Le domaine de la protection de la vie privée au Québec est en train de changer et il est plus que temps pour les entreprises de se mettre à niveau.
Suite à l’introduction des normes de protection de la vie privée par le RGPD en Europe, la Loi 25 (Loi modernisant des dispositions législatives en matière de protection des renseignements personnels) a été adoptée à l'unanimité par l'Assemblée nationale du Québec le 21 septembre 2021.
Dans cet article, nous passons en revue tout ce que vous devez savoir sur cette Loi 25.
Mise à jour Mai 2024 : Le 21 Mai dernier, nous avons organisé un webinaire animé par Jean-Baptiste Garcin, notre responsable Québec & Canada, accompagné par Louis Audureau, Manager, Marketing de la Donnée & Stratégie Digitale chez M13H et Camille Blain-Coallier, Directrice Principale, Données & Analytics chez Labelium.
Nous y avons traité de la Loi 25, son impact sur le marché ses implications sur les opérations commerciales et les stratégies de gestion des données des utilisateurs, avant de regarder de plus prêt comment mettre en œuvre efficacement ses balises et bannières de consentement pour garantirconformité légale et performances marketing.
Retrouvez l'enregistrement à la demande en cliquant sur l'image :
Qu'est-ce que la Loi 25 du Québec ?
Susceptible d’entraîner des réformes plus globalement dans tout le Canada, la Loi 25 est conçue pour moderniser les lois québécoises sur la protection de la vie privée. En introduisant une série de changements dans le cadre juridique existant, elle accorde de nouveaux droits en matière de protection des données aux individus et de nouvelles obligations pour les organisations publiques et privées qui traitent leurs informations personnelles.
Historiquement, le cadre du droit de la protection de la vie privée au Québec est composé d'un ensemble de lois provinciales et fédérales. La Loi 25 constitue une mise à jour générale de ce dispositif, notamment de la loi régissant l'accès aux documents détenus par les organismes publics (la Loi sur le secteur public) et celle régissant la protection des renseignements personnels dans le secteur privé (la Loi sur le secteur privé).
La Loi 25 fait l’objet d'une mise en œuvre progressive sur les trois prochaines années. Bien que cette souplesse réduise légèrement la pression, il est largement temps pour les entreprises de se mettre en règle. Les changements à venir sont exhaustifs et leur mise en œuvre nécessitera un temps et des ressources considérables, avec de sérieuses pénalités en cas de non-conformité.
Pourquoi ne s'appelle-t-elle plus la loi 64 ?
"Projet de loi 64" était le nom du texte original proposé pour la première fois à l'assemblée nationale du Québec le 12 juin 2020. Après un long processus de consultation et de nombreux amendements, il a franchi les étapes de l'assemblée et des commissions parlementaires en septembre 2021.
Au Québec, un projet de loi devient officiellement une loi après la confirmation du Lieutenant-Gouverneur. Le projet de loi 64 a finalement terminé son passage en loi après validation officielle le 22 septembre 2021. Il est alors devenu la Loi de modernisation de la législation sur la protection des données privées, également connue sous le nom de Loi 25.
À quelles entreprises la Loi 25 s'applique-t-elle ?
À première vue, on pourrait supposer que les nouvelles dispositions législatives sont peu pertinentes pour les personnes extérieures au Québec. Ne vous y trompez pas, les effets se feront sentir bien au-delà des frontières provinciales. Et ce, pour deux raisons :
- Premièrement, grâce aux lois générales sur la protection des données et à une bonne jurisprudence de l'organisme de réglementation local (la CAI ; commission d'accès à l'information), la Loi 25 s'appliquera à toute organisation basée à l'extérieur de la province pour tout utilisateur de ses produits ou services au Québec.
Dans la pratique, cela signifie qu’il suffit qu’un utilisateur intérieur à la province visite un site international pour faire entrer le fournisseur dans la juridiction. - Deuxièmement, la Loi 25 est un cadre juridique pionnier au Canada, un appui solide pour rejoindre le mouvement global du sujet de la donnée personnelle. Compte tenu de l'approche régionalisée du Canada, on peut s’attendre à un "effet domino" avec des gouvernements voisins.
