4 min.
Loi 25 : cas concrets, impacts légaux et solutions
1L’art de la gestion de projet2Un projet à succès commence par une bonne gouvernance3Cascade, agilité, demandes de changement?

Loi 25 : cas concrets, impacts légaux et solutions

  • Niveau Technique
Webinaires

​La Loi modernisant les dispositions législatives en matière de protection des renseignements personnels (aussi appelée « Loi 25 ») renforce les règles en matière de protection de  la vie privée des citoyens québécois. En effet, de nouvelles obligations visent spécifiquement la collecte de données personnelles au moyen d’outils technologiques en ligne. En septembre 2023, plusieurs dispositions de cette Loi apporteront un changement majeur au fonctionnement de l'écosystème numérique.

J’ai eu la chance de discuter des nouvelles dispositions de cette loi autour de cas concrets avec Simon Du Perron lors d’un webinaire le 12 avril dernier. Visionnez le webinaire ici pour en savoir plus sur les modalités et les nombreuses zones grises de cette loi.

Webinaire Loi 25

Visionner le webinaire

Types de données 

L’objectif de la Loi 25 est de protéger les renseignements personnels des citoyens. Les renseignements personnels sont ceux qui permettent d’identifier directement une personne. Lorsqu’il n’est pas possible d’identifier directement ou indirectement la personne physique concernée par les renseignements soumis, on parle de renseignements dépersonnalisés et anonymisés. La Loi 25 concerne tous ces types de données.

La notion de renseignements sensibles est également importante. Par exemple, les renseignements concernant la santé, l’orientation sexuelle ou les finances d’une personne physique font en général partie de ce type de renseignements, et leur présence dans un processus de récolte de données modifie le consentement nécessaire. 

Concepts clés : la collecte et l’utilisation des données


La Loi encadre deux moments-clés dans le cycle de vie d’une donnée :  le moment auquel la donnée est collectée ou capturée, et l’utilisation qui en est faite par l’organisation.

L’utilisation des renseignements personnels doit déjà être déclarée par les entreprises, dans leur politique de confidentialité. L’idée ici est de décrire le plus clairement possible les motifs d’utilisation des données personnelles par l’organisation, dans la langue la plus simple et accessible possible. La Loi 25 n’a pas engendré de changement quant à cette obligation. Par contre, la collecte de renseignements personnels est dorénavant mieux encadrée. Elle doit faire l’objet d’un consentement mutuel. On passe du modèle opt-out au modèle opt-in, c’est-à-dire que c’est à l’annonceur de demander le consentement du consommateur, et plus au consommateur de se désengager une fois exposé au contenu sans d’abord avoir donné son consentement. 

Également, les technologies qui permettent d’identifier l’utilisateur, de le localiser ou de le profiler doivent être désactivées par défaut et activées uniquement lorsque le consentement est donné par l’utilisateur, ce qui représente un grand changement pour les professionnels en marketing. Plusieurs cas concrets permettent de comprendre comment leur travail est affecté par la nouvelle Loi 25. 

Cas 1 : collecte et valorisation de données primaires

Comme le consentement est au cœur de la Loi 25, il convient de bien comprendre ce qu’il implique, notamment sous ses trois grandes formes:

  • Le consentement implicite est un consentement opt-out, ce qui veut dire qu’en utilisant le produit ou le service d’une entreprise, comme son site Web, l’utilisateur accepte la politique de confidentialité qui doit être facilement accessible
  • Le consentement à l’activation de technologies (cookie banner) implique de  proposer à l’utilisateur d’activer les technologies de collecte de données dans ce qu’on appelle communément une cookie banner, puisque la collecte de données doit être désactivée par défaut. 
  • Le consentement explicite ou manifesté de façon expresse implique pour sa part l’obtention d’un consentement qui doit être documenté, notamment les cas où des renseignements sensibles sont requis pour le bon déroulement d’un processus de collecte. Le consentement explicite ressemble à un processus de signature de contrat formel. Dans un tel cas, la cookie banner ne suffit pas.

Bien que certains cas ne nécessitent théoriquement pas de consentement, comme pour les données dépersonnalisées pour des fins internes, toute collecte de données requiert tout de même le consentement. De plus, bien que la collecte de données sur les plateformes numériques soit plus touchée, toutes les collectes de données sont soumises à la Loi 25.

