en
en
14 min.
Loi 25 : comprendre l’évolution du cadre réglementaire
1L’art de la gestion de projet2Un projet à succès commence par une bonne gouvernance3Cascade, agilité, demandes de changement?

Loi 25 : comprendre l’évolution du cadre réglementaire

Charles-Henri Paillé
Stratège données et intelligence
Plus sur l'auteur
  • Niveau Technique
  • 04 oct. 2022
Analytics et science des données

On en parle depuis plusieurs mois maintenant, mais c’est maintenant officiel : la Loi 25 est entrée en vigueur depuis le 22 septembre dernier. Le temps est donc venu de préparer votre entreprise à accueillir ce changement, et la meilleure façon d’y arriver est de bien comprendre le cadre réglementaire dans lequel nous naviguerons.

Pour rappel, la loi 25 (LQ 2021, c 25; dénommée par la suite la loi 25) apporte un certain nombre de modifications au dispositif actuel (art 100 à 161 de la loi 25) sur la protection des renseignements personnels dans le secteur privé (loi P-39,1). Si la plupart de ces modifications n’entreront en vigueur que le 22 septembre 2023 (article 174 de la loi 25), il convient toutefois de noter que certaines dispositions sont déjà applicables depuis le 22 septembre 2022 (article 175 de la loi 25) :

  • nomination d’un responsable de la protection des renseignements personnels (nouvel article 3.1 de la loi P-39-1);
  • incidents de confidentialité (nouveaux articles 3.5 à 3.8);
  • communication des renseignements personnels dans le cadre d’une transaction commerciale (nouvel article 18.4);
  • communication de renseignements personnels à des fins de recherche (nouvel article 21).

Dans cet article, nous explorerons les principes généraux du nouvel arsenal juridique applicable à partir du 22 septembre 2023, soit :

  1. le champ d’application de la loi; 
  2. les nouvelles obligations en matière de collecte de données;
  3. les limites à l’utilisation des données personnelles;
  4. la rétention de données;
  5. les sanctions applicables.

1. Le champ d’application de la loi

Sans changer fondamentalement le domaine d’application de la loi sur la protection des renseignements personnels dans le secteur privé, la loi 25 vient apporter un certain nombre de nouveaux éléments à la définition actuelle, en plus d’inclure une nouvelle exception.

a. Précision de la notion de renseignement personnel

Dans son nouvel article 2, la loi 25 vient préciser ce qui suit :

est un renseignement personnel, tout renseignement qui concerne une personne physique et permet de l’identifier directement ou indirectement.

Par cet article, le législateur semble souligner que le caractère personnel d’un renseignement ne saurait être apprécié de manière trop restrictive. S’il est difficile a priori de déterminer ce que couvre la notion d’identification indirecte, la loi 25 introduit une distinction entre renseignement dépersonnalisé et anonymisé de nature à lever quelques incertitudes. 

Un renseignement personnel est dépersonnalisé (nouvel article 12) :

lorsque ce renseignement ne permet plus d’identifier directement la personne concernée[…].

Toute personne qui exploite une entreprise et qui utilise des renseignements dépersonnalisés doit prendre les mesures raisonnables afin de limiter les risques que quiconque procède à l’identification d’une personne physique à partir de renseignements dépersonnalisés.

Par opposition, un renseignement est anonymisé lorsqu’il est (nouvel article 23) : 

raisonnable de prévoir dans les circonstances qu’il ne permet plus, de façon irréversible, d’identifier directement ou indirectement cette personne.

Ces deux définitions s’articulent autour des notions de risque ou d’impossibilité d’identification de façon irréversible. Toute donnée comportant un risque d’identification d’une personne physique devrait donc logiquement être du domaine de la loi; en revanche, cela ne devrait pas être le cas s’il est raisonnable de penser qu’il est impossible d’identifier une personne avec les données recueillies.

Appliquée au secteur du numérique, cette définition couvre un domaine très large : 

  • Les systèmes de profilage comportemental du type Google Analytics ou Adobe Analytics utilisent des données du navigateur pour identifier les visiteurs uniques; est-il raisonnable de penser qu’il est impossible d’identifier une personne avec ce type de données? Si l’on ajoute à cela qu’il est courant de croiser ces données avec des plateformes de gestion des relations-clients (CRM) ou des systèmes de planification des ressources de l’entreprise (PRE), on se rend compte que c’est l’ensemble de l’écosystème analytique qui est touché par la loi 25.
  • Les plateformes publicitaires du type Google Ads ou Facebook utilisent les données de navigation à des fins de personnalisation de la publicité. Compte tenu du volume de données transmises à ces plateformes, est-il raisonnable de penser qu’il leur sera impossible de vous identifier? Il semble là encore assez clair que l’ensemble de l’écosystème publicitaire numérique est touché par la loi 25.