Si cela se produit, une réforme fédérale à venir est probable.
Que prévoit la Loi 25 et pour qui ?
La Loi 25 met à jour le cadre juridique existant pour la protection des renseignements personnels au Québec. Bien qu'elle concerne les secteurs privé et public, elle reste majoritairement pertinente pour les organisations privées.
La Loi sur le Secteur Privé définit les renseignements personnels comme suit :
“tout renseignement qui se rapporte à une personne physique et permet de l'identifier."
Cette définition inclut tous les renseignements personnels "concernant d'autres personnes qu'une personne recueille, détient, utilise ou communique à des tiers dans le cadre de l'exploitation d'une entreprise".
La Loi sur le secteur privé s'applique à tous ces renseignements personnels quelle que soit leur forme, comprenant sans s'y limiter les renseignements écrits, graphiques, enregistrés, filmés ou informatisés.
Qui est couvert ? Potentiellement tout le monde. Le champ d'application de la Loi 25 s'étend à tout utilisateur final d'un fournisseur de services basé au Québec, même à l'extérieur de la province. Elle vise toutes les "personnes physiques" intérieures à la frontière, mais aussi celles à l'extérieur sans restriction de citoyenneté.
Quels droits offre la Loi 25 aux utilisateurs québécois ?
Ne vous y trompez pas : la Loi 25 est une bonne nouvelle pour les consommateurs. Dans le sillage du RGPD, ce nouveau cadre renforce la protection des données personnelles et donne plus de contrôle à l'individu. Sauf indication contraire, tous les droits des consommateurs ci-dessous entreront en vigueur le 22 septembre 2023.
Droit au respect de la vie privée par défaut
La mise en application de la Loi 25 inverse la logique de base en matière de protection de la vie privée, en accordant aux consommateurs le droit automatique à la confidentialité. Cela signifie que les technologies de profilage ou de suivi doivent être désactivées par défaut sur tout site d’entreprise, à moins qu'un consentement express ne soit donné, pas l'inverse !
Transparence
Les consommateurs auront droit à un plus haut niveau de transparence lorsque leurs renseignements personnels seront recueillis par des organisations privées. Le nouveau règlement prévoit ce qui suit :
- Droit fondamental d'accès : Lors de la collecte d’informations personnelles, les entreprises doivent désormais informer les personnes concernées :
- Du but dans lequel les informations sont recueillies ;
- De la manière dont ces informations sont collectées ;
- Du droit du consommateur d'accéder à ces informations et de les rectifier s'il le souhaite ;
- Le droit du consommateur de retirer son consentement à la collecte de ses informations.
- Tiers : Les entreprises doivent désormais également informer les utilisateurs des éléments suivants concernant l'utilisation de leurs informations personnelles par des tiers :
- Le nom des tiers pour lesquels les informations sont recueillies ;
- Le nom des tiers à qui ces renseignements peuvent être transmis ;
- La possibilité que ces renseignements soient communiqués hors Québec.
- Traitement automatisé : Si une entreprise utilise des processus automatisés pour prendre une décision concernant une personne, elle doit en informer cette personne :
- Lorsqu'une décision est prise ;
- Leur droit d'accéder aux données les concernant utilisées pour prendre cette décision et de les corriger ;
- Leur droit d’information sur la manière dont la décision a été prise ;
- Leur droit de faire réviser la décision ;
- Leur droit de soumettre des informations supplémentaires dans le cas d'un appel.
- Droit de demander des informations supplémentaires : S'ils le demandent, les consommateurs ont désormais le droit de recevoir les informations suivantes :
- Le détail des informations recueillies les concernant ;
- Les catégories de personnes qui ont accès à ces informations au sein de l'entreprise ;
- La durée de conservation de ces informations ;
- Le contact du responsable de la protection de ces informations.
