La deuxième étape du déploiement de la Loi 25 est sur le point d’entrer en action. Elle s’applique à toutes les entreprises susceptibles de collecter et d’exploiter les données personnelles de leurs utilisateurs québécois. Il y a donc de fortes chances que vous soyez concerné! Alors, votre entreprise est-elle bien préparée pour la mise en application de la Loi? On fait le point! La Loi 25 vient modifier deux lois existantes pour assurer aux utilisateurs un meilleur contrôle de leurs renseignements personnels et une gestion plus transparente de la part des entreprises, à l’image de son équivalente européenne, le Règlement Général sur la Protection des Données (RGPD). De fait, la Loi 25 modernise les règles en vigueur alors que l’évolution de l’environnement numérique et le développement de récentes technologies créent de nouveaux enjeux pour garantir la protection des données. La mise en application de la Loi s’échelonne sur trois ans pour permettre aux entreprises de s’y conformer progressivement. Depuis septembre 2022, les organisations doivent désigner une personne responsable de la protection des renseignements personnels, notamment chargée de tenir un «registre des incidents». La seconde phase entre en vigueur dès le 22 septembre 2023 avec des exigences renforcées concernant les critères de validité du consentement, la modernisation des politiques de confidentialité, les procédures internes et l’utilisation de l’intelligence artificielle. Le dernier volet de la Loi se concentre quant à lui sur le droit à la portabilité des données et sera applicable à partir de septembre 2024. Les entreprises qui ne respectent pas les obligations inhérentes à la Loi 25 s’exposent à de lourdes sanctions de la part de la Commission d’accès à l’information du Québec. Assurez-vous de prendre les mesures qui s’imposent pour être en règle. Toutefois, certains ajustements peuvent nécessiter un peu de temps donc il est préférable de vous concentrer sur l’essentiel si vous n’avez pas encore tout préparé. On fait le point ensemble sur ce qu’il est important de faire dans les prochaines semaines. Comme on le mentionnait plus haut, la Loi 25 prévoit de nouvelles obligations concernant le consentement et la gestion des données des utilisateurs. Les entreprises doivent désormais obtenir le consentement préalable, manifeste, libre, éclairé et spécifique des utilisateurs pour la collecte et la sauvegarde de leurs informations personnelles. Pour être en mesure de se conformer à ces nouvelles exigences, l’utilisation de plateformes de gestion du consentement (consent management platform ou CMP) devient indispensable pour toutes entreprises. Ces logiciels permettent à ces dernières de recueillir de manière transparente et explicite le consentement des individus en fournissant des informations claires et précises sur la finalité de la collecte des données. Les utilisateurs ont ensuite la possibilité de modifier facilement leurs préférences, et ce, à tout moment, comme le requiert la Loi. Les CMP enregistrent les consentements obtenus ainsi que les versions précises des déclarations de consentements acceptées par chaque utilisateur. Elles fournissent des rapports pour aider les entreprises à démontrer leur conformité aux réglementations sur la protection des données en cas d’audit ou de demande des autorités de régulation. Pour collecter les données, le CMP affiche des bannières de cookies ou des pop-up que vous pouvez configurer et personnaliser depuis votre interface. En plus de faciliter votre conformité aux nouvelles règles en vigueur, recourir à un tel outil permet d’améliorer l’expérience des utilisateurs en ligne, de renforcer la confiance qui lie votre entreprise à ses consommateurs et de se montrer transparents. Il faudra donc aussi prévoir des alternatives si vos utilisateurs ne consentent pas à la collecte de leurs données et modifier les paramètres par défaut des technologies qui recueillaient jusqu’à présent les données de manière automatique. Il existe de nombreuses plateformes de CMP avec différentes fonctionnalités et options selon ce que vous recherchez. Pour nos spécialistes, il est très important de choisir un CMP qui vous permettra de suivre facilement et en temps réel le taux de consentement, le taux d’acceptation et de refus pour améliorer vos résultats dans la durée. Consultez notre article pour vous aider à faire un choix éclairé : notre équipe a testé pour vous les CMP les plus recommandés dans l’industrie. La Loi 25 demande aux entreprises de réviser ou de rédiger une politique de confidentialité claire et précise, dans des termes simples et accessibles, pour informer les utilisateurs de l’usage prévu de leurs données et de leurs droits. Il est également devenu obligatoire d’établir un cadre de gouvernance de données et de documenter toutes les procédures prévues, en accord avec ce qui est stipulé dans la politique de confidentialité. Pour préparer tous ces documents, il est nécessaire d’analyser vos besoins et vos pratiques actuelles pour implanter une stratégie d’exploitation des données en accord avec la Loi. Il s’agit de définir vos pratiques et politiques internes pour la conservation, la destruction et l’anonymisation des données, identifier et communiquer les rôles et responsabilités de chacun dans l’entreprise ou encore de spécifier tout ce qui a trait aux demandes d’accès aux renseignements personnels et à la gestion des incidents ou des plaintes. Vous utilisez certainement différents logiciels tels que Facebook, Google Analytics ou un CRM qui exploitent les données de vos utilisateurs. Il est également probable que vous ayez recours à l’intelligence artificielle et des algorithmes pour prendre certaines décisions. Dans les deux cas, vos utilisateurs doivent en être informés à travers votre politique de confidentialité et donner leur consentement explicite. Demandez l’aide de votre équipe juridique pour préparer et rédiger vos différentes politiques en vous assurant de respecter les nouvelles exigences de la Loi. L’entrée en vigueur de la Loi et son application sont une avancée majeure pour garantir la protection des informations personnelles, mais elles rendent aussi plus difficile le suivi des conversions. Il existe depuis quelque temps déjà de nouvelles solutions permettant de continuer à mesurer le succès d’une campagne tout en respectant la vie privée des internautes, notamment grâce aux mesures server side et aux données primaires. On fait par exemple référence à l’API de conversion de Facebook ou l’outil Enhanced conversions de Google Ads. Faites appel à votre agence média pour vous accompagner dans cette transition et tirer parti des opportunités qui émergent de la Loi 25!
Hamak est une agence de marketing numérique située à Montréal. Avec une obsession pour les résultats, notre équipe aide les petites, moyennes et grandes entreprises d’ici à atteindre leurs objectifs d’affaires. Nous sommes fiers de compter parmi les quelques agences québécoises certifiées Premier Google Partner et nous avons la chance de travailler avec des entreprises de toutes tailles œuvrant dans des secteurs variés. Chaque journée chez Hamak est différente, mais l’objectif demeure le même ; optimiser la présence numérique de nos clients et maximiser leur retour sur investissement
Introduction à la Loi 25
Gestion du consentement: installer un CMP
Gouvernance des données: réviser sa politique de confidentialité
Plateformes externes et intelligence artificielle
Web analytique et suivi des données: et après?
À propos d'Hamak
