins de connexion se qualifient de « renseignements personnels » et sont assujettis aux lois sur la protection des renseignements personnels. En revanche, les autorités en charge de l’application de ces lois ont publié des lignes directrices dans lesquelles elles abordent le sujet. Spécifiquement, le Commissariat à la protection de la vie privée du Canada (le « CPVP ») a publié la « Position de principe sur la publicité comportementale en ligne » qui prévoit que le CPVP considérera généralement que les renseignements recueillis à des fins de publicité comportementale sont des « renseignements personnels ». De manière analogue, la Commission d’accès à l’information du Québec (la « CAI ») prévoit que les entreprises qui utilisent des systèmes de profilage et de publicité ciblée sur Internet sont assujetties à la Loi. Il convient également de noter que, sans préciser si les témoins de connexion constituent des « renseignements personnels », le Projet de loi 64 contient une disposition spécifique sur le « profilage » et les témoins, tel qu’expliqué plus loin.

Lignes directrices des autorités

Au Québec, l’autorité chargée de veiller à l’application de la Loi est la CAI. La CAI a publié en 2013 un guide intitulé « Le profilage et la publicité ciblée »[12], qui porte plus particulièrement sur le profilage et la publicité ciblée. Bien que le sujet de ces lignes directrices soit pertinent aux fins du présent article, il n’offre pas d’informations spécifiques sur la façon de réglementer l’utilisation des témoins de connexion ou autres technologies similaires, et vise davantage à informer le public sur le marketing direct et la publicité ciblée.

Le régime législatif du Québec est complété par des lignes directrices fédérales émanant : (i) du CPVP en ce qui concerne la LPRPDE; et (ii) du Conseil de la radiodiffusion et des télécommunications canadiennes (le « CRTC ») en ce qui concerne la LCAP.

Jurisprudence

Il n’existe actuellement aucune jurisprudence pertinente portant sur les témoins de connexion et les technologies similaires au Canada, y compris dans la province de Québec.

Définitions

Il n’y a pas de définition de « témoins de connexion » ou de technologies similaires dans les textes de loi s’y rapportant (y compris dans le Projet de loi 64), et la jurisprudence n’a pas encore interprété ce concept. Cependant, les « témoins de connexion » s’entendent généralement de petits éléments de texte qui sont placés sur un ordinateur, un appareil mobile, une tablette ou un autre appareil, lors de l’utilisation d’un navigateur pour visiter un service en ligne. Ils sont activés par l’opérateur d’un site web et peuvent être définis par cet opérateur (les « témoins propriétaires ») ou par un tiers (les « témoins tiers »). Les témoins sont généralement classés selon leurs fonctions, à savoir :

  • Les témoins de connexion dits « essentiels » sont indispensables pour qu’un site web soit opérationnel ; ils comprennent notamment les témoins de session qui permettent aux individus de rester connectés lorsqu’ils naviguent sur le site web ;
  • Les témoins de connexion dits « non essentiels » ne sont pas nécessaires au bon fonctionnement du site web ; ils comprennent notamment les témoins de fonctionnalité, de performance et de ciblage.

Selon leurs fonctions et des données qu’ils recueillent, les témoins de connexion peuvent être soumis à des exigences légales spécifiques, notamment en matière de consentement et de transparence.

Consentement et politique en matière de témoins de connexion

Consentement

Il n’existe pas de directives claires sur le consentement à l’utilisation de témoins de connexion dans la province de Québec. Toutefois, à la lumière des Lois applicables, y compris les lignes directrices pertinentes, la forme de consentement que les entreprises devront obtenir variera vraisemblablement en fonction du type de témoins dont il est question.

  • Loi anti-pourriel

En vertu de la LCAP, une personne est réputée avoir consenti à l’installation d’un témoin de connexion si son comportement est tel qu’il est raisonnable de croire qu’elle y consent. À cet égard, le CRTC prévoit que « si la personne désactive les témoins de connexion dans son navigateur, vous ne seriez pas réputé avoir le consentement d’implanter des témoins de connexion ». Il n’existe cependant aucune indication claire sur la conduite qui serait considérée comme « raisonnable » pour présumer du consentement.