Consentement
Le nouveau dispositif introduit une série de nouvelles règles qui définissent la manière dont les consommateurs consentent à l'utilisation de leurs informations personnelles. Les dispositions les plus importantes sont les suivantes :
- Demandes de consentement : Les entreprises sont déjà tenues de demander un consentement libre et éclairé pour la collecte et l'utilisation d'informations personnelles. La Loi 25 renforce cette obligation en stipulant que les demandes de consentement doivent être formulées dans un langage clair et simple. Elle ajoute que ces demandes doivent être faites de manière isolée. En d'autres termes, elles ne peuvent pas être noyées dans les petits caractères.
- Informations sensibles : Les consommateurs devront désormais donner leur consentement express pour l'utilisation d'informations personnelles "sensibles" à des fins autres que celles pour lesquelles elles ont été initialement collectées. Ce sont les détails médicaux, biométriques ou autres données d'ordre privé qu’on a naturellement tendance à protéger.
- Mineurs : Les entreprises ne peuvent pas collecter d'informations personnelles concernant un enfant de moins de 14 ans sans le consentement de ses parents. Des exceptions sont admises si la collecte d’informations présente un intérêt évident pour l'enfant (par exemple, dans une situation d'urgence).
- Biométrie : La biométrie ne sera plus autorisée pour vérifier l'identité d'une personne sans son consentement concret.
- Exceptions : La Loi 25 explicite quelques cas exceptionnels dans lesquels la présomption de consentement ne s'applique pas. Pour détecter ou prévenir une fraude, ou si nécessaire pour fournir un produit/service expressément demandé par une personne, les organisations peuvent désormais utiliser des informations personnelles sans consentement .
En novembre 2023, la Commission d'accès à l'information du Québec a publié des lignes directrices et des pratiques recommandées à l'intention des organismes publics et privés tenus d'obtenir le consentement des personnes pour utiliser ou communiquer leurs renseignements personnels.
Ces lignes directrices, qui visent à assurer la validité du consentement, servent de référence pour une gestion responsable des données et mettent l'accent sur la protection des données personnelles dans le cadre législatif du Québec. Voici quelques-unes des attentes essentielles que les organisations doivent garder à l'esprit :
- Le consentement doit être obtenu de manière explicite ; toutefois, il est possible d'obtenir un consentement implicite dans certains cas, tels que le défilement sur un site web. Néanmoins, la page 18 des lignes directrices suggère que le consentement implicite est vraisemblablement plus approprié lorsque la collecte des données n'a qu'une seule finalité, ce qui implique que pour les sites web ayant des finalités multiples, le consentement implicite peut ne pas être approprié.
- Le consentement doit être éclairé, ce qui signifie que des informations détaillées doivent être affichées de manière transparente, y compris les objectifs de la collecte de données, les types d'informations personnelles recueillies et l'identité des tiers ou des fournisseurs ayant accès aux données.
- Le consentement est de nature temporaire et ne doit être valable que pour une période déterminée. Les exemples vont de six mois à trois ans, ce qui indique que le consentement peut avoir une durée considérablement longue, mais qu'il n'est pas indéfini.
- Lorsqu'une entreprise, un éditeur ou un site web utilise des technologies de suivi telles que les cookies ou les pixels, ils doivent le faire de manière transparente. Cette transparence inclut des informations sur la première couche de la bannière de la Consent Management Platform (CMP).
- Les éditeurs ou les propriétaires de sites web doivent documenter le consentement obtenu afin de conserver un enregistrement comme preuve du consentement.
- L'option d'"accepter tout" ou de "refuser tout" doit être présentée sur la même couche (par exemple, la première couche de la bannière), ce qui garantit que les utilisateurs ne sont pas indûment influencés pour donner leur consentement.
- Les utilisateurs doivent pouvoir retirer leur consentement à tout moment, ce qui nécessite un lien dans le pied de page du site web pour faire réapparaître l'avis du CMP ou l'utilisation d'une icône flottante.
- Les entreprises doivent informer les utilisateurs de la durée de validité du consentement, en indiquant clairement combien de temps le consentement durera avant de devoir être renouvelé.
Droit à l’effacement
À partir du 22 septembre 2023, dans l'esprit du "droit à l'oubli" du RGPD, les consommateurs auront désormais le droit de demander aux entreprises de cesser de diffuser leurs informations personnelles. Dans les cas où cette diffusion leur cause un préjudice ou lorsqu'elle enfreint une décision de justice, ils auront également le droit de faire désindexer tous les liens associés à leur nom.
