Guide d’application pour les entreprises québécoises
En septembre 2023, de nouvelles responsabilités et obligations en matière de protection des renseignements personnels ont créé un raz-de-marée dans la sphère publique québécoise. Au cœur de ce dialogue, les nouvelles modalités de la Loi sur la protection des renseignements personnels dans le secteur privé, plus connue sous le nom de Loi 25.
Pour plusieurs entreprises, ces nouvelles dispositions législatives semblent étourdissantes, voire intimidantes, à comprendre et, ainsi, à implanter adéquatement.
On vous comprend : la gestion du changement, surtout dans le domaine légal, ce n’est pas l’affaire de tous. C’est donc précisément ce pour quoi nous avons créé un guide pratique centralisant les informations pertinentes.
Les informations contenues dans cet article sont basées sur les données disponibles au moment de la rédaction et peuvent ne pas refléter les mises à jour les plus récentes. Nous vous recommandons donc de consulter régulièrement les textes législatifs et réglementaires en vigueur pour obtenir des informations actuelles. Pour des conseils spécifiques à votre situation, n’hésitez pas à consulter un expert en conformité des données personnelles ou un avocat spécialisé.
La Loi 25, pourquoi?
La Loi 25 est issue d’un contexte social où les législations québécoises existantes sur la protection des renseignements personnels, datant des années 1990, laissaient place à interprétation, une chose peu souhaitable quand il est question de contenus aussi délicats!
Elle est donc née en 2020 de cette ambiguïté, avec le désir de poursuivre un objectif plutôt noble de la Commission d’accès à l’information du Québec (CAI) : promouvoir la transparence, la confidentialité, et offrir aux Québécois un contrôle accru sur la gestion de leurs informations dans la province.
Le Québec, précurseur d’une loi aussi stricte?
Oui… et non.
Bien que le Canada soit doté de la LPRPDE (Loi sur la protection des renseignements personnels et les documents électroniques), la Loi 25 impose des exigences beaucoup plus strictes en matière de conformité, principalement par le biais de sanctions financières élevées et d’obligations renforcées. Effectivement, une amende pour non-conformité peut varier entre 10 000 et 10 millions de dollars, ou 2 % du chiffre d’affaires mondial si ce dernier est plus élevé. Assez salé, vous en conviendrez.
Ailleurs dans le monde, ce sont le RGPD (Règlement général sur la protection des données) de l’Union européenne et la CCPA (California Consumer Privacy Act) de la Californie qui se rapprochent le plus des modalités énoncées par la Loi provinciale.
En bref : oui, le Québec est novateur par l’adoption d’une loi aussi rigoureuse, au Canada du moins.
Principales dispositions, en 2 temps 7 mouvements
Jusqu’ici, rien ne semble justifier un tel éclat, notamment parce que c’est l’implication des nouvelles dispositions législatives de la Loi 25 entrées en vigueur en septembre dernier qui sont au cœur du sujet.
Rappelons-nous que, depuis septembre 2022, votre entreprise devrait avoir entamé les quatre actions suivantes :
1. Désigner une personne responsable de la protection des renseignements personnels.
2. Élaborer un registre des incidents de confidentialité et un protocole pour les traiter.
3. Informer la CAI si vous récoltez des données biométriques.
4. Réaliser une évaluation des facteurs relatifs à la vie privée lorsque la Loi l’exige.
Notons ici que le terme « entreprises » inclut : les travailleurs autonomes, les associations, les coopératives et les organismes qui récoltent des données, et ce, même s’ils n’ont pas de site Web. À titre d’exemple, les données collectées par le biais d’infolettres ou de logiciels de comptabilité sont aussi assujetties à cette loi.
Ne vous inquiétez pas si vous n’avez pas encore intégré toutes ces dispositions : la CAI privilégie pour l’instant une approche éducative à cet égard.
Par conséquent, les entreprises déterminées à se conformer prochainement peuvent encore tirer profit de cette période d’adaptation.
On vous conseille toutefois de commencer ces démarches au plus tôt, surtout en raison des nouvelles mesures entrées en vigueur depuis septembre 2023.
