Comment se conformer à la Loi 25 et quoi mettre en place

La Loi modernisant des dispositions législatives en matière de protection des renseignements personnels est aussi connue sous le nom de de Loi 25. Pour des fins de concision, seul le terme “Loi 25” est utilisé dans l’article qui suit.

De nos jours, la protection des renseignements personnels et des données sensibles représente un enjeu majeur. Malheureusement, les brèches de données sont devenues monnaies courantes à travers le monde. 

En Septembre 2021, le gouvernement québécois a adopté la Loi 25 afin de répondre au besoin grandissant de protection des informations personnelles de la population. L’objectif final étant qu’au Québec, Loi 25 et cybersécurité ne fasse qu’un. 

Si l’entrée en vigueur d’une telle loi est une première canadienne, il ne s’agit pas d’une première mondiale. En effet, le Règlement Général sur la Protection des Renseignements Personnels dans le secteur privé (ci-après RGPD) est l’équivalent européen.

Découvrez les mesures qui doivent être prises par votre entreprise afin de se conformer à la Loi 25 et éviter ses sanctions. Prenez note que cet article peut évoluer à mesure que la Loi s’actualise. 

Qu’est-ce que la Loi 25?

La Loi 25 est une mesure législative québécoise qui modernise la façon dont est encadrée la protection des données personnelles dans diverses lois. La Loi 25 impacte, entre autres, la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels et la Loi sur la protection des renseignements personnels dans le secteur privé. 

L’entrée en vigueur des responsabilités et obligations de la Loi 25 s’effectue de manière graduelle entre septembre 2023 et septembre 2024. Cette mesure oblige les entreprises qui font la collecte de données personnelles en ligne d’en informer leurs utilisateurs. Ces derniers doivent être informés sur : 

• Le nom de l’organisme public pour lequel est réalisée la collecte de données ;
• La façon dont les données sont utilisées ;
• Les moyens mis en place pour recueillir les données ;
• L’aspect facultatif ou obligatoire de la collecte des données ;
• L’impact d’un refus ou du retrait du consentement sur la collecte de données ;
• Les droits prévus par la loi concernant l’accès à ses données et la modification de ces dernières.

En outre, la Loi 25 oblige toute entreprise à nommer une personne responsable de la protection des renseignements personnels dans le secteur privé. De plus, la loi requiert que les coordonnées de cet individu soient affichées sur le site Web de l’entreprise. Les entreprises qui collectent des renseignements personnels pour d’autres doivent afficher le nom des tiers pour lesquels la collecte de données est effectuée.

Nous aborderons la façon de partager ces informations plus loin dans l’article.

Qu’est-ce qu’un renseignement personnel?

Les renseignements personnels sont aussi appelés données personnelles. Ils sont composés de toutes informations portant sur une personne physique et permettant de l’identifier. Les informations suivantes peuvent, entre autres, être considérées comme des données personnelles : 

• Prénom et nom
• Âge
• Origine ethnique
• Adresse
• Numéro de téléphone
• Adresse courriel et messages
• Adresse IP
• Numéro d’assurance sociale (NAS)
• Niveau d’éducation
• Contenu et historique de recherches effectuées en ligne et préférences d’utilisateur
• Données biométriques
• Dossiers médicaux et informations de santé
• Relevés fiscaux
• Relevés de compte bancaire
• Relevés de compte téléphone cellulaire

La Loi 25 précise cependant que les coordonnées d’affaires ne sont pas des renseignements personnels. Les données relatives à l’emploi d’une personne au sein d’une entreprise sont : 

• Nom
• Titre et responsabilités
• Adresse courriel professionnelle
• Adresse de l’entreprise et/ou de ses bureaux
• Numéro de téléphone sur le lieu de travail

Précision sur le nom en tant que renseignements personnels

Le nom d’un individu est considéré comme un renseignement personnel s’il fait l’objet d’une collecte de données quelconque.

Le nom d’un individu n’est pas considéré comme un renseignement personnel s’il est partagé dans un contexte lié à l’emploi. C’est pourquoi une entreprise peut afficher le nom des membres de son équipe sur son site Web par exemple. Dans cette situation, le nom de l’individu est considéré comme une coordonnée d’affaires, puisque son usage est lié à l’emploi.

Les changements introduits par la Loi 25

L’entrée en fonction progressive de la Loi 25 entre 2022 et 2024 présente de nombreuses implications légales pour les entreprises. L’application de cette loi est assurée par la Commission de l’accès à l’information du Québec (ci-après Commission). Cet organisme gouvernemental est responsable de la mise en œuvre des politiques d’accès à l’information et de protection des renseignements personnels au Québec.

Veuillez noter que la présente section s’applique aux entreprises privées. Les organismes publics peuvent être soumis à d’autres règles et obligations qui ne sont pas mentionnées dans le texte qui suit.