Droit à la portabilité
Il s'agit de la dernière disposition à entrer en vigueur, prévue pour le 22 septembre 2024. Les utilisateurs pourront recevoir une copie digitale de toutes les informations personnelles qui ont été recueillies auprès d'elles par une organisation donnée.
Comment la Loi 25 est-elle appliquée ?
La Loi 25 s'accompagne d'un système d'application robuste par rapport au dispositif précédent, créant à la fois un modèle de sanctions monétaires à deux niveaux et un droit d'action devant les tribunaux civils.
Pénalités financières
Pour les particuliers, la peine maximale pour les infractions pénales en vertu de la Loi 25 est de 100 000 dollars. Pour les entreprises du secteur privé, les amendes pénales pour non-conformité peuvent atteindre la plus élevée des deux sommes suivantes :
- Une somme allant de 15 000 à 25 000 000 de dollars canadiens ; ou
- Une somme correspondant à 4% du chiffre d'affaires global de l'entreprise de l'année fiscale précédente.
L'autorité chargée de l'application des sanctions pécuniaires appartient à la CAI .
Droit d’action
La loi donne également lieu à un nouveau droit d'action privé, qui permet aux particuliers d'intenter des poursuites contre des entreprises pour des violations spécifiques.
L'utilisation illégale d'informations personnelles, le manquement à l'obligation de fournir des avis de confidentialité adéquats, le manquement à l'obligation d'informer les personnes concernées en cas de décisions automatisées et de violations de la confidentialité, entre autres, constituent des violations pouvant donner lieu à une action en justice.
Comment mon entreprise peut être conforme avec la Loi 25 ?
Bien que l'ensemble des réformes soit vaste, l'essence de certaines dispositions a déjà été entièrement ou partiellement mandatée par d'autres règles applicables (comme la PIPEDA), ou est simplement devenue une pratique courante au cours des dernières années.
Toutefois, pour la majeure partie des mesures qui sont entièrement nouvelles, les systèmes existants risquent d'être insuffisants et de nécessiter une refonte complète. Heureusement, leur mise en oeuvre progressive permet de décomposer ce processus.
Au minimum, les organisations doivent s'attendre à devoir cocher les cases suivantes dans les délais indiqués ci-dessous :
Depuis le 22 septembre 2022
- Désignez un responsable de la protection de la vie privée, chargé de veiller au respect de la loi au sein de votre organisation. La responsabilité de ce rôle incombe par défaut au PDG, mais le poste peut être délégué à toute personne compétente. Son titre et son contact doivent être publiés sur votre site et la CAI doit en être informée.
- Déclaration obligatoire de violations : Votre entreprise doit informer à la fois la CAI et toute personne concernée d’une violation de données impliquant des informations personnelles et présentant un risque de préjudice grave. D’ailleurs, un registre des violations doit être tenu. Pour la plupart des entreprises, ces mécanismes sont déjà en place grâce aux règles déjà en vigueur. Pour les autres, c’est le moment parfait pour revoir vos systèmes et aller vers la conformité.
- Biométrie : A partir de cette date, si votre entreprise utilise ou a l'intention d'utiliser des banques biométriques, vous devrez le déclarer à la commission au plus tard 60 jours avant l'implémentation de votre système.
Depuis le 22 Septembre 2023
- Politique de confidentialité : Vous devez vous assurer qu'à cette date, vous disposez d'une politique de confidentialité complète et transparente. Publiée sur votre site, elle doit exposer vos pratiques en matière de protection des données dans un langage clair et simple, et fournir suffisamment d'informations au consommateur pour satisfaire les obligations de transparence. Par exemple sur la gestion des données personnelles, la notification des violations, le consentement, les demandes d'accès et la prise de décision automatique.
- Évaluations des facteurs relatifs à la vie privée (“EVFP”) : Dans certains cas, il sera désormais obligatoire de réaliser une EFVP : Par exemple pour la communication d’informations personnelles hors Québec, la création ou l'acquisition d’un système digital impliquant des données privées, ou avant la diffusion de toute information personnelle sans consentement à des fins de recherche. Vous devrez mettre en place des directives d’application de ces règles et des procédures de communication claires pour le personnel.
