Tous les articles

14 / 06 / 2023 - Par Dominic Bégin

Loi 25 – Quels sont les impacts sur votre site Web?

Analytique

Temps de lecture : ...

Loi 25 – Quels sont les impacts sur votre site Web?

Adoptée en 2021, la Loi 25 du Québec vient moderniser les règles protégeant les renseignements personnels afin de mieux protéger la vie privée des Québécois et que la loi sur le privé soit mieux adaptée à l’ère numérique moderne.

La Loi 25 présente plusieurs similitudes avec le RGPD, adopté par l’Union européenne en 2016. C’est ce même règlement qui est à l’origine des fameuses bannières d’acceptation de fichiers témoins (cookies) que vous voyez désormais sur la plupart des sites Web.

Le déploiement de la Loi 25 est prévu en 3 jalons importants. Le prochain jalon est celui de septembre 2023 pour lequel les considérations techniques les plus concrètes devront être appliquées.

Quel devrait être le plan d’action pour mon entreprise ?

La Commission d’accès à l’information du Québec (la CAI) a publié un aide-mémoire sur les nouvelles responsabilités des entreprises, les pistes d’action et les bonnes pratiques. Celui-ci résume très bien les différentes actions à mettre en place pour chacune des phases visées par la Loi. On vous suggère fortement de vous y référer afin d’avoir une vision globale et vous assurer que votre plan d’action est à la hauteur.

Qu’est-ce qu’un renseignement personnel ?

Un renseignement personnel est une information qui permet d’identifier une personne physique. Il doit être et demeurer confidentiel. Dans la grande majorité des cas, un renseignement personnel ne peut être communiqué sans le consentement de la personne concernée.

Il est à noter que les renseignements personnels visés ne sont pas que numériques, puisque tout renseignement personnel, peu importe le support, est concerné (e.g. : document papier en magasin, graphique, etc).

Le cycle de vie d’un renseignement personnel dans votre entreprise selon la Loi 25

cycle de vie renseignement personnel en entreprise selon la Loi 25

Les entreprises sont responsables d’assurer la gestion confidentielle des renseignements personnels tout au long du cycle. Chacune des étapes du cycle est régie par des obligations.

La destruction des renseignements personnels

Si vous avez collecté des informations personnelles pour une finalité spécifique et que celle-ci est accomplie, vous devez détruire ces informations de manière sécurisée

À compter du 22 septembre 2023, il y a toutefois une alternative à la destruction des renseignements personnels : l’anonymisation.

Qu’est-ce que l’anonymisation des renseignements personnels ?

Pour bien comprendre l’anonymisation des renseignements personnels, il faut comprendre les différents types de données d’identification.

Les types de renseignements personnels

  • Renseignements personnels

    • Ils permettent d’identifier une personne directement ;
    • On peut penser notamment aux données suivantes par exemple :
      • Nom ;
      • Adresse ;
      • Courriel ;
      • Téléphone ;
      • Numéro d’assurance sociale.
    • Ils sont soumis à la Loi 25.

  • Renseignements dépersonnalisés

    • Ils ne permettent plus d’identifier directement une personne spécifique ;
    • Ces renseignements ne doivent pas inclure ceux de la catégorie précédente ;
    • Ils peuvent toutefois mener à l’identification d’une personne si on les croise avec d’autres renseignements internes (indirectement) ;
    • Ils sont donc soumis à la Loi 25.

  • Renseignements anonymisés

    • Ils ne permettent plus, de façon irréversible, d’identifier directement ou indirectement une personne ;
    • Ils ne sont donc pas soumis à Loi 25 ;
    • C’est pourquoi ils sont considérés comme une alternative à la destruction des renseignements.
Un exemple concret
  • Renseignements personnels : Léonard De Vinci, homme, peintre,  67 ans ;
  • Renseignements dépersonnalisés : Léonard De Vinci, client #909088,  homme, peintre,  67 ans ;
  • Renseignements anonymisés : Client #909088,  homme, peintre,  67 ans.

Pourquoi c’est important  cette alternative ?

À l’ère de l’intelligence d’affaires et de l’intelligence artificielle, la possibilité de pouvoir établir des prévisions, optimiser et analyser des tendances est cruciale pour plusieurs entreprises. Le droit de conserver un entrepôt de données anonymisées est un privilège essentiel.

C’est bien beau tout ça, mais concrètement, quels sont les impacts de la Loi 25 sur mon site Web ?

La Loi 25 vient affecter différents aspects de votre site Web et ce, de plusieurs façons. La notion de transparence est très importante pour cette loi et on doit donc garder en tête que la vie privée des utilisateurs doit désormais être protégée par défaut.

Voici les principaux impacts de la Loi 25 sur votre site Web corporatif.

Désignation d’un responsable de la protection des renseignements personnels

Si ce n’est pas déjà fait, vous devez désigner une personne responsable de la protection des renseignements personnels et publier le titre et les coordonnées du responsable sur votre site (souvent dans la politique de confidentialité). 

Gestion des incidents

En cas d’incident de confidentialité impliquant un renseignement personnel, vous devez prendre les mesures nécessaires pour diminuer les risques de préjudice et éviter qu’un incident de même nature puisse se reproduire. Vous devez également tenir un registre de ces  incidents.

Consentement

Dans vos formulaires et autres moyens de cueillette de données, vous devez obtenir un consentement valide et distinct pour chaque objectif.  Essentiellement, il prévaut de ne recueillir que les informations absolument nécessaires à la réalisation de la finalité, ou de l’objectif, du processus. Si on souhaite utiliser les données pour un autre objectif, le consentement explicite de la personne doit avoir été recueilli.

Demande d’accès à ses renseignements personnels

Une personne peut demander à ce que vous lui fournissiez tous les renseignements prévus à la loi la concernant. Vous devez être en mesure de répondre à ces demandes.

