Que vous soyez une entreprise privée, un organisme ou une organisation publique québécoise, vous avez probablement entendu parler de la loi 25. Cependant, pour plusieurs, la compréhension de cette loi demeure très floue, tout comme sa mise en application.
À l’approche du 22 septembre 2023, qui marque le prochain seuil important dans le processus de la protection des données personnelles, il est primordial de se pencher sur le sujet, afin de s’y préparer correctement.
Qu’est-ce que la loi 25?
Résumé de la loi 25
La loi 25 est une mise à jour majeure des lois actuelles qui visent à renforcer la protection des données personnelles numériques des Québécois et Québécoises. La Commission d’accès à l’information (CAI) définit les renseignements personnels comme des informations concernant une personne physique qui permettent de l’identifier. Ces informations sont confidentielles et, sauf exception, ne peuvent être collectées ni partagées sans le consentement de la personne concernée. En d’autres mots, il s’agit d’informations permettant d’identifier de manière unique une personne et elles doivent donc être traitées avec précaution et respect de la vie privée.
Ce renforcement de la législation prendra la forme d’un encadrement strict du recensement et de l’utilisation des données personnelles que les entreprises recueillent à partir de leur site web. C’est d’ailleurs la première fois en 28 ans que le gouvernement du Québec procède à une telle mise à jour. Cette loi s’applique non seulement aux entreprises québécoises, mais aussi à toute organisation basée à l’extérieur de la province et qui fait affaire avec le Québec.
L’entrée en vigueur de la loi 25 s’effectuera sur une période de trois ans, soit de septembre 2022 jusqu’à septembre 2024. Les entreprises devront ainsi s’y conformer progressivement. La prochaine date importante à retenir est le 22 septembre 2023. À partir de cette date, les entreprises n’ayant pas de consentement clair pour chaque donnée collectée pourraient être sanctionnées. À noter que les amendes sont très salées, pouvant aller jusqu’à 4% du chiffre d’affaires global de l’organisation, et ce, jusqu’à concurrence de 25 millions de dollars!
Les requis de la loi 25
Toute entreprise qui fait affaire au Québec et qui collecte des données numériques de quelconque façon devra répondre à des exigences bien précises.
Une politique de confidentialité
Une politique de confidentialité devra être intégrée au site web par l’ajout d’une nouvelle page dédiée à cet effet, disponible en français et traduite en fonction des langues employées sur le site web. Il convient de souligner que chaque entreprise a la possibilité de créer sa propre politique, pour autant qu’elle respecte la loi 25 et qu’elle soit facilement compréhensible pour l’utilisateur.
La bannière de consentement
Pour être conforme à la loi 25, une bannière de consentement devra aussi être mise en place sur le site web. La récolte ou non des données personnelles dépend entièrement de l’acceptation ou du refus de l’utilisateur à partager ses données.
Ainsi, le fait de ne pas prendre le temps de répondre par oui ou par non serait automatiquement considéré comme un refus. Par conséquent, les données de cet utilisateur ne seraient pas récoltées. Voilà pourquoi la bannière de consentement mérite d’être visible. Sachez qu’il existe plusieurs plateformes de consentement en ligne permettant d’intégrer la bannière à votre site.
La gestion et la personnalisation des cookies
La loi 25 stipule que les entreprises doivent énumérer tous les cookies utilisés sur le site web, expliquer leur utilisation et permettre aux utilisateurs de retirer les cookies qu’ils désirent. Un lien doit donc être inclus dans le bas de chaque page du site web, afin que l’utilisateur puisse changer l’autorisation des cookies à tout moment.
Il importe de préciser que les cookies essentiels au fonctionnement du site ne seront pas affectés par la loi 25, mais que l’entreprise devra tout de même expliquer leur utilité.
Comment mettre en place la gestion du consentement?
Comme mentionné précédemment, il est primordial d’installer une bannière de consentement sur le site web. Pour ce faire, il faut d’abord choisir la plateforme de consentement avec laquelle vous voulez travailler. Il existe de nombreuses plateformes sur le marché avec des fonctionnalités et des prix différents.
L’un des éléments essentiels à prendre en compte dans le choix de la plateforme : les fonctionnalités en lien avec la personnalisation de la bannière. En effet, le niveau de personnalisation de la bannière est très important, puisque cela influencera grandement le taux d’acceptation des utilisateurs au partage de leurs données.
Voici les éléments principaux à considérer :
- La position de la bannière sur le site (haut, milieu ou bas de page)
- La couleur et l’emplacement des boutons « Accepter » et « Refuser »
- La fréquence d’apparition de la bannière lorsque l’utilisateur y a répondu une première fois
Bref, la bannière peut être optimisée de plusieurs façons pour encourager le consentement.
Idéalement, la plateforme de consentement que vous choisissez vous permettra de faire l’analyse du taux d’acceptation de manière journalière, afin de pouvoir être réactif si une version de votre bannière de consentement n’engendre pas les résultats escomptés.
Rappelez-vous que la qualité de l’exécution de la prise de consentement influencera énormément le taux d’utilisateurs qui le donnent.
N’oubliez pas également d’installer le lien qui permet aux internautes de changer d’idée à tout moment. Celui-ci est déjà configuré et disponible dans la plateforme de consentement, mais il doit absolument être ajouté dans le pied de page du site web.
Prochaine étape
Après septembre 2023, la date importante à retenir sera celle de septembre 2024, puisqu’une nouvelle exigence sera ajoutée à la liste des obligations. En vertu de la loi 25, il sera obligatoire, sur demande de la personne concernée, de communiquer les renseignements personnels qu’elle a fournis à une entreprise.
Ainsi, si une personne désire savoir quelles données personnelles elle a communiquées à une entreprise spécifique, elle pourra formuler une requête en ce sens. L’entreprise devra donc transmettre les informations demandées dans les délais prévus par la loi.
Êtes-vous prêts à vous conformer à la loi 25?
Est-ce que votre entreprise est prête à cette nouvelle entrée en vigueur de la loi 25? Si la réponse est non, nous vous conseillons d’agir vite, puisque septembre est à nos portes!
En somme, le processus d’application de la loi 25 est un grand changement pour l’univers du web au Québec et sa mise en œuvre est assez technique. En effet, de nombreux aspects doivent être soigneusement considérés, afin d’en garantir la conformité :
- Une politique de confidentialité ajoutée au site web; personnalisée ou générée par une plateforme de consentement.
- Une bannière de consentement; générée aussi par la plateforme de consentement.
- Une configuration dans Google Tag Manager pour la personnalisation des cookies. Chez Ursa, nous privilégions les plateformes de consentement permettant la gestion des cookies par Google Tag Manager, car cela assure une gestion fiable pour l’acceptation ou le refus des cookies et de la collecte de données.
Vous avez des questions? N’hésitez pas à contacter Ursa Marketing!