- Établir des systèmes de transparence et de consentement : Bien avant cette date, votre organisation devrait avoir procédé à un examen complet de ses systèmes actuels de collecte, de stockage et de diffusion d’informations.
Ceux-ci doivent être mis à jour pour répondre au nouveau cadre des droits des consommateurs, en accordant une attention particulière aux points suivants :- Désactivez par défaut toute technologie de collecte de données sur votre site, sans exiger de confirmation de la part des utilisateurs. Vous pouvez prévoir un mécanisme explicite d'"opt-in" à la place. Cela exclut l'utilisation de cookies.
- Mettez à jour vos formulaires de consentement et d'accès aux systèmes d'information. Assurez-vous que, sur demande, vous êtes en mesure de fournir des détails sur les catégories de personnes au sein de votre entreprise qui ont accès aux informations personnelles d'un client donné, ainsi que le contact de votre responsable de la protection de la vie privée.
- Identifiez toutes les juridictions transfrontalières vers lesquelles votre organisation est susceptible de transférer des informations personnelles, et réalisez des EFVP pour ces localités.
- Assurez-vous que vous avez mis en place des procédures pour gérer l'exception de confidentialité en cas de décès. Vous pouvez transmettre des informations personnelles relatives à une personne décédée à son conjoint ou à ses proches, uniquement si cela est susceptible de les aider dans le processus de deuil et si le défunt n'a pas retiré son consentement à cet égard de son vivant.
- Assurez-vous que votre organisation ne collecte plus d'informations personnelles concernant un enfant de moins de 14 ans sans le consentement des parents.
- Veillez à ce que votre politique de protection de la vie privée fournisse des détails sur les processus de prise de décision automatisée de votre organisation, y compris l'accès aux informations et les recours.
- Anonymisation : Vous devez disposer d'un système permettant soit de détruire les données personnelles une fois vos objectifs atteints, soit de les rendre anonymes. Si vous mettez en place ou mettez à jour un système d'anonymisation, il doit être en mesure de garantir que la personne concernée ne puisse plus être identifiée, directement ou indirectement.
- Le droit à l'effacement : Examiner les demandes d'effacement d'informations personnelles est un exercice complexe. Assurez-vous d'avoir des directives en place pour examiner et répondre correctement à ces demandes : les facteurs pertinents à prendre en compte sont prévus par la législation.
D’ici au 22 Septembre 2024
- Facilitez le droit à la portabilité : Assurez-vous que vous disposez de la technologie et des formations nécessaires pour éditer une copie digitale de toutes les informations personnelles que vous détenez à propos de toute personne, si elle en fait la demande.
Étude comparative sur les bannières au Québec : 3 mois après la dernière phase en date de la Loi 25, nous avons effectué une analyse et publié une étude des 3 principaux types de bannières de consentement au Québec, en examinant les taux de consentement, la conversion et les meilleures pratiques en termes de protection des renseignement personnels.Accédez à l'étude ici (aucun courriel ou formulaire n'est requis) :
Quelles différences et similitudes entre la Loi 25, le RGPD et le CCPA ?
La Loi 25 rapproche les lois québécoises sur la protection de la vie privée du RGPD, l'un des principaux cadres mondiaux de protection des données. Étant donné que, comme le Canada, les États-Unis ne sont pas régis par une loi fédérale sur la protection de la vie privée, le CCPA (California Consumer Privacy Act) est considéré comme l'un des plus importants progrès en la matière dans le pays, ce qui invite à une comparaison avec la Loi 25 au Canada.
Bien que ces cadres législatifs traitent tous de principes généralement reconnus, ils diffèrent radicalement dans leurs approches sur de nombreux points. Une analyse exhaustive de leurs différences et similitudes serait trop longue à énumérer ici. Toutefois, à bien des égards, la Loi 25 est le plus rigoureux des trois régimes. Il y a quelques distinctions clés à noter :
- Étendue de la protection : La Loi 25 et le RGPD offrent tous deux de larges protections à toutes les personnes physiques et n'ont pas de conditions de résidence spécifiques. Le champ d'application de la CCPA est plus restreint et ne protège que les consommateurs qui résident dans l'État de Californie.
