Le 3 mai dernier, Didomi s’est associé à Adviso et à la Banque Nationale du Canada pour une conférence à Montréal, traitant des enjeux de la protection des données au Québec et à travers le monde, et comment les entreprises peuvent les transformer en opportunité.
Autour des sujets de la Loi 25, de la confiance, de la gestion des consentements et de la mesure des performances digitales, le panel était composé d’Axel Queffeulou, architecte principal de solutions de données chez Adviso, Philippe Rincon, Vice-Président du numérique à la Banque Nationale du Canada, et Raphaël Boukris, Co-Fondateur et CRO chez Didomi.
Dans cet article, nous revenons sur les principaux sujets abordés, identifions ce qu’il faut retenir de la conversation, et partageons la feuille de route pour se préparer à la Loi 25.
Loi 25 : Remise en contexte et échéancier
Si la suite de Loi 25 ne prend place qu’en Septembre prochain, les obligations ont déjà commencé depuis l’an dernier. En effet, les entreprises avaient déjà depuis Septembre 2022 l’obligation de désigner un responsable de la protection de la vie privée au sein de leur organisation, et de mettre en place une procédure de déclaration des violations des données personnelles.
La deuxième échéance est la plus urgente et la plus importante pour les entreprises présentes au Québec ou utilisant les données des citoyens Québécois. D’ici au 22 septembre 2023, il faudra notamment mettre en place :
- Une politique de confidentialité
- Une évaluation des facteurs relatifs à la vie privée (EFVP)
- Des systèmes de transparence et de consentement
Enfin, le 22 Septembre 2024 verra un nouveau volet visant à faciliter le droit à la portabilité - aussi connu sous le nom de DSAR.
Il existe deux obligations fixées par la Loi 25 qui sont au coeur des préoccupations pour les entreprises :
- L'obligation de transparence, qui implique que l’entreprise doit informer la personne concernée de la finalité liée à la collecte des données, et des droits d'accès et de rectification prévus par la loi
- L’obligation d’obtenir le consentement, qui consiste à mettre en place un mécanisme qui va permettre aux utilisateurs de consentir (ou non) à la collecte de leurs renseignements personnels
En cas de non-respect à ces obligations, les organisations s’exposent à des risques.
Les risques en cas de non-respect de la Loi 25
Les risques les plus évidents sont les sanctions administratives, qui peuvent s’élever jusqu’à $10,000,000 CAD, ou 2% du chiffre d'affaires global de l'entreprise de l'année fiscale précédente, voire si l’infraction est qualifiée de pénale, jusqu'à $25,000,000 CAD et 4% du chiffre d'affaires global.
Mais au-delà des sanctions financières, un des enjeux principaux est celui de la marque et du risque lié à la réputation.
La perte de confiance des utilisateurs et le manque de transparence peuvent avoir des conséquences très négatives sur la perception des consommateurs. Une étude Google/IPSOS montre notamment que 40% des consommateurs déclarent être prêts à changer de marque après une expérience de confidentialité négative.
Nous pouvons constater que la loi 25 est critique sur de nombreux aspects pour les entreprises. La question qui se pose est la suivante : comment les entreprises peuvent-elles tirer parti de ces défis et les transformer en opportunité d’affaires ?
Transformer les enjeux de la Loi 25 et des régulations mondiales en opportunité
Au cours de la présentation, les trois conférenciers ont été en mesure de présenter trois angles d’approche pour la Loi 25, à travers le prisme de leur expertise et leur expérience respectives :
- La Banque Nationale du Canada : Une histoire de confiance
- Didomi : Unifier les choix des utilisateurs
- Adviso : Combler le fossé entre consentement et performances
Avant d’explorer chaque partie en détails et si vous n’avez pas le temps de lire l’intégralité de l’article, voici les points à retenir :
Banque Nationale du Canada : Une histoire de confiance
Philippe Rincon, Vice-Président du numérique à la Banque Nationale du Canada, a ouvert sa présentation en illustrant la croissance exponentielle de la technologie au 21ème siècle, et en mettant en avant les différentes crises de confiance liées à la protection des données ces dernières années : Cambridge Analytica, Ashley Madison, Equifax…
Ces crises ont provoqué une perte de confiance des consommateurs :
- 62% des personnes interrogées sont préoccupées par la sécurité et la confidentialité de leur données personnelles
- 90% des données collectées dans le monde au cours des 2 dernières années l’ont été sans le consentement des utilisateurs
Le vice-président du numérique appuie son propos en insistant sur la responsabilité des organisations dans le domaine du traitement des données personnelles :
“Quand Raphaël vient sur le site web de la banque et qu’il interagit avec nous, on récupère de la donnée. Cette donnée ne nous appartient pas. C’est la donnée de Raphaël qu’on a chez nous et qu’il va consentir à nous laisser. Il faut bien réaliser que la donnée dont on dispose n’est pas la nôtre.”