Processus décisionnel automatisé

Si jamais une personne fait l’objet d’une décision à la suite de traitement entièrement automatisé de ses renseignements, vous devez l’aviser.

Activation proactive (“opt-in”) via une bannière de consentement 

Avant de procéder à la collecte de renseignements personnels par des technologies d’identification, de localisation ou de profilage, vous devez obtenir une activation proactive (opt-in). Les fichiers témoins sont un bon exemple du type de technologie auquel on fait référence ici. Une plateforme de gestion de consentement (CMP en anglais, pour Consent Management Platform) pourrait vous aider à bien gérer ces activations.

Politique de confidentialité

Votre politique de confidentialité doit être mise à jour et contenir l’ information détaillée sur vos politiques et vos pratiques. Le tout doit être rédigé en termes simples et clairs.

Traitement des demandes et plaintes

Vos utilisateurs doivent pouvoir faire des demandes et des plaintes en ce qui a trait à votre gestion de leurs renseignements et vous devez traiter ces requêtes. Vous pouvez mettre en place un formulaire de demande pour faciliter le tout si vous le souhaitez.

Destruction des renseignements ou anonymisation

Vous devez évidemment détruire ou anonymiser les renseignements personnels une fois leur finalité atteinte, selon le délai maximal permis par la loi.

Qu’est-ce qu’on retient de tout ça ?

La Loi 25, bien qu’elle apporte son lot de complexités pour les entreprises, a pour objectif d’offrir un cadre de protection des renseignements personnels détenus par les entreprises. L’essence de celle-ci est de protéger les citoyens contre des préjudices et de leur donner le contrôle sur ce qu’ils souhaitent partager en fonction de la finalité.

Comme ce n’était pas toujours le cas auparavant (surtout avant l’apparition du RGPD il y a 7 ans déjà), la loi veut que la confidentialité soit le paradigme par défaut et non plus seulement une option. On vient donc renverser un peu ce qui se faisait auparavant. 

De ce fait,  la transparence devient une valeur essentielle qui devrait guider vos politiques et pratiques en matière de renseignements personnels.

La notion de consentement (explicite et/ou implicite selon le type de données) devient également un requis primordial pour la collecte de renseignements personnels.

Comment Leonard peut m’aider dans l’atteinte de ma conformité à la Loi 25 ?

Les experts numériques de l’agence Leonard peuvent vous aider à :

  • Faire un audit de votre site Web en matière de renseignements personnels ;
    • Inventaire des renseignements qui proviennent de votre site et de leur chemin à travers vos différentes intégrations (site Web, CRM, Marketing courriel, etc).
    • Recommandations pour vos formulaires existants et autre à mettre en place.
  • La mise en place d’une bannière de consentement ;
  • La mise en place d’intégration à une plateforme de gestion du consentement ;
  • L’optimisation de votre taux de consentement aux fichiers témoins (CCRO en anglais, “Cookie Consent Rate Optimisation”) ;
  • L’optimisation de vos campagnes et actions de marketing numériques dans un contexte de données tiers limitées.

Besoin d’aide pour vous préparer aux enjeux de la Loi 25?

Cet article porte sur notre compréhension de la loi et de ses impacts potentiels sur l’opération d’un site Web. Nous recommandons fortement aux entreprises de consulter leur conseiller juridique afin de s‘assurer que leurs politiques et pratiques sont conformes.

Dominic Bégin, Directeur des technologies

Outre ses diplômes en Baccalauréat en génie informatique et MBA Gestion des technologies de l’information, Dominic cumule plus de vingt-cinq années d’expérience en informatique. Dominic a développé une grande expérience en gestion de projets informatiques, systèmes de gestion de bases de données et gestion d’équipes de travail. Il possède un esprit synthétique et analytique. De plus, quand vient le temps d’exprimer un concept informatique, il est doué pour la présentation des idées de manière précise et concise.

Voir les articles

Continuer la lecture

Ces articles pourraient vous intéresser...

Prime Day Amazon 2024: Ce que vous devez savoir pour vous préparer

Prime Day Amazon 2024: Ce que vous devez savoir pour vous préparer

30 Avr 2024 - Karl Demers

Une grandes période promotionnelle de 2024 est sur le point de commencer, et avec elle arrive l’un des plus grands événements de shopping d’Amazon : le Prime Day Amazon 2024. Êtes-vous prêt à augmenter vos ventes ? Qu’est-ce que le Prime Day Amazon 2024 ? Le Prime Day Amazon est un événement annuel de shopping […]

Lire l'article
Pourquoi confier votre PPC à une agence web ?

Pourquoi confier votre PPC à une agence web ?

12 Avr 2024 - Karl Demers

Imaginez avoir une équipe experte, qui maîtrise parfaitement les stratégies PPC et qui adapte constamment ses approches en fonction des dernières tendances et algorithmes. Une équipe qui transforme les défis en opportunités et les clics en clients. Voilà le genre de partenariat que propose une agence web qualifiée. Découvrez pourquoi confier la gestion de vos […]

Lire l'article
ChatGPT et le marketing de contenu : Comment l’IA change la donne

ChatGPT et le marketing de contenu : Comment l’IA change la donne

27 Fév 2024 - Karl Demers

ChatGPT est là depuis un certain temps déjà, et pour le meilleur ou pour le pire, l’intelligence artificielle est là pour rester. Alors que certains experts en marketing de contenu, craignaient de perdre leur emploi à cause de cette vague technologique, d’autres ont adopté l’IA, transformant une perturbation potentielle en un avantage inégalé. Alors, comment […]

Lire l'article

Laisser un commentaire

Votre adresse de courriel ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Merci, votre commentaire est en attente de modération ?!