La version actuelle de la loi sur la protection des renseignements personnels dans le secteur privé pouvait laisser planer quelques doutes quant à la notion de renseignements personnels. La loi 25 vient y apporter certaines précisions. Cela va d’ailleurs dans le sens de l’interprétation de la Commission d’accès à l’information du Québec (CAI) qui rappelait, le 

16 mars 2016, que : 

« les entreprises qui utilisent des systèmes de profilage et de publicité ciblée sur Internet sont soumises à la Loi sur la protection des renseignements personnels dans le secteur privé ».

b. L’exclusion des renseignements professionnels

Tout en précisant la notion de renseignements personnels, la loi vient introduire une exception à son champ d’application (nouvel article 1) concernant : 

les renseignements personnels qui concernent l’exercice par la personne concernée d’une fonction au sein d’une entreprise.

Cette disposition semble donc exclure de facto les coordonnées professionnelles. Il est donc théoriquement possible d’utiliser ces renseignements sans le consentement de l’individu. Il convient toutefois de noter qu’ils restent assujettis aux exigences de la loi canadienne antipourriel qui rend le consentement obligatoire pour l’envoi de messages électroniques commerciaux. Il ressort donc de cela que cette exception sera assez limitée en pratique.

2. Les nouvelles obligations en matière de collecte des données

La loi 25 vient introduire une obligation de consentement et d’information. De plus, elle apporte quelques précisions sur l’étendue de la collecte.

a. Étendue de la collecte limitée aux fins déterminées

La loi 25 dispose ce qui suit (nouvel article 4) : 

Toute personne qui exploite une entreprise et qui, en raison d’un intérêt sérieux et légitime, recueille des renseignements personnels sur autrui doit, avant la collecte, déterminer les fins de celle-ci.

Par ailleurs,  il est précisé que (nouvel article 5) : 

La personne qui recueille des renseignements personnels sur autrui ne doit recueillir que les renseignements nécessaires aux fins déterminées avant la collecte

En d’autres termes, les données recueillies devront se limiter aux fins pour lesquelles elles ont été collectées; ces finalités ne pourront pas être modifiées une fois la collecte effectuée (sauf en cas de consentement). 

Appliquées au secteur du numérique, il est commun que des données personnelles puissent être utilisées à des fins différentes pour lesquelles elles ont été recueillies, notamment en cas de création d’audience ou de projet d’unification de données. Nous verrons plus bas que ce principe de détermination des fins de la collecte peut soulever un certain nombre de difficultés.

b. L’obligation d’information en termes simples et clairs

i. Les informations nécessaires

Le nouvel article 8 de la loi impose à la personne qui recueille des renseignements personnels d’informer la personne concernée des fins et des moyens par lesquels ses renseignements sont recueillis, du droit d’accès à ceux-ci ainsi que du droit de retirer son consentement.

ii. Une obligation renforcée dans le domaine numérique  

Concernant le recours à des technologies « comprenant des fonctions permettant [d’identifier la personne concernée], de la localiser ou d’effectuer un profilage de celle-ci » (nouvel article 8.1), la loi impose d’informer du recours à une telle technologie ainsi que des moyens permettant d’activer ces fonctions.

Dans le cas où la collecte serait effectuée par un moyen technologique, la loi précise (nouvel article 8.2) que la personne qui recueille des renseignements personnels doit « diffuser par tout moyen propre à atteindre les personnes concernées une politique de confidentialité rédigée en termes simples et clairs ».

c. Le consentement de la personne concernée

i. Le principe du consentement implicite

Dès lors que l’information a été donnée conformément aux prescriptions de la loi, toute personne qui fournit des renseignements personnels consent à leur utilisation et à leur communication (nouvel article 8.3). En d’autres termes, la loi reconnaît la possibilité pour les entreprises de s’appuyer sur un consentement implicite.

ii. Le principe d’option d’adhésion (opt-in) dans le domaine numérique

Bien que la loi reconnaisse le principe du consentement implicite, il semble que cela ne soit pas applicable en matière numérique :

  • Nouvel article 8.1 : « la personne qui recueille les renseignements personnels auprès de la personne concernée en ayant recours à une technologie comprenant des fonctions permettant de l’identifier [doit l’informer] des moyens offerts pour activer les fonctions permettant d’identifier, de localiser ou d’effectuer un profilage ».
  • Nouvel article 9.1 : « une personne qui exploite une entreprise et qui recueille des renseignements personnels en offrant au public un produit ou un service technologique disposant de paramètres de confidentialité doit s’assurer que, par défaut, ces paramètres assurent le plus haut niveau de confidentialité ». 