  • Lois sur la protection des renseignements personnels

De manière générale, les lois sur la protection des renseignements personnels exigent un consentement pour collecter, utiliser et divulguer des renseignements personnels. En fonction de certains facteurs, tels que la sensibilité des renseignements concernés, ce consentement peut être exprès ou implicite. À cet égard, le CPVP considère que le consentement implicite pour les témoins de suivi et de ciblage n’est valable que pour certains cas spécifiques. Il n’existe pas de lignes directrices similaires dans la province de Québec. Cependant, la Loi prévoit des exigences générales pour qu’un consentement soit valide, et le Projet de loi 64 comporte des dispositions spécifiques à l’utilisation de témoins de connexion et de technologies similaires.

Plus particulièrement, la Loi prévoit que le consentement doit être « manifeste, libre, éclairé et être donné à des fins spécifiques ». La CAI a reconnu que ce consentement peut être explicite ou implicite selon les circonstances. Le Projet de loi 64 ouvre la porte au consentement implicite pour certains témoins de connexion. En effet, selon le projet de loi, les paramètres des produits ou services technologiques doivent assurer par défaut le plus haut niveau de confidentialité aux utilisateurs ; or, cette exigence ne s’applique pas aux témoins de connexion. Le projet de loi prévoit par ailleurs que toute fonction d’identification, de localisation ou de profilage doit être désactivée par défaut, ce qui signifie que les personnes doivent pouvoir consentir à ces fonctions par le biais d’un mécanisme d’acceptation. Ainsi, les témoins de connexion qui n’incluent pas de fonctions d’identification, de localisation ou de profilage (par exemple, les témoins de connexion dits « essentiels ») sont probablement exemptés de l’obligation de consentement. Néanmoins, puisque ces amendements viennent tout juste d’être adoptés par le gouvernement, ils demeurent encore sujets à interprétation.

Politique en matière de témoins

Les Lois applicables sur le sujet n’exigent pas spécifiquement que les entreprises adoptent une politique en matière de témoins de connexion. Toutefois, sur la base de l’obligation générale de transparence prévue par les lois sur la protection des renseignements personnels, les entreprises sont tenues de divulguer des informations spécifiques sur l’utilisation des renseignements personnels qu’elles collectent.

Plus particulièrement, la Loi stipule que les entreprises sont tenues d’informer les personnes concernées, avant ou au moment de la collecte, des mentions suivantes :

  • l’objet et les finalités de la collecte ;
  • l’utilisation prévue ;
  • les catégories de personnes au sein de l’entreprise qui auront accès à leurs renseignements personnels;
  • le lieu où seront conservés leurs renseignements personnels;
  • leur droit d’accès et de rectification.

En sus de ce qui précède, le Projet de loi 64 impose davantage de transparence, notamment en ce qui concerne les « technologies de suivi » ou autres technologies permettant aux personnes concernées d’être identifiées, localisées ou de faire l’objet d’un profilage (comme c’est souvent le cas avec les témoins de connexion et autres technologies similaires).

Plus précisément, la Loi amendée exigera que les personnes soient informées :

  • du recours à ces technologies par l’entreprise;
  • des moyens utilisés pour activer ces fonctions.

Il convient également de noter qu’à partir du 22 septembre 2023, les entreprises seront tenues de publier ces informations sur leur site Internet ou de les rendre disponibles par tout autre moyen approprié.

Témoins de connexion et tiers

Accès par des tiers

Les entreprises sont responsables des renseignements personnels en leur possession, y compris lorsque ces renseignements ont été transférés à une tierce partie.

Témoins tiers

Les Lois applicables ne donnent aucune directive sur les témoins de connexion tiers, y compris sur la façon d’obtenir le consentement à leur utilisation. Cependant, le CPVP a exprimé des inquiétudes quant à l’utilisation de ces témoins, car ils « impliquent des tiers inconnus et s’exécutent à votre insu ou sans votre consentement ».

Conservation des témoins de connexion

Les Lois applicables ne traitent pas spécifiquement de la conservation des témoins de connexion. En revanche, les lois sur la protection des renseignements personnels imposent généralement des limites à la durée de conservation des renseignements personnels. Par exemple, la LPRPDE exige que la collecte, l’utilisation et la divulgation des renseignements personnels soient limitées à la mesure où elles sont consenties et nécessaires pour atteindre les fins énoncées dans le consentement. De même, la Loi prévoit que les renseignements personnels peuvent être conservés aussi longtemps que les fins convenues ne sont pas encore atteintes. Une fois que les renseignements personnels ne sont plus nécessaires à l’atteinte des fins énoncées, ils doivent être détruits ou anonymisés, sous réserve des exemptions prévues par la Loi. Il est également important de noter que le Projet de loi 64 impose l’adoption d’une politique sur la conservation des renseignements personnels et la publication d’informations détaillées sur les pratiques des entreprises, en termes clairs et simples, sur leur site Internet.