On parle notamment de trois actions principales, soit :
5. Établir une politique de confidentialité claire, lisible et publique ;
6. Mettre en œuvre des mécanismes de gestion du consentement lorsque vous récoltez des données personnelles ;
7. Paramétrer la conservation des renseignements personnels (durée de conservation, destruction et droit à l’oubli).
Ce sont précisément ces dispositions qui sont centrales aux inquiétudes des organisations québécoises, surtout en raison des mécanismes de gestion du consentement.
Gestion du consentement : comment s’y préparer efficacement?
Par « mécanismes de gestion du consentement », la CAI entend un consentement explicite, informé et spécifique.
La Loi 25 accélère donc la fin des témoins (cookies) tiers sur Google et sur toutes les plateformes analytiques ou CRM. Concrètement, cela signifie que la majorité de vos pratiques courantes en matière de tracking publicitaire devront changer. On parle ici du reciblage, de la visibilité sur votre trafic, des indicateurs de performances classiques, etc.
La Loi 25 et Google Analytics : la fin de vos données telles que vous les connaissez?
L’analyse de performance par les outils comme Google Analytics sera restreinte dans son utilisation des données initiales (comme les témoins du site) pour évaluer l’efficacité en utilisant les modèles d’attribution traditionnels.
Cette restriction s’applique également à l’attribution de conversions au sein des plateformes publicitaires, y compris Google Ads et Meta.
C’est fort probablement cet aspect de la Loi qui donne chaud à votre équipe marketing!
La conséquence principale les affecte directement, car la fin de ces pratiques numériques courantes signifie une baisse importante de la précision dans l’analyse de l’efficacité des campagnes publicitaires, et une hausse dans les coûts d’acquisition reportés.
Faites de la créativité votre approche de choix
Les modalités d’application de la Loi 25 amènent certainement leur lot de casse-têtes, mais aussi de beaux défis pour les professionnels en marketing.
La baisse de fiabilité des données oblige votre équipe à user de sa créativité pour trouver de nouvelles façons de recueillir des statistiques sur les utilisateurs. On tasse un peu les chiffres pour revisiter les bases du marketing numérique, et ça, c’est un défi que notre équipe numérique est plus que motivée à relever! Le retour aux sources en matière de marketing numérique, c’est un peu la tendance du moment.
Place à l’innovation en stratégie Web
On verra assurément naître plusieurs nouvelles tendances en matière de stratégie Web dans les prochaines années afin d’améliorer la précision de la mesure des conversions.
Pour l’instant, on vous conseille de vous orienter vers trois modèles existants.
Marketing centré sur la confidentialité (privacy-centric marketing)
La bannière de gestionnaire de témoins sur votre site Web est un bon exemple de changement numérique orienté par le marketing centré sur la confidentialité.
Maintenant, l’utilisateur a le choix d’accepter ou non d’être suivi. En d’autres mots, quand un utilisateur arrive sur votre site, tous les témoins doivent être bloqués : vous ne collectez donc aucune donnée sur cet utilisateur.
Déjà que seulement 25 % des Canadiens sont ouverts à partager leurs informations personnelles sur les plateformes numériques dans le but d’améliorer leur expérience, on vous suggère d’être transparent dans la rédaction de votre bannière. C’est notamment ce que nous avons déployé sur les sites Web de nos clients, où l’expérience utilisateur est optimisée, puisque les implications pour l’utilisateur de partager ses données avec l’organisation sont clairement énoncées.
Votre stratégie de collecte de données pourrait d’ailleurs peut-être (sûrement) nécessiter une mise à jour pour intégrer davantage de données primaires, comme des sondages auprès de votre clientèle sur leurs habitudes d’achat, leurs préférences, etc. Dans cette lignée, l’instauration d’un programme de fidélité, qui demande aux utilisateurs de partager leur date d’anniversaire ou encore leur adresse civique, pourrait être une solution afin de contourner les limites des témoins!
Marketing centré sur la valeur (value-centric marketing)
Vous devrez être très créatif dans la façon dont vous approcherez les utilisateurs, mais aussi dans l’élaboration d’une offre alléchante pour les convaincre de partager leurs données avec vous.
La génération de contenus personnalisés et pertinents, répondant à un réel besoin, et centrés sur les avantages uniques de votre produit ou service, est donc au centre de ce modèle.
Par exemple, une entreprise pourrait offrir une réduction sur ses produits ou ses services en échange d’une inscription à son infolettre, canal où elle pourra non seulement recueillir des données et des opinions sur son audience à l’aide de sondages, mais aussi profiter d’un médium de communication personnalisé avec sa clientèle.