En visant à la fois l’activation des fonctions d’identification et le plus haut niveau de confidentialité relativement au consentement, il semble que le principe du consentement implicite ne s’applique pas aux cas de collecte de données personnelles par voie électronique. S’exprimant au sujet de cette nouvelle disposition en commission parlementaire, Éric Caire, ministre responsable de l’Accès à l’information et de la Protection des renseignements personnels, a indiqué que celle-ci avait pour conséquence d’introduire un consentement explicite (opt-in) pour la collecte de renseignements personnels au moyen de technologies ayant des fonctions d’identification, de localisation ou de profilage. De plus, la CAI mentionne sur son site web que « ces technologies ne pourront être activées par défaut; ce sera à la personne concernée de les activer si elle le souhaite ».

En résumé, la loi apporte des changements assez profonds dans le domaine du numérique en ce qui concerne la collecte de données : 

  • Le recours à des services de publicité en ligne ou de suivi des données comportementales devra faire l’objet d’un consentement explicite (opt-in) avant toute collecte d’information. En pratique, cela rend le recours à des systèmes de gestion du consentement quasiment obligatoire pour toute personne ayant une présence en ligne si elle souhaite être en conformité avec la loi 25.

La politique de confidentialité devra faire l’objet d’une attention particulière dans sa rédaction, dans la mesure où ce document conditionnera l’étendue de la collecte de données (soit les fins pour lesquelles les données sont recueillies).

3. Les limites à l’utilisation des données personnelles

a. Une utilisation aux fins pour lesquelles elles ont été recueillies

Le nouvel article 12 dispose ce qui suit :

« Un renseignement personnel ne peut être utilisé au sein de l’entreprise qu’aux fins pour lesquelles il a été recueilli. »

Par ailleurs, ce même article prévoit un certain nombre d’exceptions : des fins compatibles à celles définies lors de la collecte, l’utilisation au bénéfice de la personne, la nécessité de prévention de la fraude, la livraison d’un produit ou encore à des fins d’études et de recherche. Pour autant, la loi précise que la prospection commerciale ne saurait être considérée comme une fin compatible. En d’autres termes, la finalité commerciale doit nécessairement être définie au moment de la collecte; à défaut, les données recueillies ne pourront pas être utilisées à cette fin.  

Dans le domaine numérique, cette approche restrictive de la finalité commerciale peut susciter quelques difficultés : 

  • Pour les systèmes d’unification des données clients  : rapprocher des sources de données différentes afin d’obtenir une vue globale du profil d’un client est déjà un défi technique. À haut niveau, cela nécessite d’avoir une clé unique permettant de connecter les données ensemble. La loi 25 vient apporter une couche de complexité supplémentaire à ce genre de projet. En effet, il faudra désormais s’assurer que les données unifiées provenant de sources différentes ont toutes été recueillies à des fins de prospection commerciale pour qu’elles puissent être activées.

b. Le principe d’interdiction de transmission à des tiers

Le nouvel article 13 dispose ce qui suit :

« Nul ne peut communiquer à un tiers les renseignements personnels qu’il détient sur autrui, à moins que la personne concernée n’y consente ou que la présente loi ne le prévoie. »

En introduisant le principe d’interdiction de la communication des renseignements personnels à des tiers, cette disposition porte un coup d’arrêt assez sévère au fonctionnement actuel de la publicité en ligne. Le système de la publicité en ligne repose principalement sur le partage d’information entre les annonceurs et les plateformes publicitaires. Ce partage d’information permet d’une part de mesurer l’efficacité des campagnes (les métriques de conversion), mais également de mettre en place des tactiques de reciblage assez précises. En soumettant ce partage d’information au consentement explicite (voir plus haut sur la notion de opt-in), cette disposition risque d’avoir deux conséquences sur l’écosystème de la publicité en ligne :

  • La perte de précision des métriques de conversion; les coûts par acquisition reportées seront plus élevés et les rendements des investissements plus faibles;
  • La perte d’efficacité des tactiques de reciblage. 

