Loi 25 du Québec :
Votre entreprise est-elle prête ?

Qu’est-ce que la Loi 25 ?
La Loi 25 est la nouvelle loi québécoise sur la protection des renseignements personnels entrée en vigueur en septembre 2022. De nombreuses exigences de la Loi 25 varient considérablement et sont beaucoup plus strictes que la Loi sur la Protection des Renseignements Personnels et les Documents Electroniques fédérale ; et elles auront un impact à la fois sur les organisations basées au Québec et sur celles qui font des affaires avec des personnes qui vivent au Québec ou qui exercent des activités dans la province.
Contactez-nous
À quoi faut-il s’attendre ?
Les obligations découlant de la loi 25 entrent en vigueur en septembre 2023
Transparency Obligation Icon
Obligation de transparence
  • L’entreprise qui gère des données à caractère personnel est tenue par la loi d’informer les individus des finalités, des méthodes de collecte et des droits d’accès et de rectification de leurs données.
  • Elle doit également révéler les sources d’information et les parties avec lesquelles les données peuvent être partagées.
  • Les personnes doivent être informées de l’éventuel transfert de leurs données personnelles au-delà des frontières du Québec.
Obligation for Consent Icon
Obligation de consentement
Les particuliers sont tenus de donner leur consentement pour :
  • Utiliser leurs informations personnelles aux fins spécifiques indiquées par le Bureau de la protection des données.
  • Partager leurs informations personnelles avec un tiers aux fins susmentionnées après identification préalable.
Financial Penalties Icon
Pénalités financières
  • Les entreprises du secteur privé s’exposent à des sanctions pouvant aller jusqu’à 10 000 000 de dollars canadiens ou 2 % du chiffre d’affaires mondial de l’année fiscale précédente.
  • 4 % du chiffre d’affaires mondial, ou une somme comprise entre 15 000 et 25 millions de dollars, pour les entreprises privées ayant commis des infractions plus graves.
Quel est l’impact numérique de la loi 25 ?
Le consentement est obligatoire pour tous les déclencheurs ou traceurs
Loi 25 - Métriques
Impact sur les statistiques
Le consentement est la pierre angulaire de la collecte de données et joue un rôle crucial dans la mesure de la performance analytique. Sans le consentement des utilisateurs, le partage des données avec votre écosystème MarTech est interdit. Il convient de noter que même le suivi côté serveur n’est pas exempté de l’obligation de recueillir le consentement, ce qui souligne l’importance que revêt l’obtention d’une autorisation avant de s’engager dans toute activité impliquant des données.
  • Impossibilité de mesurer
    les performances
  • Pas de partage des
    données
Loi 25 Metrics - Impact on Analytics
Loi 25 Marketing - Impact on Media Performance
Loi 25 Marketing
Impact sur le performance médiatique
L’exécution de campagnes de remarketing sans consentement n’est pas autorisée, car elle enfreint la réglementation sur la protection de la vie privée. Cette restriction entravent non seulement le suivi des conversions, entraînant une baisse des performances sur la plateforme et des points de données limités pour l’optimisation de l’IA, mais elle nuit également aux éditeurs de sites qui sont incapables de maximiser leurs revenus publicitaires par le biais de la publicité ciblée.
  • Pas de campagnes de
    remarketing
  • Impossibilité de suivre
    les conversions
  • Impossibilité de maximiser
    les recettes publicitaires
Loi 25 – Expérience utilisateur (UX)
Impact sur l’expérience utilisateur
Le non-respect du choix de l’utilisateur et l’accès complexe aux données de l’utilisateur sont susceptibles d’avoir des conséquences, en affectant la confiance dans une organisation. Par exemple, lorsqu’un utilisateur refuse le suivi mais qu’il est tout de même soumis à des publicités ciblées, sa confiance est compromise. Par ailleurs, un mauvais système de gestion du consentement peut conduire les utilisateurs à abandonner un site web, croyant à tort qu’ils ont navigué vers une destination incorrecte. Ces questions soulignent l’importance de donner la priorité aux préférences des utilisateurs et de mettre en œuvre des systèmes conviviaux pour maintenir la confiance et fidéliser les visiteurs d’un site web.
  • Manque de confiance
    envers la marque
  • Abandon par l’utilisateur
Loi 25 User Experience (UX) - Impact on User Experience
Obligations de la Loi 25
Quelles sont les obligations de votre entreprise ?
Depuis le 22 septembre 2022, la Loi 25 impose certaines obligations aux entreprises privées opérant au Québec, quelle que soit leur taille. Le 22 septembre 2023, d’autres dispositions de la Loi 25 entreront en vigueur. L’une de ces dispositions est l’obligation de disposer de politiques et de procédures définies en matière de gestion des renseignements personnels.
Obligations à compter du 22 septembre 2022
Désigner un responsable de la protection de la vie privée. Si aucun responsable de la protection de la vie privée n’est désigné, le poste sera affecté par défaut au PDG ou au directeur le plus haut placé de l’entreprise.
Informer la Commission d’accès à l’information (CAI) ainsi que les personnes concernées par toute atteinte à la vie privée présentant un risque important de préjudice. Pour avertir la CAI, il suffit de remplir le formulaire de déclaration d’incident disponible sur le site de la CAI et de l’envoyer par courriel, par télécopie ou par courrier papier.