- Philippe Rincon, Vice-Président du numérique à la Banque Nationale du Canada
Comment faire pour regagner la confiance des consommateurs ? Face à cette question, Philippe Rincon identifie 6 étapes:
- L’endossement exécutif, afin de s’assurer qu’il s’agit d’une priorité pour toute l’entreprise
- La centricité client, essentielle pour toutes les organisations digitales
- Des équipes multidisciplinaires, afin que l’ensemble de l'organisation comprenne son rôle dans ce grand chantier
- Une culture PRP (Protection des Renseignements Personnels), pour développer une éthique des données
- Un programme de formation, pour mettre à niveau les équipes
- La gestion du changement, afin d’appréhender une nouvelle manière d’aborder des question clés
Afin d’appréhender les changements majeurs provoqués par le Loi 25, le vice-président du numérique recommande aux organisations d’opter pour une posture positive en voyant dans la nouvelle législation non pas un fardeau mais une opportunité.
A travers des cadres existants comme le Privacy UX et le Privacy by Design, il existe en effet des moyens de redonner le contrôle aux clients et aux utilisateurs, en plaçant la confidentialité des données au centre des réflexions commerciales et stratégiques.
Philippe Rincon conclut sa présentation sur l’opportunité commerciale présentée par la Loi 25, qu’il considère comme une chance:
"Je pense qu’on a pas vraiment le choix, d’un point de vue réglementaire, mais je pense que c’est surtout une vraie chance pour le respect des droit fondamentaux. (...) Il est essentiel que les systèmes juridiques (et autres) puissent s’adapter aux systèmes technologiques, sinon il y a un grand décalage. (...)
Il s’agit de considérations très importantes qui nous permettent de nous positionner en disant que ce n'est pas uniquement réglementaire, mais vraiment une nécessité éthique pour les organisations."
- Philippe Rincon, Vice-Président du numérique à la Banque Nationale du Canada
Didomi : Unifier le choix des utilisateurs
Durant sa présentation, Raphaël Boukris, Co-Fondateur et CRO chez Didomi, se penche sur la partie technique du sujet, en présentant la solution de Didomi et ses différents modules :
- La gestion du consentement
- Le suivi de conformité web
- Les demandes d’exercice des droits
- La gestion des préférences
À travers cette offre et aux côtés de partenaires comme Adviso au Canada, Didomi propose une solution technologique et de services pour accompagner des organisations comme Orange, la Société Générale ou encore la SNCF à faire face aux enjeux de la protection des données.
En plus de la gestion des consentement, le co-fondateur et CRO met en avant d’autres solutions importantes offertes par Didomi dans le cadre de la Loi 25, en commençant par le suivi de conformité web, qui permet de détecter de manière proactive les brèches de conformité, d’établir une cartographie complète des traceurs et de minimiser les risques juridiques.
Le deuxième aspect indispensable est la notion de multi-régulations: comment s’adapter à un monde en évolution constante, à des réglementations évolutives et à des exigences différentes selon les pays et les régions ? Ces enjeux sont adressés par la fonction multi-régulations de Didomi.
