La Loi 25 (anciennement projet de loi 64), a été adoptée à l'unanimité par l'Assemblée nationale du Québec le 21 septembre 2021. Celle-ci introduit une série de changements dans le cadre juridique en matière de protection des données aux individus et de nouvelles obligations pour les organisations publiques et privées qui traitent leurs informations personnelles.
A la lumière de ce changement majeur dans le paysage de la conformité au Québec et des questions de nos collaborateurs, clients et partenaires, nous avons choisi de nous réunir dans le cadre d’un webinaire sur le sujet.
Continuez votre lecture pour un résumé des points majeurs de celle-ci.
Projet de Loi 64, Loi 25, de quoi parle-t-on ?
Dans un souci de temps et d’efficacité, nos intervenants n’ont pas couvert tous les aspects de la Loi 25 au Québec durant le webinaire, se concentrant plutôt sur les enjeux que celle-ci va présenter aux éditeurs de site. Les points légaux suivants ont été identifiés comme les plus importants :
- L’obligation de transparence, qui définit les informations qui doivent être fournies au moment de la collecte des données personnelles et sur demande
- L’obligation d'obtenir le consentement à l'utilisation de leurs renseignements personnels mais aussi à leur communication potentielle à des parties tierces
- Les exceptions à l'obligation de recueillir le consentement, dans quelques cas ou les renseignements peuvent être traités à d'autres fins que celles initialement définies sans le consentement des personnes concernées
- Les pénalités financières, pouvant atteindre la somme de 10 millions de dollars canadiens ou 2% du chiffre d'affaires global de l'entreprise de l'année fiscale précédente
Pour rentrer dans les détails de chaque point, veuillez vous référer à l’enregistrement du webinaire ou à notre article dédié à Loi 25. Dès lors, comment les entreprises peuvent-elles se mettre en conformité ?
La mise en conformité des entreprises soumises à la Loi 25 du Québec est soumise à trois dates clés. Les organisations sont tenues de:
D’ici le 22 septembre 2022:
- Désigner un responsable de la protection de la vie privée
- Mettre en place un déclaration obligatoire des violations
D’ici le 22 septembre 2023:
- Implémenter une politique de confidentialité
- Evaluer les facteurs relatifs à la vie privée (“EFVP”)
- Établir des systèmes de transparence et de consentement
D’ici le 22 septembre 2024:
- Faciliter le droit à la portabilité
Quels enjeux et solutions pour les éditeurs de site?
Avec la Loi 25, le Québec passe d’un système ou le consentement est implicite et automatique (basé sur l’opt-out), à un nouveau fonctionnement ou le consentement devra maintenant être explicite.
Non seulement les personnes concernées devront désormais consentir à l'utilisation de leurs données personnelles aux fins définies par le responsable du traitement des données, mais également à la communication de leurs données personnelles à un tiers aux fins précédemment définies.
En effet, lorsque des utilisateurs visitent un site, celui-ci envoie de la donnée à des plateformes tierces: Analyses comportementales, plateformes médias, CRM, etc. Jusqu’à présent cet envoi était automatique. Avec la Loi 25, il faudra donc obtenir le consentement des utilisateurs.
Cela présente trois enjeux particuliers:
- Comment s’assurer de la conformité de son organisation ?
- Comment met-on en place un système de gestion du consentement en ligne ?
- Comment inciter les utilisateurs à accepter le partage de données?
Ensemble, observons les options qui se présentent aux organisations et comment elles peuvent répondre à ces enjeux.
Comment les entreprises peuvent-elles se préparer pour la Loi 25 ?
Trois options principales se présentent pour les organisations concernées: le status-quo, l’arrêt de la collecte de données, et l'adaptation de cette collecte.
Première option : status-quo.
La première option est de ne pas adapter ses activités et ne pas respecter l’obligation de consentement explicite. Evidemment, nous ne recommandons pas cette solution, qui implique le risque de sanctions économiques et réputationnelles du non-respect de la loi 25.
“Le montant maximal de la sanction administrative pécuniaire est de 50 000 $ dans le cas d’une personne physique et, dans les autres cas, de 10 000 000 $ ou du montant correspondant à 2 % du chiffre d’affaires mondial de l’exercice financier précédent si ce dernier montant est plus élevé”
Il s’agit d’un risque tangible et réel, en effet de nombreuses entreprises ont déjà dû faire face à des amendes élevées en France, aux USA ou encore au Royaume Uni.
Deuxième option : arrêt de la collecte.
La deuxième stratégie consiste à ne plus collecter de données personnelles. Si cette option assure une conformité aux yeux de la loi, elle représente aussi un impact important sur des services tiers. Trois types de services seront principalement impactés :
- Disparition de la donnée comportementale : Les services de mesure de performances comportementales ne collectent plus de données. L’impact est particulièrement important pour les sites rédactionnels.
- Baisse drastique des performances publicitaires : Il n’est plus possible d’attribuer de conversions aux campagnes publicitaires en ligne dans la plupart des cas: hausse drastique du CPA et baisse du ROI. La création d’audiences est quasiment impossible : les tactiques de remarketing et de lookalike seront très limitées
- Limitation de l’enrichissement de la donnée client : Très fortes limitations des tactiques d’automatisation marketing.
