En vigueur depuis septembre 2022, la loi 25 ou la loi modernisant des dispositions législatives en matière de protection des renseignements personnels vient impacter la façon dont les entreprises peuvent dorénavant recueillir et utiliser les données de leur cible de consommateur·rices. Les informations des employé·es sont également davantage réglementées afin de diminuer les risques de fuites et de tentatives de piratage. Survol de la loi et de ses réalités avec Caroline Jonnaert, associée, avocate et agente de marques chez ROBIC.
Dans cette ère numérique où les consommateur·trices sont pisté·es sur pratiquement toutes les plateformes web sur lesquelles il·elles se rendent, la nouvelle loi 25 vient ainsi élever le niveau de protection de la vie privée des citoyen·nes de la province. Cette législation occasionne cependant de profonds changements pour les entreprises qui doivent revoir leurs procédés d’acquisition et leurs stratégies marketing.
Déployée en 3 phases s’étalant jusqu’à 2024, la loi 25 est régie par la Commission d’accès à l’information du Québec qui est responsable de surveiller son application. Les entreprises qui n’en tiennent pas compte pourraient avoir à débourser une amende allant jusqu’à 4 % de leur chiffre d’affaires.
Quelles sont donc les premières actions à prendre en tant que dirigeant d’entreprise pour faciliter une transition en douceur ? « La loi impose de nouvelles obligations, mais certaines existaient déjà avant, et d’autres ont été renforcées. C’est une entrée en vigueur par palier, rappelle Caroline Jonnaert. Il est donc important pour les entreprises d’avant tout faire une évaluation interne pour bien comprendre toutes les données dont elles disposent, et leur niveau de sensibilité. Celles des consommateur·rices, mais aussi celles des employé·es, qu’il ne faut pas oublier. »
Pour ne pas s’y perdre, l’avocate pour la firme ROBIC conseille de d’abord désigner une personne responsable qui s’assurera que l’entreprise se conforme à la loi en appliquant ses différentes composantes. Il s’agit d’ailleurs d’une des dispositions demandées depuis septembre 2022 que l’on retrouve dans la liste des obligations fournie par la Commission.
«Il faut nommer une personne qui sera chargée de la protection des renseignements personnels. Celle-ci peut vérifier, par exemple, si les mesures de sécurité sont adaptées, si l’entreprise a obtenu les bons consentements au niveau de l’utilisation des données, et établir ensuite des priorités, afin de se confirmer à la loi», explique l’avocate.
En septembre 2023, de nouvelles obligations en matière de consentement, d’information et de transparence feront entre autres leur entrée. Certaines règles viendront également encadrer le partage des renseignements personnels à l’extérieur du Québec.
Caroline Jonnaert
Que faire avec les données et comment les utiliser de manière conforme ?
En premier lieu, les entreprises doivent faire une évaluation de leur niveau de maturité, explique l’avocate. Par exemple, lister les différentes données dont on dispose et évaluer à quels endroits elles sont hébergées. «Est-ce que ce sont des adresses IP, des numéros d’assurance maladie ou sociale ? On peut ensuite plus facilement prioriser la protection et l’encadrement de ces données. Il faut par ailleurs s’assurer de disposer de bonnes procédures internes pour gérer adéquatement les données dont on dispose, notamment en cas d’incidents de confidentialité», indique Caroline Jonnaert.
Qu’il s’agisse de transfert de données ou de n’importe quelle utilisation de celles-ci, si une entreprise réalise que les informations qu’elle détient n’ont pas été obtenues correctement, elle doit aller chercher un nouveau consentement ou bien assumer le risque, précise-t-elle. «Il faut comprendre que la loi n’est pas rétroactive, mais il faut veiller à ce que nos bases de données soient valides et ont été construites sur la base de consentements adéquats.»
Un impact sur les stratégies marketing et les résultats d’affaires ?
On peut imaginer que cette nouvelle loi sur l’utilisation et le partage de renseignements personnels impacte les stratégies et leur efficacité, et aussi la manière dont les entreprises utilisent les différentes plateformes d’analyse et de collecte de données pour mesurer la performance de leurs campagnes.
Ainsi, le ciblage et le reciblage en numérique seront notamment affectés par un taux de consentement plus bas de la part des consommateur·rices auxquel·les on présente un message de «permission», réduisant ainsi la quantité de données disponibles. «Les données récoltées pour personnaliser requièrent un consentement, par exemple via un bandeau de cookies. L’Europe avait pris les devants dans l’encadrement de ces consentements. Le Québec suit dorénavant le pas, surtout lorsqu’il s’agit de données collectées à des fins de profilage, d'identification ou de géolocalisation», précise l’avocate.
Elle rappelle que «la fatigue du consentement» observée actuellement représente un défi important pour les entreprises. «Il faut obtenir les consentements sans pour autant décourager le consommateur, en évitant une certaine lassitude qui l'amènera à quitter une plateforme.»
Le constat est le même au niveau de l’utilisation des plateformes d’analyse et de collecte. Il faut veiller au respect de la vie privée, en toute transparence, croit Caroline Jonnaert, mais c’est parfois plus simple à dire qu’à appliquer. «Il y a des décisions qui sont publiées en lien avec ces plateformes, comme Meta par exemple. Mais je crois qu’actuellement, il manque des lignes directrices plus claires de la part des instances responsables de l’application de la loi. Les entreprises essaient de se conformer tant bien que mal, mais nous sommes tous un peu dans le brouillard actuellement.»
En conclusion, Caroline Jonnaert indique que selon elle, la nouvelle loi est avant tout une question de sensibilisation aux données que les entreprises détiennent, et qu’elle ne doit pas nécessairement être vue comme une embûche.
«Elle permet de mettre en confiance les employé·es, les consommateur·rices, de bâtir une relation durable avec les individus. Je crois que de se conformer à l’ensemble des exigences de cette loi est un avantage concurrentiel.»