Pénalités

Les sanctions en cas de non-respect des lois sur la protection des renseignements personnels varient et peuvent inclure des amendes, des ordonnances ainsi que des dommages réputationnels. Par exemple, la Loi prévoit actuellement à l’article 91(1)1 qu’un premier contrevenant sera contraint de payer une amende allant de 1 000 à 10 000$ pour avoir enfreint la Loi. En cas de récidive, cette même personne sera passible d’une amende allant de 10 000 à 20 000$.

Cependant, à partir du 22 septembre 2023, de nouvelles sanctions et de pénalités entreront en vigueur. Plus précisément, le Projet de loi 64 ajoutera des sanctions administratives en sus des sanctions pénales mentionnées précédemment, augmentera considérablement le montant des amendes et fera une distinction entre les infractions commises par des particuliers et celles commises par des entreprises.

Vous souhaitez en apprendre davantage? Visitez le site de ROBIC.

Pascal-Philippe Bergeron

Chef d'équipe, Science & ingénierie des données, Adviso

Qu’est-ce que sont les cookies?

Les cookies, ou témoins, sont des traces d’identifiant qui permettent à un site de reconnaître l’utilisateur. Sur un site d’achat en ligne, ça permet au site Web de se souvenir de ce qu’un utilisateur  a mis dans son panier, de son adresse. De cette façon, le serveur sait à qui il parle. À la base, l’idée des cookies était de faciliter l’expérience client afin de proposer du contenu pertinent au consommateur. 

Au fil du temps, ça s’est transformé et on a vu arriver les cookies tiers. Ce sont ces cookies qui sont appelés à disparaître. Ce type de témoins permettent la récolte d’informations, non pas par le site visité, mais par le serveur d’un opérateur de site Web autre qui enregistre les données de l’internaute et son chemin sur le Web afin de faire un profil utilisateur. C’est ce profil qui permet de placer de la publicité ciblée.

Un cookie tier, ça mange quoi en hiver?

Concrètement, à l’aide des cookies tiers, un annonceur a l’opportunité de compiler et d’analyser une quantité phénoménale de données et peut retracer le parcours complet, sur plusieurs sites, d’un internaute. En analysant le comportement de l’internaute de site en site, l’annonceur peut maintenant cibler de façon très pointue les publicités les plus susceptibles d’intéresser cet internaute.

Afin de donner un exemple concret du fonctionnement des cookies tiers, on a tous déjà eu une expérience où on fait une recherche pour un article, ou une catégorie d’article quelconque. Puis, quelques heures plus tard, en retournant sur notre réseau social préféré ou en faisant une recherche pour quelque chose de complètement différent, on voit apparaître des publicités pour le premier article recherché. Cette publicité qui nous est présentée a été choisie spécialement pour notre profil d’internaute en fonction de nos actions précédentes sur le Web.

Ce ciblage précis est le résultat de la collecte de données par les cookies tiers.

Pourquoi les cookies tiers vont-ils disparaître?

La question de la vie privée est de plus en plus soulevée par la population en général, et avec raison. Dans les dernières années, la collecte massive de données avait peu de limites. Plutôt que de cibler des groupes d'individus, on en arrivait à faire du marketing personnalisé. On peut donc dire que les grands joueurs qui prédominent dans le marché, comme Google (Chrome dessert 6 utilisateurs sur 10) ont pris la décision d’être plus responsables avec les données des utilisateurs. 

Cela dit, il ne faut pas oublier que les cookies continuent d’exister, et nos informations personnelles continuent d’être collectées par Google, Apple, etc. Les géants de la donnée vont avoir encore plus de force, car ils pourront activer leur gigantesque bassin de données propriétaires, ce que les entreprises de plus petit calibre ne peuvent pas faire.

Quel impact cela aura pour les agences publicitaires et les professionnels du marketing?

