La seconde phase de la Loi 25 du Québec est entrée en application le 22 Septembre dernier, introduisant de nouvelles obligations pour les entreprises, et une nouvelle ère dans la protection des données au Canada.
Quelques jours avant la date butoir, Didomi organisait un événement à Montréal sur le sujet, sous la forme d’une table ronde constituée d’experts aux profils variés :
- Vanessa Deschênes, Avocate spécialisée en protection des renseignements personnels
- Sophie Deschêne-Hébert, Conseillère juridique principale chez Telus
- Frédéric Carcopino, Directeur principal TI pour la SAQ
- Charlotte Perrin, Directrice du service client chez Didomi
- Carl Dessureault, Consultant en sécurité de données et en conformité chez Valtec
Retrouvez l'enregistrement de la conférence ci-dessous, ou continuez votre lecture pour découvrir les moments clés de la table ronde et les prises de position de nos intervenants.
Loi 25 : Remise en contexte
Si la Loi 25 a commencé à faire parler d’elle depuis quelques années sous le nom de projet de loi 64, le sujet de la protection des données personnelles dans le secteur privé n’est pas nouveau au Québec. Les discussions autour de cette loi ont en effet démarré en 1993, comme rappelé par l’animatrice de la table ronde, Vanessa Deschênes :
" Je suis toujours un peu surprise en tant que juriste, de voir qu’on pense souvent que la notion de protection des renseignements personnels est nouvelle. Mais nos lois au Québec datent d’il y a vraiment longtemps.”
- Vanessa Deschênes, avocate spécialisée en protection des renseignements personnels
La Loi 25, également connue sous le nom de "Loi modernisant les dispositions législatives en matière de protection des renseignements personnels", a été adoptée en septembre 2022 au Québec et vise à moderniser et renforcer la protection des données personnelles dans un environnement de plus en plus numérique.
Elle impose diverses responsabilités cruciales aux entreprises comme une désignation claire du responsable de la protection des renseignements personnels ou la mise en place d’une bannière cookie sur les sites web, et a été pensée pour entrer en vigueur en 3 paliers :
Pour en apprendre plus sur la Loi 25, son histoire, ses exigences et les cases que les organisations doivent cocher pour s’y conformer, rendez-vous sur notre guide dédié :
{{learn-more-about-law-25}}
La Loi 25 vs. Le reste du monde
La Loi 25 est une étape importante dans la protection des données personnelles au Québec, mais il est également essentiel (et utile) de la comparer aux autres réglementations en vigueur dans le reste du monde. Non seulement afin d’en comprendre les subtilités mais aussi car beaucoup d'entreprises Québécoises sont aussi concernées par ces dernières.
Interrogées à ce sujet au cours de l'événement, 45% des personnes présentes lors de la table ronde du 19 Septembre dernier ont témoigné que leurs équipes doivent travailler à leur mise en conformité à Loi 25, mais aussi au RGPD, au CCPA et à d'autres lois globales.
En 2018, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur en Europe et s’est imposé depuis comme le standard international en matière de Protection des Renseignements Personnels (PRP). La Loi 25 y est souvent comparée.
Pour Sophie Deschêne-Hébert, Conseillère juridique principale chez Telus, la distinction fondamentale entre ces deux lois est celle du consentement, et de la notion d’intérêt légitime:
“Dans le RGPD, on parle d'intérêt légitime, notion qu’on a pas du tout dans la Loi 25. L'élément clé au centre de la Loi 25 est le consentement. (...) La notion de contrôle revient à la notion de consentement car tout revient à la personne concernée, à l’individu de décider si oui ou non, il consent à la collecte de ses renseignement personnels.”
- Sophie Deschêne-Hébert, Conseillère juridique principale chez Telus
Ces propos sont appuyés par Carl Dessureault, Consultant en sécurité de données et en conformité chez Valtech, qui souligne qu’il s’agisse de Loi 25, du RGPD, ou de bonnes pratiques de protection des renseignements personnel en général, l’exercice repose sur les mêmes principes :
“Au niveau technique, le point de départ de la mise en place des différents systèmes de conformité reste le même: faire une cartographie des données, bien comprendre notre écosystème technologique, et ensuite avoir une discussion avec les avocats pour l’attribution des rôles. (...) Le rôle des systemes, et le rôle et l’utilisation de la donnée, qui vont impacter directement la collecte et le respect des consentements.”
- Carl Dessureault, Consultant en sécurité de données et en conformité chez Valtech
La Loi 25 se démarque néanmoins des autres législations nord-américaines, qu’il s’agisse du CPRA en Californie, du VCDPA en Virginie, du CPA au Colorado ou du CDTPA au Connecticut, par une approche résolument plus proche de la législation Européenne, notamment en ce qui concerne le consentement et les notions d’acceptation et de refus.
Afin d’aborder ces différences pour les organisations ayant une présence internationale, Carl Dessureault préconise deux approches :
- L’application du cadre législatif le plus sévère à l’ensemble des propriétés
- L’utilisation de solutions technologiques qui permettent de créer différentes bannières et différents systèmes de gestion pour différentes géographies.
