Tous les articles

14 / 06 / 2023 - Par Dominic Bégin

Loi 25 au Québec: Les impacts sur votre site Web

Analytique

Temps de lecture : ...

Loi 25 au Québec: Les impacts sur votre site Web

La Loi 25 a bouleversé le paysage numérique québécois. Avec 50% des internautes exprimant des inquiétudes quant à la circulation de leurs données personnelles en ligne, la protection de la vie privée est devenue une priorité absolue. Cette nouvelle réglementation impose de nouvelles obligations aux entreprises, notamment celles ayant un site web. Découvrons ensemble comment la Loi 25 impacte votre présence

C’est quoi la loi 25?

Adoptée en 2021, la Loi 25 du Québec vient moderniser les règles protégeant les renseignements personnels afin de mieux protéger la vie privée des Québécois et que la loi sur le privé soit mieux adaptée à l’ère numérique moderne.

La Loi 25 présente plusieurs similitudes avec le RGPD, adopté par l’Union européenne en 2016. C’est ce même règlement qui est à l’origine des fameuses bannières d’acceptation de fichiers témoins (cookies) que vous voyez désormais sur la plupart des sites Web.

Le déploiement de la Loi 25 est prévu en 3 jalons importants. Le prochain jalon est celui de septembre 2023 pour lequel les considérations techniques les plus concrètes devront être appliquées.

Quel devrait être le plan d’action pour votre entreprise face à la loi 25?

La Commission d’accès à l’information du Québec (la CAI) a publié un aide-mémoire sur les nouvelles responsabilités des entreprises, les pistes d’action et les bonnes pratiques. Celui-ci résume très bien les différentes actions à mettre en place pour chacune des phases visées par la Loi. On vous suggère fortement de vous y référer afin d’avoir une vision globale et vous assurer que votre plan d’action est à la hauteur.

Loi 25 : Tout comprendre sur les renseignements personnels

Un renseignement personnel est une information qui permet d’identifier une personne physique. Il doit être et demeurer confidentiel. Dans la grande majorité des cas, un renseignement personnel ne peut être communiqué sans le consentement de la personne concernée.

Il est à noter que les renseignements personnels visés ne sont pas que numériques, puisque tout renseignement personnel, peu importe le support, est concerné (e.g. : document papier en magasin, graphique, etc).

Le cycle de vie d’un renseignement personnel dans votre entreprise selon la Loi 25

cycle de vie renseignement personnel en entreprise selon la Loi 25

Les entreprises sont responsables d’assurer la gestion confidentielle des renseignements personnels tout au long du cycle. Chacune des étapes du cycle est régie par des obligations.

Assurez la conformité de votre entreprise à la Loi 25

 

La destruction des renseignements personnels

Si vous avez collecté des informations personnelles pour une finalité spécifique et que celle-ci est accomplie, vous devez détruire ces informations de manière sécurisée

À compter du 22 septembre 2023, il y a toutefois une alternative à la destruction des renseignements personnels : l’anonymisation.

Loi 25 : Le processus d’anonymisation des données expliqué

Pour bien comprendre l’anonymisation des renseignements personnels, il faut comprendre les différents types de données d’identification.

Les types de renseignements personnels

  • Renseignements personnels

    • Ils permettent d’identifier une personne directement ;
    • On peut penser notamment aux données suivantes par exemple :
      • Nom ;
      • Adresse ;
      • Courriel ;
      • Téléphone ;
      • Numéro d’assurance sociale.
    • Ils sont soumis à la Loi 25.

  • Renseignements dépersonnalisés

    • Ils ne permettent plus d’identifier directement une personne spécifique ;
    • Ces renseignements ne doivent pas inclure ceux de la catégorie précédente ;
    • Ils peuvent toutefois mener à l’identification d’une personne si on les croise avec d’autres renseignements internes (indirectement) ;
    • Ils sont donc soumis à la Loi 25.

  • Renseignements anonymisés

    • Ils ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne ;
    • Ils ne sont donc pas soumis à Loi 25 ;
    • C’est pourquoi ils sont considérés comme une alternative à la destruction des renseignements.