La capacité à marchander va diminuer. Le ciblage direct entre un utilisateur et un site va être maintenu, mais le reciblage de liste de clients va disparaître. C’est stressant pour les compagnies parce que plusieurs de leurs outils utilisaient les cookies tiers. On va devoir revenir à un système plus statistique, et nous baser sur nos données primaires. Et les compagnies auront dorénavant la responsabilité de collecter elles-mêmes leurs données plutôt que de compter sur celles des grands joueurs. Les informations nominatives (adresse courriel, âge, nom, prénom, téléphone, adresse physique, code postal, etc.) vont redevenir une denrée très recherchée, car ces informations transcendent les cookies. C'est l'approche actuellement favorisée par Facebook, qui demande maintenant à ses partenaires de fournir ces informations pour identifier les données. Cette approche pourrait créer de sérieux ennuis parce que c'est beaucoup moins anonyme que ce qu'offraient les cookies à la base. Mais tout n’est pas négatif. Peut-être qu’on verra une diminution de l’achat programmatique au profit de l’achat local. 

 

Retrouvez la série L’Apocalypse des cookies sur le site d’Adviso. Une série d'articles sur le sujet afin de se préparer adéquatement à ce changement déjà amorcé.

Pascal-Philippe Bergeron approfondit la question et les solutions potentielles dans le programme de certification en stratégies numériques offert par Infopresse. Pour en savoir plus, cliquez ici!

La prochaine cohorte du programme commencera le 1er avril 2021 et se fera entièrement en classe virtuelle. 

Pour obtenir la certification, les participants doivent avoir complété tous les modules de formations et avoir réussi l’examen. Cet examen doit être complété en ligne. 

Toutes nos certifications sont accréditées par Emploi-Québec et sont admissibles à des subventions.

 

Comment choisir les outils adaptés aux objectifs de l’entreprise? Et comment s’en servir de façon pertinente et engageante? Comment mieux gérer ses audiences? Et se faire remarquer davantage dans un univers surchargé? 
 
Des cas inspirants et des experts de haut calibre offrent aux entreprises des solutions concrètes pour mieux activer leurs leviers numériques et être plus performants en ligne. 

jonathan nicolas

glo

Atelier intercatif publicité numérique:
Les défis et les opportunités des marques en 2020

Quelles sont les dernières tendances en publicité numérique? Quelle place accorder aux investissements dans les médias québécois? Où sont les limites légales ou éthiques dans l'utilisation des données? Qu'est-ce qui devrait être internalisé ou externalisé? Comment la mesure de performance devrait être adaptée pour faire face aux nouvelles réalités?

Toutes ces questions seront abordées pendant cet atelier interactif… ou non! En fait, le contenu sera créé entièrement sur mesure et en direct, en fonction des sujets les plus populaires auprès des participants. Jonathan Nicolas, stratège numérique et fondateur de Glo, propose de démystifier les questions soulevées, sans tabou ni filtre.

martin proteau

tink

Le CX sauce numérique, à quoi ça sert concrètement?

Bien plus que du pelletage de nuages sans fin, différentes initiatives CX permettent de comprendre un contexte, puis de cerner, de définir et de prioriser des actions afin de prendre les bonnes décisions. De l’avant-scène aux coulisses de l’expérience client, comment s’améliorer sans perdre le cap? Quels pièges éviter pour ne pas s’embourber dans une démarche interminable?

Martin Proteau, directeur stratégie et expérience client de Tink, vulgarise et démontre le côté pratico-pratique du CX à l'aide de divers cas client. Il dévoile comment tirer le maximum de valeur du CX, rapidement.

jean-François Renaud

adviso

Mort annoncée des cookies: impacts et solutions modernes

L'arrivée du protocole ITP (Intelligent tracking prévention) met à risque une tactique largement utilisée par les annonceurs: le remarketing. Les organisations doivent sentir l'urgence d'organiser leurs données de manière à en faire un avantage compétitif unique.

loouis-philippe mathieu

adviso

L’agence spécialisée en stratégie numérique Adviso dresse un état clair de la situation et propose une approche structurante pour mieux tirer profit des données et être moins vulnérable face aux géants du web.  

Pour en savoir plus sur la programmation, cliquez ici.

  —

Le Sommet numérique est une initiative Infopresse, tenu en association avec l'Association des annonceurs canadiens (ACA) et les Aliments du Québec.

En couverture: une photo d'Alexandre Godreau pour Unsplash