Marketing centré sur le client (customer-centric marketing)
Les obligations de la Loi 25 en matière de marketing numérique vous forceront aussi à développer une compréhension plus approfondie de votre clientèle actuelle et future.
À ces fins, la réalisation de veilles concurrentielles et d’études de marché sera essentielle afin d’améliorer la gestion de vos audiences.
Vous devrez aussi créer une offre personnalisée pour répondre aux attentes spécifiques des clients et, ainsi, continuer à accéder à leurs précieuses données. Si nous reprenons l’exemple de l’infolettre, il sera primordial de créer une situation « gagnant-gagnant » pour vos clients, à partir de laquelle vous serez ensuite capable d’anticiper leurs besoins.
Cela peut sembler évident, mais il est important de rappeler que la valorisation authentique du client est fondamentale dans l’approche du marketing centré sur le client, un principe de base qui peut facilement être négligé.
Ce n’est donc pas seulement une question de compréhension de l’audience, mais aussi de fidélisation et, le tout, dans un contexte conforme à la Loi 25. Dans le cas échéant, vous pourriez, par exemple, optimiser la gestion des préférences de votre infolettre et, ainsi, personnaliser et améliorer l’expérience client.
Le renforcement du consentement, au-delà du marketing numérique
En plus de l’influence directe sur le marketing numérique, les nouvelles mesures de la Loi 25 entraînent bien d’autres changements pour votre entreprise.
Le renforcement du consentement se traduit nécessairement par une restructuration organisationnelle autour de la confidentialité des données personnelles que vous recueillez.
La désignation d’une personne responsable de la protection des renseignements personnels (RPRP) est donc une priorité, puisque c’est elle qui doit réaliser des actions essentielles aux yeux de la loi, dont :
- Établir une politique de confidentialité claire, lisible et publique ;
- Veiller à la formation et à la sensibilisation dans votre milieu de travail ;
- Élaborer un plan de gestion des incidents en cas de bris de la confidentialité ;
- Gérer les plaintes.
Son rôle est donc primordial, surtout considérant l’instauration du droit à la portabilité des données prévu pour septembre 2024, puisque ce sont ces informations de contact qui devront être affichées sur votre site Web.
À titre informatif, cette disposition permet aux Québécois de demander une copie numérique de leurs données personnelles, et vous devrez absolument être en mesure de les fournir dans un délai de 30 jours. Cela signifie que toutes les étapes précédentes sont nécessaires afin d’être conforme à cette future modalité. Vaut donc mieux s’y attaquer tout de suite!
La recherche et la mise en place d’une plateforme de gestion du consentement (CMP) adaptée à vos besoins sont aussi des éléments qui vous demanderont temps et investissement, puisqu’elle est essentielle afin de vous conformer à la Loi 25.
C’est notamment sur cette plateforme que vous pourrez stocker et centraliser les données de consentement des utilisateurs. Il faut cependant être vigilant dans le choix de votre CMP et vous assurer que la plateforme vous permet d’être et de rester conforme avec l’évolution des lois et des réglementations en matière de protection des données personnelles au Québec.
L’expérience de la plateforme avec le RGPD et la réactivité du CMP face aux changements de la Loi sont deux critères essentiels à considérer lors de la sélection d’une solution.
Dans tous les cas, nous vous conseillons de consulter un expert en conformité de la protection des données personnelles pour vous assurer que tous ces changements répondent aux exigences légales et réglementaires de la Loi 25.
Vos prochaines étapes
C’est probablement sans surprise que nous vous annonçons que l’application de la Loi 25 vous demandera une capacité d’adaptation solide et une flexibilité accrue.
Par contre, on parle ici d’ajustements qui sont plus que nécessaires, à la lumière de la réalité technologique actuelle, afin de protéger les renseignements personnels des Québécois.
Que vous soyez une start-up ou une entreprise bien établie, nous vous conseillons fortement de vous référer à des conseillers juridiques pour la rédaction de votre politique de confidentialité (et pourquoi pas de conditions d’utilisation), mais aussi à une équipe numérique qui navigue efficacement dans ce nouvel environnement gouvernemental.
En combinant l’expertise spécialisée externe avec l’optimisation de vos capacités internes, vous serez en mesure de vous adapter avec succès à la Loi 25.