Un exemple concret

  • Renseignements personnels : Léonard De Vinci, homme, peintre,  67 ans ;
  • Renseignements dépersonnalisés : Léonard De Vinci, client #909088,  homme, peintre,  67 ans ;
  • Renseignements anonymisés : Client #909088,  homme, peintre,  67 ans.

Pourquoi c’est important  cette alternative ?

À l’ère de l’intelligence d’affaires et de l’intelligence artificielle, la possibilité de pouvoir établir des prévisions, optimiser et analyser des tendances est cruciale pour plusieurs entreprises. Le droit de conserver un entrepôt de données anonymisées est un privilège essentiel.

Quels sont les impacts de la Loi 25 au Québec sur votre site Web ?

La Loi 25 vient affecter différents aspects de votre site Web et ce, de plusieurs façons. La notion de transparence est très importante pour cette loi et on doit donc garder en tête que la vie privée des utilisateurs doit désormais être protégée par défaut.

Désignation d’un responsable de la protection des renseignements personnels

Si ce n’est pas déjà fait, vous devez désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur votre site (souvent dans la politique de confidentialité). 

Gestion des incidents

En cas d’incident de confidentialité impliquant un renseignement personnel, vous devez prendre les mesures nécessaires pour diminuer les risques de préjudice et éviter qu’un incident de même nature puisse se reproduire. Vous devez également tenir un registre de ces  incidents.

Consentement et Loi 25

Dans vos formulaires et autres moyens de cueillette de données, vous devez obtenir un consentement valide et distinct pour chaque objectif.  Essentiellement, il prévaut de ne recueillir que les informations absolument nécessaires à la réalisation de la finalité, ou de l’objectif, du processus. Si on souhaite utiliser les données pour un autre objectif, le consentement explicite de la personne doit avoir été recueilli.

Demande d’accès à ses renseignements personnels

Une personne peut demander à ce que vous lui fournissiez tous les renseignements prévus à la loi la concernant. Vous devez être en mesure de répondre à ces demandes.

Processus décisionnel automatisé

Si jamais une personne fait l’objet d’une décision à la suite de traitement entièrement automatisé de ses renseignements, vous devez l’aviser.

Activation proactive (“opt-in”) via une bannière de consentement 

Avant de procéder à la collecte de renseignements personnels par des technologies d’identification, de localisation ou de profilage, vous devez obtenir une activation proactive (opt-in). Les fichiers témoins sont un bon exemple du type de technologie auquel on fait référence ici. Une plateforme de gestion de consentement (CMP en anglais, pour Consent Management Platform) pourrait vous aider à bien gérer ces activations.

Politique de confidentialité

Votre politique de confidentialité doit être mise à jour et contenir l’ information détaillée sur vos politiques et vos pratiques. Le tout doit être rédigé en termes simples et clairs.

Traitement des demandes et plaintes

Vos utilisateurs doivent pouvoir faire des demandes et des plaintes en ce qui a trait à votre gestion de leurs renseignements et vous devez traiter ces requêtes. Vous pouvez mettre en place un formulaire de demande pour faciliter le tout si vous le souhaitez.

Destruction des renseignements ou anonymisation

Vous devez évidemment détruire ou anonymiser les renseignements personnels une fois leur finalité atteinte, selon le délai maximal permis par la loi.

Résumé de la loi 25 : Dates importantes

  1. 22 septembre 2021 : Adoption de la loi 25
  2. 22 septembre 2022 : premières mesures établies
  3. 22 september 2023 : entrée en vigueur des pénalités en cas de non respect de la loi 25 et adoption de mesures complémentaires
  4. 22 septembre 2024 : mise en place d’une dernière mesure offrant la possibilité aux internautes de demander la communication de leurs renseignements personnels

Qu’est-ce qu’on retient de tout ça ?

La Loi 25, bien qu’elle apporte son lot de complexités pour les entreprises, a pour objectif d’offrir un cadre de protection des renseignements personnels détenus par les entreprises. L’essence de celle-ci est de protéger les citoyens contre des préjudices et de leur donner le contrôle sur ce qu’ils souhaitent partager en fonction de la finalité.