Tenir un registre de tous les incidents de sécurité. Conservez ces documents pendant cinq ans.
Coordonner votre équipe juridique interne, y compris l’informatique, le marketing et les autres parties concernées, afin de créer une stratégie et de garantir le respect des réglementations.
Obligations à compter du 23 septembre 2022
C’est à ce moment-là que l’essentiel de la législation entre en vigueur. La mise en œuvre de ces exigences implique de nombreux changements significatifs, d’où la nécessité de définir rapidement de nouvelles politiques afin de permettre à votre organisation de s’adapter efficacement et de respecter les obligations prévues par la loi 25.
Créer et appliquer des protocoles internes de protection de la vie privée afin de superviser et de protéger les données personnelles des individus. Cela implique un examen des accords conclus avec les fournisseurs de services externes et de leur traitement des informations personnelles. Il est crucial de vérifier qu’ils vous informeront rapidement de toute violation de la vie privée impliquant des données à caractère personnel.
Publier la politique de confidentialité de l’entreprise sur son site web. Cette politique doit être claire, concise et facile à comprendre, et comporter le nom, le titre et les coordonnées du responsable de la protection de la vie privée. Assurez-vous que tout processus de prise de décision automatisé est mentionné et fournissez des informations sur la manière dont les personnes peuvent demander l’accès à leurs informations personnelles. Précisez également leurs droits de recours ou de demande d’effacement.
Examiner votre procédure actuelle en matière d’obtention du consentement à la collecte d’informations à caractère personnel. Le consentement doit être obtenu individuellement pour chaque finalité distincte, ce qui implique que si vous recueillez le nom et l’adresse électronique d’une personne pour l’inscription à un événement, il vous faut également solliciter un consentement distinct pour l’envoi d’une lettre d’information. Il est primordial d’exprimer les clauses de consentement dans un langage simple et facilement compréhensible.
Mettez à jour vos formulaires d’abonnement afin d’y intégrer l’objectif précis de la collecte d’informations personnelles et le droit de l’utilisateur de modifier ou de révoquer son consentement chaque fois qu’il le souhaite.
Désactivez tous les dispositifs de collecte de données par défaut qui recueillent automatiquement des informations.
Obtenez le consentement explicite de l’utilisateur avant d’activer tout dispositif de collecte de données, par exemple en présentant un avertissement relatif aux cookies qui permet de se désengager.
Conservez une trace des consentements obtenus.
Réaliser une évaluation de l’impact sur la vie privée pour tous les projets impliquant des données à caractère personnel. Il s’agit notamment des projets d’acquisition, de développement ou de rénovation d’un système d’information ou d’un système électronique de prestation de services.
Procéder à une évaluation des facteurs relatifs à la vie privée pour tout transfert de données à l’extérieur de la province de Québec. Il convient d’abord d’identifier chaque cas de transfert de données à caractère personnel à l’extérieur de la province. Il faut ensuite classer les divers types de transferts transfrontaliers de données en déterminant les renseignements personnels en cause et leur destination. Pour chaque type de transfert transfrontalier, il convient de procéder à une évaluation de l’impact sur la vie privée, afin de vérifier si les données seront protégées de la même manière dans la nouvelle juridiction et d’identifier les risques potentiels.
Faciliter le droit à l’effacement. Permettre la mise en œuvre du droit à l’effacement en offrant aux clients la possibilité d’être oubliés. Assurez-vous d’être en mesure de reconnaître toutes les données personnelles relatives à un client et vérifiez que vous avez mis en place des procédures permettant de supprimer complètement les informations relatives à un client à sa demande.
Partenaires technologiques de confiance
La préparation à la Loi 25 est un processus qui nécessite des feuilles de route en matière de stratégie de gouvernance. Faites connaissance avec le partenaire technologique avec lequel nous collaborons pour vous assurer que vous avez mis en place les bonnes plateformes pour votre entreprise.
Microsoft
IBM-img
Collibra-img
Informatica-img
Besoin d’aide pour vous préparer à la Loi 25 ?
Prenez rendez-vous avec nos experts en données pour découvrir comment adapter un programme de gouvernance à votre organisation.
Complétez le formulaire ci-dessous et un membre de notre équipe vous contactera pour planifier votre consultation.

    Nous aimerions vous contacter de temps à autres au sujet de nos solutions, ainsi que d’autres contenus susceptibles de vous intéresser. KPI Digital s’engage à protéger votre vie privée, si vous avez des questions sur les informations collectées, veuillez consulter notre Politique de confidentialité. Vous pourrez vous désabonner à tout moment.

    * Indique un champ obligatoire