Troisième option: adapter sa collecte.
La dernière option est celle que nous préconisons, et consiste à adapter ses pratiques de collecte de données, afin de maintenir un maximum de performances tout en étant en conformité avec la Loi 25.
Dans ce cadre, mettre en place les bonnes initiatives permettra de répondre aux trois enjeux mentionnés précédemment
- Enjeu de conformité : s'entourer de professionnels du droit permettra de faire face aux challenges de la nouvelle réglementation.
- Enjeu technique : l’installation d’une Consent Management Platform (CMP) afin de collecter, stocker et synchroniser les consentements
- Enjeu marketing : la mise en place de nouveau KPIs et d’une approche “Privacy First” pour inciter les utilisateurs à fournir leur consentement et leurs préférences
Pour en apprendre plus sur la gestion des consentements et des préférences et comment Didomi peut vous aider, réservez un appel avec l’un de nos conseillers:
{{talk-to-an-expert}}
Étude comparative sur les bannières au Québec : 3 mois après la dernière phase en date de la Loi 25, nous avons effectué une analyse et publié une étude des 3 principaux types de bannières de consentement au Québec, en examinant les taux de consentement, la conversion et les meilleures pratiques en termes de protection des renseignement personnels.Accédez à l'étude ici (aucun courriel ou formulaire n'est requis) :
FAQ et résultats de sondage
Durant le webinaire, notre équipe a soumis des questions aux 160+ participants, afin de dégager des thèmes et informations sur la perception de la Loi 25 au Québec, et du degré de préparation des entreprises qui ont pris part à la conversation.
Sur la base de ces résultats, on observe que plus de 80% de l’auditoire a encore besoin d’approfondir le sujet, ce qui n’est pas surprenant à 1 an de l’échéance.
En revanche, si 27% des entreprises ont déclaré être relativement préparées voire fin prêtes, les 73% restants ont témoigné être au tout début de leurs démarches de mise en conformité pour la Loi 25, ce qui peut être inquiétant.
Voici maintenant un résumé des questions posées par les participants du webinaire, et des réponses apportées par notre équipe.
Le consentement explicite est-il uniquement requis pour les informations personnelles dites "sensibles" ?
Non. Il s'applique également pour les technologies de tracking, de suivi et de profilage. La Loi 25 introduit une notion de droit au respect de la vie privée par défaut.
Certaines entreprises effectuent toutes leurs tâches analytiques à même leur dashboard de solution e-commerce. Est-ce que la loi 25 implique qu'un utilisateur pourrait se soustraire à ce tracking ?
Oui tout à fait, comme avec n’importe quelle autre plateforme d’e-commerce, CMS ou autre.
Est-ce que l’'on s'attend à ce que le gouvernement laisse du temps aux entreprises de s'adapter ?
En Europe, les enquêtes ont commencé immédiatement ou presque après la mise en application du RGPD. Contrairement aux idées reçues il n'y a pas vraiment eu de retard, mais un processus d’audits, d’enquêtes et de consultation avant que des amendes ne soient infligées.
Nous nous attendons à la même chose au Québec, il reste donc un an aux entreprises pour se mettre en conformité.
Est-ce que la donnée comportementale, comme la vue d'une page produit, pourra continuer à être mesurée anonymement?
Une page vue anonyme oui, une session (qui est une donnée comportementale) non. En cas de consentement, cela pourra en effet être suivi.
Est ce qu'on sait si les entreprises publiques vont devoir se conformer aussi?
Tout à fait. Les entreprises publiques sont également visées par cette Loi 25
En ce qui concerne le transfert des données hors Québec, est-ce que les données hébergées aux USA posent un problème?
A priori, un consentement pourra être requis. Chaque entreprise devra réaliser son EVFP au sujet de ce transfert. es USA ayant le Cloud Act et la FISA qui permettent (pour résumer) aux agences de surveillance américaine d'accéder aux renseignements personnels, il est possible que les entreprises considèrent qu'il existe un risque avec un tel transfert.
En bref, la réponse relèvera d’une analyse au cas par cas.
Comment se passe la gestion du consentement pour des utilisateurs qui sont authentifiés ? Imaginons qu'un utilisateur arrive sur un site et refuse le consentement mais s'authentifie par la suite.
Cela ne change rien à ce qu'il a consenti de partager. Par exemple, s'il refuse les traceurs marketing, analytics ou autres, il ne pourra pas être suivi et ceux-ci ne pourront pas être déployés. On ne peut pas utiliser de moyens permettant d'identifier un utilisateur (comme un ID unique) sans consentement.
Cela dit, généralement, dans des environnements "loggés", le taux de consentement est plus élevé.
En fonction des cookies utilisés, s’il n'y a pas nécessairement de renseignements personnels collectés, un consentement est-il requis ?
Si le traceur ne contient pas de données personnelles, pas besoin de consentement. Une analyse au cas par cas est nécessaire.
La loi 25 avec consentement explicite s'applique-t-elle aussi aux données communiquées "offline" comme un numéro de téléphone demandé à la caisse d'un magasin retail ?
La réponse est oui, la loi s'applique en ligne et hors ligne.