Comme ce n’était pas toujours le cas auparavant (surtout avant l’apparition du RGPD il y a 7 ans déjà), la loi veut que la confidentialité soit le paradigme par défaut et non plus seulement une option. On vient donc renverser un peu ce qui se faisait auparavant. 

De ce fait,  la transparence devient une valeur essentielle qui devrait guider vos politiques et pratiques en matière de renseignements personnels.

La notion de consentement (explicite et/ou implicite selon le type de données) devient également un requis primordial pour la collecte de renseignements personnels.

Comment Leonard peut vous aider dans l’atteinte de votre conformité à la Loi 25 ?

Les experts numériques de l’agence Leonard peuvent vous aider à :

  • Faire un audit de votre site Web en matière de renseignements personnels ;
    • Inventaire des renseignements qui proviennent de votre site et de leur chemin à travers vos différentes intégrations (site Web, CRM, Marketing courriel, etc).
    • Recommandations pour vos formulaires existants et autre à mettre en place.
  • La mise en place d’une bannière de consentement ;
  • La mise en place d’intégration à une plateforme de gestion du consentement ;
  • L’optimisation de votre taux de consentement aux fichiers témoins (CCRO en anglais, “Cookie Consent Rate Optimisation”) ;
  • L’optimisation de vos campagnes et actions de marketing numériques dans un contexte de données tiers limitées.

Besoin d’aide pour vous préparer aux enjeux de la Loi 25?

Cet article porte sur notre compréhension de la loi et de ses impacts potentiels sur l’opération d’un site Web. Nous recommandons fortement aux entreprises de consulter leur conseiller juridique afin de s‘assurer que leurs politiques et pratiques sont conformes.

Dominic Bégin, Directeur des technologies

Outre ses diplômes en Baccalauréat en génie informatique et MBA Gestion des technologies de l’information, Dominic cumule plus de vingt-cinq années d’expérience en informatique. Dominic a développé une grande expérience en gestion de projets informatiques, systèmes de gestion de bases de données et gestion d’équipes de travail. Il possède un esprit synthétique et analytique. De plus, quand vient le temps d’exprimer un concept informatique, il est doué pour la présentation des idées de manière précise et concise.

Voir les articles

Continuer la lecture

Ces articles pourraient vous intéresser...

SEO et IA générative: Défis et Opportunités

SEO et IA générative: Défis et Opportunités

05 Sep 2024 - Karl Demers

L’IA générative représente une transformation majeure dans la façon dont les utilisateurs interagissent avec les moteurs de recherche. Ce changement dans le paysage numérique va modifier fondamentalement la manière dont le SEO est abordé nécessitant ainsi une adaptation rapide des stratégies pour maintenir une visibilité et le trafic organique des sites web dans un environnement […]

Lire l'article
Vendre sur Amazon : 6 raisons pour vous lancer

Vendre sur Amazon : 6 raisons pour vous lancer

13 Août 2024 - Karl Demers

Vous cherchez à propulser votre entreprise vers de nouveaux sommets ? Amazon, le géant du eCommerce, vous offre des opportunités en or. Dans cet article, nous allons explorer les 5 raisons majeures qui devraient vous inciter à vous lancer sur Amazon dès aujourd’hui et ainsi exploiter son immense potentiel. Amazon peut vous générer plus de […]

Lire l'article
Optimisation SEO: 5 astuces pour réussir

Optimisation SEO: 5 astuces pour réussir

30 Juil 2024 - Karl Demers

Votre site Web peine à se démarquer dans les résultats de recherche ? Que vous soyez un débutant en SEO ou un expert cherchant à affiner votre stratégie, ces conseils vous guideront vers une meilleure visibilité et une croissance durable pour votre entreprise. Qu’est ce que l’optimisation SEO ? Le SEO est l’art et la […]

Lire l'article

Laisser un commentaire

Votre adresse de courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Merci, votre commentaire est en attente de modération ?!