Pour en apprendre plus sur les différents formats de bannières de consentement et la manière dont Didomi permet d’appréhender ces défis multi-réglementaires, consultez notre guide dédié :
{{discover-our-privacy-request-module}}
Étude comparative sur les bannières au Québec : 3 mois après la dernière phase en date de la Loi 25, nous avons effectué une analyse et publié une étude des 3 principaux types de bannières de consentement au Québec, en examinant les taux de consentement, la conversion et les meilleures pratiques en termes de protection des renseignement personnels.Accédez à l'étude ici (aucun courriel ou formulaire n'est requis) :
Tendances comportementales des utilisateurs et accélération du marché
Une étude menée par la Columbia Business School a démontré qu’en 2015, une minorité des populations canadiennes et françaises (34% et 35%, respectivement) affirmait être à l’aise quant au traitement de leurs renseignements personnels. Il est difficile de croire que ce chiffre s’est amélioré aujourd’hui, alors que les scandales liés à la protection des données se multiplient.
En effet, une étude plus récente (2021) conduite par la société de conseil KPMG aux Etats-Unis reflète cette évolution, démontrant que parmi les participants :
- 64 % considéraient que les entreprises ne font pas assez pour protéger les données des consommateurs
- 30 % n’étaient pas disposés à partager leurs données personnelles, quelle qu'en soit la raison
- 40 % ne faisaient pas confiance aux entreprises pour utiliser leurs données personnelles de manière éthique
- 13 % ne faisaient pas confiance à leur propre employeur pour utiliser leurs données personnelles de manière éthique
Qu’il s'agisse de consommateurs Canadiens, Américains, ou Européens, il existe un véritable enjeu de transparence pour les entreprises. Un enjeu qui, au fil du temps, est devenu une attente de la part des clients, comme le souligne Frédéric Carcopino, Directeur TI chez la SAQL :
“Plus le temps passe, plus l’on est exigeant en tant que client car on a une prise de conscience de ce qu’il se passe avec nos données“
- Frédéric Carcopino, Directeur TI chez la SAQ
Cette tendance est confirmée par le public de l'événement de Montréal qui, interrogé sur la question de la sensibilisation des internautes à la protection de leurs renseignements personnels en ligne, était unanime sur l’importance perçue du sujet.
La majorité des participants (72%) souligne cependant un point d’attention sur le manque d'éducation autour du sujet chez les consommateurs :
Alors que les utilisateurs sont de plus en plus méfiants vis-à-vis des marques et de leur gestion des données personnelles, les intervenants de la table ronde mettent en avant une véritable opportunité pour les entreprises qui font un effort de sensibilisation et de transparence avec leur audience.
“Plus une entreprise est transparente et travaille sur la manière de communiquer par rapport à sa stratégie de conformité, plus les utilisateurs sont enclins à donner leur consentement”
- Charlotte Perrin, Directrice du service client chez Didomi
Ce constat, s’il était difficilement accepté il y a quelques années lorsque le RGPD a été présenté en Europe, semble faire son chemin auprès des acteurs du marché aujourd’hui.
Pour nos 5 intervenants, la recherche de la donnée à tout prix a longtemps été une obsession pour les entreprises, qui ont beaucoup investi pour développer des solutions technologiques dans ce sens. Les lois en matière de protection des renseignements personnels sont une sorte de frein à ce phénomène, et l’occasion de redonner le contrôle aux utilisateurs, sans pour autant signifier une perte de données pour les entreprises.
C’est alors que la Privacy UX rentre en scène.
Privacy UX : Optimisation et tendances pour le futur de la PRP
L'optimisation de la collecte de données et les tendances futures en matière de gestion des renseignements personnels sont des préoccupations majeures pour les entreprises, qui souhaitent créer une expérience utilisateur (UX) transparente, tout en respectant les exigences réglementaires.
Cette tendance a été reflétée par le public de l'événement Montréalais du 19 Septembre, dont une majorité (75%) considère la conformité comme une véritable opportunité d’affaires :
La Privacy UX est un concept d'expérience en ligne qui place la PRP au centre des préoccupations des organisations et des personnes avec lesquelles elles sont en contact en ligne. Notre PDG, Romain Gauthier, définit ce concept avec ses propres termes :
"Les entreprises savent que les gens veulent protéger leurs données, mais elles ont du mal à donner la priorité à la protection des renseignements personnels (de manière efficace.
C'est la raison d'être de la Privacy UX : mettre la PRP au centre de l'expérience en ligne à une époque où les données sont omniprésentes. La création d'expériences respectueuses des données n'est plus un luxe, mais une prérogative pour les organisations du monde entier, car les gens l'exigent, à juste titre.
La Privacy UX permet aux organisations d'être transparentes sur la collecte des données et leurs finalités, tout en offrant une expérience transparente à leurs clients."
- Romain Gauthier, PDG et co-fondateur chez Didomi (source: Didomi)
C’est dans ce sens que Didomi a présenté plus tôt cette année ses Global Privacy UX Solutions, afin de soutenir les organisations de manière holistique dans leur conformité, et de transformer ce que les intervenant de notre table ronde s’accordent à définir comme une véritable opportunité d’affaires.
Pour regarder l’enregistrement de la conférence dans son ensemble, rendez-vous sur YouTube. Si vous souhaitez discuter en détails de vos défis liés à la Loi 25, nous vous invitons à entrer en contact avec l’un de nos experts :
{{talk-to-an-expert}}