À partir du 22 septembre 2022

Nomination du responsable de la protection des renseignements personnels 

Les entreprises doivent désigner une personne responsable de la protection des renseignements personnels. Cet individu devrait normalement être la personne ayant la plus haute autorité au sein de l’entreprise. Elle devra veiller au respect et à la mise en conformité de son entreprise vis-à-vis la Loi sur le privé.

Selon la loi, cette personne exerce la fonction de responsable de la protection des renseignements personnels. Cela dit, elle peut déléguer cette fonction à une autre personne, en totalité ou en partie, par écrit. 

Il est exigé que le titre et les coordonnées du responsable soient clairement indiqués sur le site Web de l’entreprise. En l’absence d’un site Web, il est impératif de trouver d’autres moyens appropriés pour permettre l’accès à ces informations.

De plus, les mesures en lien avec la gestion des incidents de confidentialité entrent en fonction à partir de cette date. Ainsi, en cas d’incident impliquant des renseignements personnels, il est important de suivre les étapes suivantes:

1. Mettre en place des mesures raisonnables qui visent à minimiser les risques de préjudice aux personnes concernées. Vous devez instaurer des actions appropriées afin de prévenir la répétition d’un incident similaire dans le futur.
2. Informer la Commission d’accès à l’information du Québec (CAI) ainsi que la personne concernée si nécessaire.
3. Conserver un registre des incidents. Vous pourriez être appelé à partager une copie de ce registre avec la Commission si elle en fait la demande.

Nouvelles règles de communication concernant certains renseignements personnels

Par la suite, les entreprises doivent se conformer aux nouvelles règles encadrant la communication de renseignements personnels obtenus sans consentement. C’est le cas notamment des données collectées dans le contexte d’études, de recherches, de statistiques et de transactions commerciales. De même, les entreprises doivent mener une évaluation des facteurs de vie privée (ÉFVP) avant de communiquer ce type de renseignements.

Mesure obligatoire concernant l’usage de caractéristiques ou de mesures biométriques

Finalement, il est obligatoire de communiquer un avis préalable à la Commission avant toute vérification ou confirmation d’identité qui implique l’utilisation de caractéristiques ou de mesures biométriques. Vous pouvez accomplir cette démarche en remplissant le formulaire mis à votre disposition via ce lien.

À partir du 22 septembre 2023

Politiques et pratiques de gouvernance

Les entreprises doivent établir des politiques et pratiques de gouvernance qui encadrent leur gestion des renseignements personnels. Ces règles doivent être publiées sur leur site Web et doivent notamment prévoir :

• Des règles concernant la conservation et la destruction des renseignements personnels
• La définition du rôle et des responsabilités des membres du personnel durant le processus de gestion et le cycle de vie des renseignements personnels
• Instaurer un système de gestion des plaintes concernant la protection des renseignements personnels
• Mettre en ligne sur leur site Web l’ensemble des détails concernant leurs politiques et leurs pratiques. En cas d’absence de site, les entreprises doivent mettre en place un autre moyen adéquat pour rendre ces informations accessibles.

Obligations de transparence

Dès le 22 septembre 2023, les organisations sont soumises à de nouvelles obligations de transparence prévues par la loi. Lorsqu’elles recueillent des renseignements personnels, elles seront tenues de fournir aux personnes concernées des informations telles que :

• les objectifs de la collecte
• les modalités de la collecte
• les droits de consultation et de correction des données collectées
• le droit des personnes concernées de révoquer leur consentement.

Les entreprises sont également tenues d’informer les individus concernés : 

• du nom du tiers ou des catégories de tiers pour lesquels la collecte est effectuée
• du nom des tiers auxquels il est nécessaire de communiquer les renseignements 
• du partage des renseignements à l’extérieur du Québec le cas échéant.

Qui plus est, dans le cas où l’individu concerné en fait la demande, les organisations sont dans l’obligation de l’informer : 

• des renseignements personnels la concernant ayant été recueillis par l’organisation
• des personnes ayant accès à ces renseignements à l’intérieur de l’organisation
• de la durée durant laquelle ces renseignements sont conservés
• des coordonnées nécessaires pour joindre le responsable de la protection des renseignements personnels de l’organisation.

Notez qu’il est obligatoire de transmettre ces informations à la personne concernée en priorisant un langage simple et accessible. Peu importe si l’information à partager est simple ou complexe, les entreprises doivent utiliser un langage clair pour répondre à la demande. 

Nouvelles règles de consentement

Finalement, le consentement à la collecte, la communication et l’utilisation des renseignements personnels collectés est encadré par de nouvelles règles. Le consentement doit notamment être donné de façon libre et éclairé. Il est aussi essentiel d’obtenir le consentement explicite de la personne visée avant de recueillir, de communiquer et d’utiliser ses renseignements personnels. 