- La confidentialité par défaut : La clause de "confidentialité par défaut" du projet de loi 64 a une portée beaucoup plus vaste et est beaucoup plus stricte que le concept de "confidentialité par conception" prévu par le RGPD. Le CCPA adopte plutôt une approche corrective "après coup".
- Le consentement : Étant le seul régime à exiger le consentement par défaut avec des exceptions limitées, la Loi 25 est de loin la plus stricte. Le RGPD autorise un plus large éventail de justifications comme le respect des obligations légales et l'intérêt public. La CCPA n'impose aucune obligation de consentement aux entreprises, offrant plutôt aux consommateurs la possibilité de refuser la diffusion ou d'invoquer le droit à l'effacement une fois que leurs informations ont été collectées.
- Les analyses d’impact relative à la protection des données (AIPD) : La Loi 25 est large et exige qu'une AIPD soit réalisée à chaque fois que la situation le nécessite et quel que soit le niveau de risque. Le RGPD est moins strict, n'exigeant des analyses que dans les cas où le traitement est susceptible d'entraîner un "risque élevé" pour les droits et libertés d’un individu. Étant donné que le CCPA ne se concentre pas spécifiquement sur les obligations liées à la responsabilité, il n'impose pas d'évaluations d'impact.
Didomi aide les entreprises à se préparer pour un nouveau monde
La révolution de la confidentialité des données a peut-être commencé en Europe avec le RGPD, mais elle se répand rapidement dans le monde entier. De plus en plus de pays (et d'états) adoptent de nouvelles lois sur la protection des données et le respect de la vie privée.
Le message est clair : les entreprises qui font de la protection des données de leurs clients une priorité bénéficieront d'un solide avantage concurrentiel. Se conformer à la Loi 25, au CPRA et aux futures versions de ces lois est un plancher, pas un plafond. Les entreprises qui placent le consentement au centre de leur stratégie digitales auront une longueur d'avance, en particulier alors que nous avancons vers un monde sans cookies.
Pour en savoir plus sur la Loi 25 et déterminer si nous pouvons vous aider, prenez rendez-vous avec l'un de nos experts :
{{talk-to-an-expert}}
Foire à Questions (FAQ)
Qu'est-ce que la loi 25 du Québec ?
La Loi 25 du Québec, anciennement connue sous le nom de projet de loi 64, est une loi sur la protection des données qui vise à moderniser la réglementation québécoise. Elle accorde de nouveaux droits aux personnes en matière de protection des données et impose des obligations accrues aux organismes publics et privés qui traitent des informations personnelles.
Quel est le calendrier de la Loi 25 ?
La Loi 25 entre en vigueur par étapes sur une période de trois ans. Certaines dispositions sont déjà en vigueur aujourd'hui, tandis que d'autres seront mises en œuvre par étapes d'ici septembre 2024.
A l'heure où vous lisez ces lignes, la prochaine étape est le 22 septembre 2023.
À qui s'applique la Loi 25 ?
La Loi 25 s'applique aux secteurs public et privé du Québec. En outre, elle s'applique de manière générale à toute organisation basée hors du Québec qui fournit des produits ou des services à des clients dans la province.
Quelles sont les sanctions possibles en cas de non-respect de la Loi 25 ?
Les sanctions pour non-conformité comprennent une amende pouvant aller jusqu'à 10 millions de dollars canadiens ou 2 % du chiffre d'affaires mondial. Dans certains cas extrêmes, l'amende peut atteindre 25 millions de dollars canadiens ou 4 % du chiffre d'affaires mondial en cas de procédure pénale.
Où puis-je voir un résumé vidéo de la Loi 25 ?
Consultez l'enregistrement de notre webinar sur la loi 25 en 2024 pour obtenir un aperçu complet de la loi québécoise, de son impact et de la façon dont les organisations peuvent transformer les défis de la loi en opportunités commerciales.