La toute récente Loi 25 au Québec, adoptée en septembre 2021, représente un pas en avant pour la protection des informations personnelles dans le secteur privé. S'appliquant à toutes les organisations ayant des utilisateurs québécois, elle s'inspire largement du Règlement Général sur la Protection des Données (RGPD) de l'Union européenne. Dans cet article, nous allons explorer l’esprit de cette loi et examiner ses différentes exigences.

Pourquoi le gouvernement québécois a-t-il décidé de promulguer la Loi 25?
Plusieurs facteurs ont incité le gouvernement à adopter une loi aussi ambitieuse:

  • La demande croissante des citoyens pour la protection de leur vie privée
  • L'essor rapide des technologies sans cadre réglementaire (comme le développement fulgurant de ChatGPT!)
  • Les scandales liés à l'utilisation de données, tels que Cambridge Analytica
  • Les fuites d'informations personnelles majeures, comme celles de Desjardins ou Capital One
  • La pandémie et l'adoption du télétravail, avec les enjeux liés à l'accès aux serveurs à distance et à la cybersécurité
  • L'influence des législations adoptées ailleurs dans le monde, comme en Europe et en Californie

Quelles sont les grandes étapes du déploiement de cette loi?
La Loi 25 se déploie en trois phases majeures, permettant aux entreprises de se conformer progressivement à ses exigences. La première phase, en vigueur depuis septembre 2022, requiert la désignation d'un responsable de la protection des informations personnelles et la mise en place d'un système de notification des incidents de confidentialité. La seconde phase, prévue pour septembre 2023, est la plus conséquente; avec des exigences concrètes en matière de gouvernance des données, de collecte, de consentement et d'utilisation de l'intelligence artificielle. Enfin, la troisième phase, attendue en septembre 2024, aborde principalement le droit à la portabilité.

À quelles sanctions s’exposent les entreprises qui ne respectent pas la loi 25?
Les sanctions pour les contrevenants à la loi 25 sont loin d'être négligeables: elles peuvent atteindre jusqu'à 25 millions de dollars ou 4% du chiffre d'affaires mondial de l’entreprise, et les individus, victimes des contrevenants, peuvent réclamer au minimum 1 000$ en dommages et intérêts.

Définition des renseignements personnels
Pour bien saisir la loi, il est essentiel de définir clairement les données et informations concernées. Un renseignement personnel, c'est un peu comme la carte d'identité d'une personne physique : il permet de l'identifier. Les entreprises sont concernées dès qu'elles collectent, détiennent, utilisent ou communiquent ces informations à des tiers dans le cadre de leur activité.

Mais attention, il y a un petit jeu de piste à connaître entre identifiants directs et indirects pour savoir ce qui relève de la loi 25. Un identifiant direct est évidemment soumis à la loi puisqu'il permet d’identifier une personne physique. Par contre, un identifiant indirect qui ne se trouve pas à côté d'un identifiant direct échappe à la loi.

Identifiants directs: Ils permettent d'identifier une personne sans l'aide d'autres informations.

Exemples:

  • Nom
  • Numéro d'assurance sociale
  • Numéro d'employé
  • Carte de crédit
  • Email

Identifiants indirects: Pour identifier quelqu'un, ils ont besoin d'un coup de pouce d'autres renseignements.

Exemples:

  • Date de naissance
  • Code postal
  • Sexe
  • Position GPS

Parmi les identifiants indirects, certaines bases de données peuvent être soumises à la loi. Les renseignements dépersonnalisés sont concernés, car en les croisant avec d'autres bases de données internes, on peut retrouver et identifier un individu. En revanche, les renseignements anonymisés ne sont pas soumis à la loi, car ils sont dépourvus de toute information permettant de retracer un individu précis. Il devient alors impossible, de manière irréversible, d'identifier directement ou indirectement une personne, et ces informations ne sont plus considérées comme des données personnelles.

Voici quelques exemples pour illustrer tout cela:
loi 1
loi 2

Quelles sont les exigences à mettre en place pour respecter la Loi 25?
Se conformer à la Loi 25 sera un défi de taille pour les organisations. Elles devront faire preuve d’adaptabilité, de rigueur et d’innovation pour respecter les différentes étapes de cette législation ambitieuse. Voici un peu plus de détails sur ces exigences.

Registre des incidents
Depuis septembre 2022, les entreprises ont comme devoir de conserver un registre des incidents concernant les renseignements personnels et d'en informer les différentes parties impliquées. Voici les trois étapes clés de ce processus:

  • Tenir un registre des incidents liés aux renseignements personnels pour garder une trace précise de ce qui s'est passé.
  • Informer la CAI (Commission d'accès à l'information) et les personnes concernées en cas d'incident impliquant des renseignements personnels.
  • Communiquer l'information sur l'incident en respectant un délai jugé raisonnable, en fonction du risque et de la sensibilité des renseignements personnels concernés.

Gouvernance des données
La gouvernance des données est un aspect crucial, qui englobe les processus mis en place par une organisation pour garantir la qualité et la sécurité des données collectées. La Loi 25 exige des organisations qu'elles décrivent clairement ces processus et qu'elles limitent la conservation des données soumises à cette réglementation. Oubliez les données perdues dans les méandres d'un serveur pendant des années!