Cas 2 : partage d’audiences

Le remarketing est probablement la tactique qui a été la plus utilisée en marketing dans les 5 à 10 dernières années. Cette pratique facile, automatisée et très performante, car on s’adresse à des clients qualifiés consiste à partager des audiences. Plus précisément, les entreprises qui usent de cette pratique partagent des audiences avec une plateforme média externe, généralement META ou Google, qui cible les audiences concernées lorsqu’elles sont rencontrées sur leur réseau. Peu importe le type de partage d'audience, les entreprises qui ont recours à cette pratique doivent obtenir le consentement des utilisateurs avant l’activation de la technologie, en plus de fournir une explication de l’utilisation dans leur politique de confidentialité. Les tactiques suivantes sont donc directement touchées : 

  • Remarketing (search, display, vidéo)
  • Inclusion ou exclusion d’audiences (exemple de cas : Home Depot)
  • Extension d’audiences (Lookalike modelling) et enrichissement

Les données collectées avant le mois de septembre 2023 peuvent toujours être utilisées en vertu de la politique de confidentialité active au moment de la collecte. Seulement la collecte de données après cette date requiert l’usage des nouveaux consentements.

Cas 3 : Suivi de la performance et optimisation

Pour le suivi de la performance et l’optimisation, les spécialistes du marketing pensent souvent à Google Analytics,  notamment utilisé pour l’analyse de la performance avec des données agrégées, mais non personnelles. Par contre, cet outil  ne doit être activé qu’une fois le consentement reçu pour permettre aux entreprises qui l’utilisent de collecter des données selon les nouveaux paramètres de la Loi. En théorie, on pourrait utiliser les données de Google Analytics sans le paramètre “cookie ID” pour faire de l’analyse statistique sans consentement, mais en pratique, on doit collecter la donnée. Cette collecte doit obtenir un consentement pour activer la technologie.

Il en va de même pour à peu près tous les autres outils pour la récolte de statistiques, à moins qu’aucune technologie ne soit activée. Toutefois, l’analyse des données transactionnelles en magasin sur des données dépersonnalisées est possible sans consentement, car elle ne requiert pas d’activer une technologie particulière pour collecter les données.

Cas 4 : Commandites et données secondaires

La commandite et la récolte de données secondaires ressemble étrangement au partage d’audiences, mis à part qu’elles impliquent le partage d’audiences avec un partenaire. Par exemple, un tour opérateur de voyages dans le sud qui rend disponible des audiences d’utilisateurs qui ont récemment réservé un forfait sud à une entreprise qui vend des maillots de bain. 

Le tour opérateur doit clairement stipuler dans sa politique de confidentialité qu’il pourrait partager les renseignements personnels collectés à un partenaire à des fins promotionnelles. Plus l’explication est précise, mieux c’est. Selon plusieurs juristes, il serait suffisant d’indiquer uniquement le type de partenaire pour conserver une certaine flexibilité dans le cadre de futures ententes. Selon d’autres, le nom exact du partenaire doit faire partie de la politique ce qui rend les partenariats moins long terme presque irréalistes.

Cas 5 : Personnalisation et expérience client

Si la capture de données personnelles a pour objectif de personnaliser l’expérience client à des fins non essentielles, l’activation de la technologie de capture doit être faite une fois le consentement reçu, et l’utilisation envisagée doit être bien expliquée dans la politique de confidentialité. La seule exception concerne les cas où la collecte de données est essentielle pour livrer un produit ou un service. 

Par exemple, si une entreprise demande à un utilisateur de fournir son adresse pour recevoir une commande, l’entreprise n’est pas dans l’obligation de demander le consentement. Toutefois, si l’entreprise souhaite collecter des données liées  à la localisation du client dans le but de lui présenter des offres locales ou d’ajouter ses préférences d’appellation dans un profil, elle doit demander le consentement implicite de l’utilisation, et ce, avant d’activer la technologie de capture. 

Pour des données sensibles, l’entreprise doit aller plus loin et obtenir un consentement explicite sous forme de contrat.


Pistes de solution se conformer, mais aussi pour respecter la vie privée des utilisateurs et créer des audiences durables


Il existe plusieurs avenues pour faciliter le virage vers un plus grand respect de la vie privée qui vont bien plus loin que la Loi 25. Ce nouveau paradigme implique des attentes consommateurs qui seront toujours plus exigeantes pour les entreprises.