Veuillez vous référer au site Web de la Commission pour plus d’informations au sujet des nouvelles règles de consentement applicables.

À partir de septembre 2024

Les entreprises doivent satisfaire les demandes de partage et envoi des renseignements personnels. En d’autres mots, une personne pourrait vous demander de lui transmettre les renseignements personnels que vous avez collectés à son sujet. À partir de cette date, vous devez avoir la capacité de les lui fournir le cas échéant.

Les impacts de cette nouvelle législation

La Loi 25 force les entreprises à se soumettre à de nouvelles exigences concernant la transparence et l’obtention du consentement en ligne. Ces nouvelles exigences auront un impact significatif sur les sites Web et les données analytiques des entreprises. 

De plus, les entreprises qui refusent de se conformer à ces nouvelles mesures devront faire face à des sanctions financières rigoureuses. Découvrez les impacts de cette nouvelle législation et les solutions pour vous y adapter afin d’éviter les amandes.

Sur votre site Web

Ajout de pages pour les politiques de confidentialité et de gestion des témoins

Comme nous l’avons vu plus haut, la Loi 25 impose une obligation de transparence et d’obtention du consentement explicite en ligne. Cela implique que les entreprises doivent se munir d’une politique de confidentialité et d’une politique de gestion des témoins. De même, ces politiques doivent être publiées sur le site Web de l’entreprise.

Les utilisateurs doivent trouver facilement les politiques de confidentialité et de gestion des témoins sur les sites Web qu’ils visitent. Nous recommandons donc de créer des pages dédiées à chacune des politiques.

Ajout de plateforme de gestion du consentement (consent management platform ou CMP) pour obtenir le consentement

Les entreprises doivent déjà obtenir le consentement libre et éclairé des usagers pour amasser leurs données personnelles. Cela dit, la Loi 25 renforce cette mesure en imposant la rédaction des demandes de consentement dans un langage clair. Ces dernières doivent donc être écrites de manière simple et facile à comprendre.

En outre, les demandes de consentement à la collecte des renseignements personnels doivent maintenant être faites seules. Ce qui veut dire qu’il n’est plus possible de les dissimuler à travers d’autres textes ou dans les petits caractères. Pour obtenir le consentement, nous recommandons d’utiliser une plateforme de gestion du consentement, ou consent management platform (ci-après CMP).

Les CMP peuvent prendre la forme de fenêtres pop-up ou de bannière en bas de page. Ce sont des moyens clairs et non dissimulés qui permettent d’obtenir facilement le consentement libre et éclairé des utilisateurs.

La gestion du consentement

Le consentement peut être obtenu à l’arrivée sur le site ou au courant de la navigation à l’aide d’un CMP. Le consentement peut être obtenu ou refusé à divers moments au courant de la navigation. Voici 4 cas possibles :

Cas #1 : Consentement obtenu dès l’arrivée sur votre site Web

Un utilisateur consent à la collecte de ses informations à l’aide de témoins dès l’arrivée sur votre site Web. Vous pouvez procéder à la collecte et l’utilisation de ses renseignements dès son arrivée. 
Cas #2 : Consentement obtenu en cours de navigation sur votre site Web

Un utilisateur consent à la collecte de ses informations à l’aide de témoins en cours de navigation sur votre site Web. La collecte et l’utilisation des données personnelles peuvent commencer seulement à la suite de l’obtention du consentement. La notion de consentement implicite jusqu’à l’obtention du consentement explicite ne s’applique pas.

Cas #3 : Refus à la collecte et l’utilisation des données dès l’arrivée sur votre site Web

Un utilisateur refuse la collecte et l’utilisation de ses données dès son arrivée sur votre site Web. Vous êtes tenu de respecter le refus et de ne pas procéder à la collecte et l’utilisation des données de cet individu. Les seules données pouvant être collectées sont celles dites “essentielles”. Voir la section sur les exceptions pour en savoir plus sur ces dernières.

Cas #4 : Refus ou retrait du consentement en cours de navigation sur votre site Web

Un utilisateur refuse ou retire son consentement à la collecte et l’utilisation de ses données durant sa navigation sur votre site Web. Vous êtes tenu de respecter son refus de façon rétroactive. En d’autres mots, le refus doit être appliqué comme s’il avait été donné au début. Les informations collectées jusqu’au moment du refus ne peuvent être utilisées et doivent être supprimées.

Les exceptions

Comme dans toute chose, quelques exceptions entourent l’obligation d’obtenir le consentement. Notamment, dans le cas où la collecte et l’utilisation des données sont nécessaires à la prestation d’un produit ou service demandé. Ces données dites “essentielles” peuvent être collectées et utilisées sans le consentement de la personne concernée.

Il en est de même pour les témoins et traceurs fonctionnels. Ces derniers sont essentiels au bon fonctionnement des sites Web. Ils ne sont donc pas soumis à l’obligation d’obtenir le consentement.