Il convient toutefois de nuancer la portée de la loi 25 sur la publicité en ligne. Depuis quelques années, des acteurs majeurs du numérique ont déjà commencé à mettre en place des politiques limitant le partage d’informations entre annonceurs et plateformes publicitaires; avec le protocole Intelligent Tracking Prevention (ITP), Apple a rendu quasiment inopérant le partage d’informations à des plateformes publicitaires sur Safari; de son côté, Google a annoncé la fin des témoins de connexion (cookies) tiers sur Chrome pour 2024. La loi 25 est donc loin de renverser la table sur ce sujet.

c. Réglementation de la transmission des données hors Québec

Dans son nouvel article 17, la loi précise ce qui suit :

« Avant de communiquer à l’extérieur du Québec un renseignement personnel, la personne qui exploite une entreprise doit procéder à une évaluation des facteurs relatifs à la vie privée. Elle doit notamment tenir compte [de certains éléments] . »

Il convient de noter que cette disposition fait écho à l’arrêt « Schrems II » rendu le 16 juillet 2020 par la Cour de Justice de l’Union européenne (CJUE). La Cour a énoncé dans cette décision que la réglementation interne des États-Unis était incompatible avec la protection des données personnelles des citoyens européens. Les services transférant des données personnelles vers les États-Unis ne sauraient donc pas être conformes au Règlement général sur la protection des données (RGPD). À la suite de cette décision, de nombreuses autorités européennes responsables de la protection des données personnelles ont déclaré Google Analytics non conforme à la réglementation européenne.

Le dispositif de la loi 25 étant largement inspiré de la réglementation européenne en la matière, il est donc envisageable que l’article 17 serve de base légale pour le même type de décision. Cette disposition est donc loin d’être anodine et pourrait même à l’avenir susciter un certain nombre de difficultés, notamment en ce qui concerne les services infonuagiques hébergeant des données en dehors du Québec. 

Concernant l’utilisation des données personnelles, la loi 25 opère un changement en profondeur pour les entreprises du monde numérique :

  • La gouvernance des données personnelles va devenir un élément central pour ces entreprises. 
  • Les tactiques actuelles de la publicité vont devoir évoluer sous les effets cumulés des changements techniques (l’apocalypse des cookies) et réglementaires.
  • La localisation des données hors Québec devra faire l’objet d’un examen approfondi.

4. La rétention des données

a. La durée de détention des données

Le nouvel article 23 énonce ce qui suit :

Lorsque les fins auxquelles un renseignement personnel a été recueilli ou utilisé sont accomplies, la personne qui exploite une entreprise doit le détruire ou l’anonymiser pour l’utiliser à des fins sérieuses et légitimes, sous réserve d’un délai de conservation prévu par une loi.

Néanmoins, le nouvel article 79.1 spécifie ce qui suit : 

Malgré l’article 23, un agent de renseignements personnels doit détruire un renseignement personnel recueilli il y a plus de sept ans.

La rédaction de l’article 79.1 ne semble guère laisser de place au doute; tout renseignement personnel recueilli devra être détruit au bout de sept ans, exception faite des dossiers d’enquête. Néanmoins, aucune disposition ne précise comment devra être appréciée la date de la collecte.

b. Le droit à la portabilité

Le nouvel article 27 de la loi vient préciser les contours du droit à la portabilité des données. À la demande de la personne concernée, l’entreprise devra communiquer les renseignements sous forme écrite ou dans un format technologique structuré et couramment utilisé. 

5. Les sanctions applicables

La principale limite de la loi actuelle sur la protection des renseignements personnels dans le secteur privé tenait au faible montant des amendes encourues; à titre indicatif, l’amende la plus élevée pouvait s’élever à 100 000 $, soit un montant assez peu dissuasif pour une entreprise de taille conséquente. La loi 25 vient considérablement réévaluer ce montant. En cas d’infraction pénale, l’amende peut maintenant s’élever à  25 000 000 $ ou 4 % du chiffre d’affaires mondial de l’entreprise en question. 

Les grands principes posés par la loi 25 viennent changer en profondeur le régime applicable à la détention de données personnelles dans le secteur privé. C’est notamment pour les entreprises ayant une activité en ligne que cette loi aura le plus d’impact. Dans l’année qui vient, les entreprises québécoises devront être particulièrement vigilantes sur :

  • la mise en place d’un système de gestion du consentement en ligne;
  • la rédaction d’une politique claire et précise sur la gestion des données;
  • l’évaluation des risques d’exposition des données en hors Québec;
  • l’évaluation des pratiques actuelles dans la publicité en ligne, les plateformes analytiques et les systèmes d’unification de données clients.

Ces éléments sont d’autant plus sensibles que les sanctions ont été considérablement alourdies. 

Charles-Henri Paillé

Charles-Henri Paillé est Stratège données et intelligence

Nous joindre Contactez nos experts en gestion de projet 1 888-598-1881

PASSEZ AU PROCHAIN NIVEAU

1 888-598-1881

4388, rue Saint-Denis, Suite 300, Montréal, QC, H2J 2L1 Tous droits réservés - Adviso 2024