Étude comparative sur les bannières au Québec : 3 mois après la dernière phase en date de la Loi 25, nous avons effectué une analyse et publié une étude des 3 principaux types de bannières de consentement au Québec, en examinant les taux de consentement, la conversion et les meilleures pratiques en termes de protection des renseignement personnels.Accédez à l'étude ici (aucun courriel ou formulaire n'est requis) :
Grâce à la technologie de Didomi, les organisations sont non seulement en mesure de créer des bannières de consentement réglementaires et personnalisées, mais aussi d’aller plus loin en :
- Répondant aux besoins de conformité des entreprises globales grâce au géo-ciblage, permettant d’afficher des bannières différentes en fonction des réglementations locales
- Stockant et prouvant le consentement en cas d’audit ou de demande d’accès aux droits
- Fournissant des analytiques, pour une visibilité granulaire sur les performances de la bannière
Pour en apprendre plus sur l’offre de gestion des consentements de Didomi et discuter des enjeux de protection des données dans votre entreprise, prenez rendez-vous avec un de nos experts:
Adviso : Combler le fossé entre consentement et performances
Afin de conclure la partie présentation de la conférence, Axel Queffeulou, architecte principal de solutions de données chez Adviso, met en avant l’impact inévitable de la Loi 25 sur les entreprises, leur collecte et leur utilisation des données - particulièrement dans le cadre du marketing numérique.
Il s’agit pour lui de réduire cet impact en maximisant la quantité des données collectées, avant de changer d'objectif en se concentrant sur la qualité avant tout.
Comment réduire l’impact de la Loi 25 sur la collecte de données ? Prenant exemple sur les pratiques de collecte de consentement en Europe depuis l’avènement du Règlement Général de Protection des Données (RGPD), l’architecte principal de solutions de données insiste sur l’importance de l'expérience utilisateur, qui influence fortement le taux de consentement.
“Tous les efforts mis sur les landing pages et les pages d’accueil pour accueillir sont mis à la poubelle. Maintenant, qui va accueillir les nouveaux utilisateurs ? C’est cette bannière de consentement. On sait que la première impression est toujours la plus importante, donc un maximum d’effort doit être fait dès le début de l’installation de la CMP sur ça.”
- Axel Queffeulou, architecte principal de solutions de données chez Adviso
Une fois la collecte optimisée, les données auront désormais une plus grande valeur selon Axel Queffeulou.
En effet, les utilisateurs ayant consenti à confier leurs données témoignent de leur confiance en la marque, un changement qui se traduit par la prise de valeur des données first- et zero-party, fournies directement par les consommateurs.
Le conférencier met en avant l’importance d'établir une stratégie des données, la première étape mise en place par Adviso avec leurs clients, et qui ensuite amène à pouvoir créer une cartographie des données, une architecture qui permet d'avoir une vue 360 du client grâce aux axes suivants :
- Les sources de données : CRM, produit, marketing, consentement
- L’intégration et la gestion des données : Gestionnaire de balises, plateforme analytique, entrepôt de données
- L’engagement: Publicité, personnalisation, test A/B
- L’intelligence: Visualisation, analytiques
Les enjeux législatifs liés à la Loi 25 présentent pour Axel Queffeulou une opportunité :
“On vous dit qu’une CMP est obligatoire, mais Adviso vous dit qu’une stratégie est un pré-requis. La CMP doit s’intégrer dans votre stratégie.”
- Axel Queffeulou, architecte principal de solutions de données chez Adviso
Feuille de route : Comment se préparer pour la Loi 25
Vous avez maintenant tous les éléments en main pour vous préparer à la prochaine étape de la Loi 25 en Septembre prochain. Il est primordial de se préparer en amont pour prévoir les imprévus, mettre en place les processus et ajustement nécessaires, et éviter une mauvaise surprise en cas de non-conformité en fin d’année.
Besoin d’aide dans le cadre de vos préparations ? Consultez notre page dédiée à la Loi 25 et prenez rendez-vous avec l’un de nos experts pour discuter ensemble de vos enjeux:
{{learn-more-about-law-25}}
Questions et réponses (Q&A) et prochaine étape
Pour conclure la conférence, le public a été en mesure de poser des questions aux intervenants. Parmi les échanges les plus intéressants, nos conférenciers ont abordé des sujets tels que:
- La performance moyenne du taux de consentement par industrie
- Le champ d’application de la Loi 25 aux entreprises en dehors du Québec
- La date d’expiration d’un consentement utilisateur stocké par une entreprises
- Et bien plus.
Afin de connaître les réponses à ces questions et de consulter l’intégralité de la conférence, nous vous invitons à regarder l’enregistrement réalisé lors de l’événement.