Voici les étapes essentielles pour assurer une bonne gouvernance des données en vertue de la loi:

  • Élaborer et communiquer les rôles et responsabilités bien définis en matière de protection des données personnelles.
  • Désigner un responsable de la protection des renseignements personnels (cette étape est en vigueur depuis septembre 2022).
  • Documenter et assurer la transparence des politiques et processus de collecte, conservation, destruction et anonymisation des données personnelles.
  • Limiter la durée de conservation des données et établir un plan pour détruire ou anonymiser les données au fil du temps.
  • Évaluer les impacts potentiels d'un incident lié aux renseignements personnels collectés pour identifier et minimiser les zones à risque.

Consentement et collecte de données
Les règles concernant le consentement auront un impact significatif sur les pratiques marketing. L'objectif principal de la loi est d'obtenir un consentement spécifique, éclairé et explicite de la part des consommateurs, c'est-à-dire que le consommateur doit clairement exprimer son accord et comprendre à quoi il consent. Un changement de mentalité s'opère également quant à la collecte des données: il est préférable de ne recueillir que les données nécessaires pour votre organisation et d'assurer leur sécurité en chiffrant les informations personnelles sensibles.

Voici quelques éléments clés pour se conformer aux exigences en matière de consentement:

  • Informer les utilisateurs de manière transparente sur les finalités (marketing, reciblage, analytique, etc.), les moyens et les destinataires tiers des renseignements personnels collectés.
  • Obtenir un consentement explicite, en évitant toute technologie qui recueille le consentement par défaut.
  • Permettre aux consommateurs de modifier le consentement qu'ils ont déjà donné (prévoir une interface utilisateur adaptée).
  • Pour répondre à ces exigences, les entreprises devront mettre en place des outils garantissant le consentement. L'une des solutions essentielles sera la plateforme de gestion du consentement (CMP), qui influencera inévitablement la quantité de données collectées.

Recours à des fournisseurs
Lorsqu'une entreprise fait appel à des fournisseurs externes (tels que Facebook, Google Analytics ou tout autre plugin installé sur son site web), de nouvelles obligations entrent en jeu. La transparence avec les consommateurs demeure cruciale, et l'entreprise doit les informer des tiers qui recevront leurs données, tout en obtenant leur consentement explicite. Une vigilance particulière est requise si les serveurs de ces fournisseurs sont situés hors du Québec. Pour répondre à ces exigences, les entreprises doivent :

  • Effectuer une analyse d'impact pour s'assurer que les renseignements personnels bénéficient d'une protection adéquate, en tenant compte des lois en vigueur dans le territoire concerné et de la sensibilité des informations transmises.
  • Obtenir un consentement explicite pour les tiers auxquels les renseignements personnels seront transmis (double opt-in nécessaire).
  • Informer les consommateurs que ces renseignements puissent être hébergés à l'extérieur du Québec.

Décision automatisée
Si une entreprise à recours à l’intelligence artificielle, la loi exige encore une fois la transparence de l’entreprise et demande d’informer les utilisateurs que la décision prise se fera via un algorithme spécifique.

  • Informer les utilisateurs lors de décisions résultant d’un traitement automatisé.
  • Expliciter quels renseignements personnels sont utilisés pour cette décision.
  • Énumérer les raisons, facteurs et paramètres ayant mené à la décision.
  • Permettre de rectifier les renseignements personnels ayant mené à la décision ou de faire réviser la décision par quelqu’un ayant le pouvoir de la modifier.
  • Permettre de rectifier les renseignements personnels ayant mené à la décision ou de faire réviser la décision par quelqu’un ayant le pouvoir de la modifier (un humain)

Le droit à la portabilité
Grâce à la Loi 25, les consommateurs bénéficient désormais de droits accrus, notamment celui de demander à une organisation de leur fournir une copie des renseignements personnels collectés à leur sujet. Ce droit à la portabilité peut en quelque sorte être défini comme un droit d’accès à l’information. Par conséquent, les entreprises devront mettre en place des technologies permettant de localiser ces informations. Cette obligation entrera en vigueur en septembre 2024. Les entreprises devront être en mesure de:

  • Fournir aux consommateurs une copie numérique de l'ensemble des renseignements personnels recueillis, dans un format facilement lisible et compréhensible.
  • Démontrer que le consentement a bien été donné par la personne concernée.

Ce que vous devez retenir sur la loi 25
En conclusion, il est crucial pour les entreprises de bien saisir la philosophie de la Loi 25 et d'appliquer les principes suivants: respect de la vie privée par défaut et par conception, transparence envers les consommateurs, consentement explicite et spécifique, processus établis pour la gouvernance des données, et minimisation des risques (en ne collectant que les renseignements personnels nécessaires).

En ce qui concerne le web analytique et la mesure des performances media, il est vrai que cette loi entrainera une diminution de la quantité de données collectées et une perte de précision dans les analyses, notamment avec l’installation de logiciels de consentement tels que CMP. Cependant, elle offre également des opportunités intéressantes pour les entreprises. Elle incite à se concentrer sur des approches centrées sur l'utilisateur pour améliorer l'expérience client. Pour les organisations qui n'ont pas encore entamé d'importantes transformations numériques, c'est l'occasion de repenser leur stratégie de collecte de données first party et de les exploiter de manière plus stratégique.

Enfin, plusieurs solutions et alternatives envisagées pour faire face à la diminution des données disponibles sont similaires à celles prévues pour faire face à la fin des cookies tiers. Cela peut être considéré comme une opportunité pour se préparer à cette transition, présentement en cours dans le monde du numérique. Adopter une approche proactive en se conformant à la Loi 25 permettra non seulement de respecter les exigences légales, mais aussi de renforcer la confiance des consommateurs et d'améliorer leur expérience globale.

Prochaine étape: découvrez comment mettre en place une plateforme de gestion du consentement (CMP)

loi 2