Inventaire de données (ou mieux : stratégie de données)

Le défi de la conformité à la Loi 25 réside souvent dans l’absence de clarté envers les données qui sont actuellement collectées et comment elles sont utilisées par les différents départements d’une entreprise. La première étape logique est de documenter l’inventaire de données. Plus encore, il convient de déterminer quels seront les besoins de l’entreprise en matière de récolte de données dans le but d’appuyer sa croissance. Cet exercice permet notamment de déterminer une stratégie de récolte de données optimale qui permettra aussi d'appréhender les besoins de conformité.

Programme relationnel et données unifiées

Les programmes relationnels ou de fidélisation ont l’avantage de faire passer l’utilisateur dans un processus d’enregistrement qui permet de fusionner dans une seule demande les consentements requis. De plus, ce processus représente une excellente occasion d’expliquer en détail les avantages pour l’utilisateur de partager ses données. Aussi, un programme relationnel implique souvent une unification des données qui permet d’assurer le respect du consentement accordé dans l’organisation. Plus précisément, si un utilisateur donne ou retire son consentement, il est plus complexe  pour l’entreprise de respecter son souhait et d’effacer ses données dans tous les canaux de si les données ne sont pas unifiées. 

Plateformes de gestion de consentement

Si à court terme les organisations peuvent développer un cookie banner maison, rapidement la complexité des besoins de conformité les rattrape. Le Québec est l’un des premiers territoires en Amérique du Nord à rafraîchir sa loi sur les données personnelles, mais d’autres suivront. Ainsi, il deviendra plus complexe de suivre et de documenter les consentements obtenus pour des lieux différents, et les  plateformes de gestion de consentement deviendront nécessaires De tels logiciels existent déjà et ratissent large! Il convient alors d’être accompagné  pour sélectionner et implanter une Consent Management Platform ou CMP (et oui, un autre acronyme!).

Approches économétriques

En raison de l’érosion des cookies tiers, du resserrement des actions pour protéger la vie privée des utilisateurs et de la dégradation des signaux de performance, le suivi individuel des utilisateurs n’est plus fiable et requiert dorénavant trop de consentements pour la valeur qu’il apporte. Adviso prône des approches plus probabilistes et économétriques qui permettent de voir de manière plus macro l'impact des différentes initiatives marketing d’une organisation. Le Marketing Mix Modelling (MMM) ainsi que l’analyse causale font partie de ces approches. 

Évaluer sa conformité et l’acceptabilité par les utilisateurs

Durant le webinaire, Simon Du Perron a expliqué que les entreprises pouvaient également effectuer une EFVP (Évaluation des facteurs de vie privée) pour évaluer la nécessité ou la raisonnabilité d’une initiative marketing. La Loi 25 étant récente et encore chargée de zones grises, ce genre d'initiative permet d’être mieux protégé advenant un quiproquo. Avec une telle évaluation positive en poche, une entreprise qui ferait l’objet d’une plainte serait beaucoup mieux protégée et ainsi moins exposée aux amendes salées prévues par la Commission d’accès à l’information du Québec ou encore les tribunaux. 

Optimiser son taux de consentement

Un consentement se mérite et le fardeau de convaincre est désormais dans la cour des entreprises. Le processus par lequel le consentement est proposé aura un impact énorme sur le taux de consentement obtenu. Comme pour d’autres actions, il est possible d’optimiser un tel taux à l’aide de tests et de processus de design centrés sur l’utilisateur. Les entreprises qui investissent dans ce processus ont des taux supérieurs et accèdent à plus de données pour supporter leurs efforts d'acquisition et de fidélisation. Chez Adviso, nous voyons des taux de consentement aussi faibles que 10 %, alors que d’autres sont aussi élevés que 90 %!


Mot de la fin

Soyons honnêtes, les équipes marketing n’ont pas été obsédées par les termes et conditions, les politiques de confidentialité et la protection des données des utilisateurs. Ce virage des utilisateurs et ces changements légaux précoces au Québec représentent probablement un changement positif pour la société, mais aussi pour les entreprises. En effet, en faisant les efforts requis pour se conformer, les entreprises développeront certainement leur muscle de collecte et valorisation des données qu’elles ont longtemps laissé flétrir au profit de l’utilisation des données tierces.

De plus, le manque de communication entre les équipes marketing et les contentieux (équipe légale de l’entreprise) mettait en péril la protection des utilisateurs. La collaboration et l’agilité entre les gestionnaires marketing et le contentieux permettra d’être à la fois conforme et performant.