Notez cependant qu’une donnée n’est dite “essentielles” que si une entreprise doit absolument la collecter pour fournir ses produits ou services.

Sur l’analytique

La mise en place de la Loi 25 présente deux impacts majeurs au niveau de l’analytique. Le premier est la réduction du volume de données collectées et la baisse de leur degré d’exactitude. 

Ainsi, les conséquences de l’adoption de la Loi 25 auront un impact tant sur l’analyse que sur l’efficacité des campagnes. Les plans marketing des entreprises devront être adaptés afin de prendre en considération ces nouveaux défis.

La réduction du volume de données collectées

La mise en place d’un CMP en conformité avec la loi 25 causera une baisse des données collectées sur les sites Web. Nous pouvons prévoir cela en comparant l’entrée en fonction de la Loi 25 à son équivalent européen déjà en vigueur. Afin de se conformer au RGPD, les sites Web européens doivent obtenir depuis quelque temps déjà le consentement à l’aide de CMP. Or, on observe en France un taux de consentement moyen aux CMP de 55% .

De même, la Loi 25 aura aussi des répercussions sur les services d’analyse tels que Google Analytics et Adobe Analytics. Les plateformes publicitaires payantes comme Meta (Facebook), TikTok, LinkedIn, et autres, seront aussi affectées. En effet, dans le cas où un utilisateur refuse de partager ses données avec des tiers, les pixels ou API de conversion ne seront pas déployés.

De plus, la diminution du consentement des utilisateurs entraîne une réduction de la taille et de la précision des audiences. Cela a un impact significatif sur certains types spécifiques d’audiences. Parmi celles-ci, on compte notamment les audiences de reciblage qui ciblent les utilisateurs ayant déjà interagi avec notre marque. Les audiences comportementales, qui sont basées sur le comportement des utilisateurs, seront aussi touchées. 

Les performances des algorithmes des plateformes publicitaires seront directement influencées par la diminution de la qualité et la quantité des données collectées. Or, ces diminutions risquent de causer une perte d’efficacité au niveau des campagnes publicitaires. Les plateformes ayant moins de données pour mesurer le trafic et les conversions, les audiences se réduisent et les algorithmes perdent en efficacité. Cela entraîne une diminution du potentiel d’optimisation des plateformes et un impact négatif sur la performance des campagnes publicitaires.

La baisse de leur degré d’exactitude

En conséquence, vos analyses devront s’appuyer sur des données moins précises. Cela a plusieurs impacts, entre autres, sur l’évaluation du nombre d’utilisateurs sur vos plateformes Web. L’étude du comportement des utilisateurs et l’analyse des conversions de vos campagnes publicitaires seront aussi impactées. Cette situation peut entraver la capacité des entreprises à mener des campagnes publicitaires plus ciblées et véritablement adaptées à leurs audiences.

Les pénalités financières

Les pénalités financières en cas d’entrave aux nouvelles dispositions sont sévères. Le montant à payer peut s’élever jusqu’à :

• 10 000 000 $ canadien

ou

• une somme équivalente à 2% du chiffre d’affaires global réalisé par l’entreprise durant l’année fiscale précédente.

Notez que des sanctions plus sévères sont prévues afin de punir les infractions plus sérieuses.

Comment Bleu 3 peut vous aider

Bleu 3 est là pour vous accompagner dans le processus de changement en vue de se conformer à la Loi 25. Nous sommes disponibles pour vous aider à vous assurer que votre entreprise respecte les nouvelles dispositions légales. Notamment en instaurant de nouvelles politiques de confidentialité et de gestion des témoins, ainsi qu’un CMP approprié sur votre site Web. 

De plus, nous pouvons aider votre entreprise à minimiser les effets des nouvelles dispositions législatives sur vos campagnes de référencement numériques. Qu’il soit question de campagnes de référencement organiques (SEO) ou payantes (SEM), faire appel à notre expertise peut faire toute la différence. Il en est de même pour les campagnes publicitaires sur les réseaux sociaux (SMM). Nos experts peuvent vous proposer des solutions personnalisées pour maximiser les conversions.

Comme vous l’avez lu, l’arrivée de la Loi 25 amène son lot de défis et de changements pour les entreprises. Pour plusieurs, l’ensemble des implications de cette nouvelle législation est un casse-tête assez intimidant. Si cela est votre cas, soyez sans crainte, Bleu 3 est là pour vous aider.

Nos experts travaillent en étroite collaboration avec vous tout au long du processus. Notre objectif est de vous offrir des solutions personnalisées à vos besoins et satisfaire vos attentes. N’hésitez pas à nous contacter pour bénéficier de notre expertise en marketing numérique. Assurez-vous que votre entreprise se conforme à la loi 25 sans aucune incidence négative sur vos opérations dès maintenant!