Loi 25 : 10 mythes ou réalités

Découvrez les mythes les plus courants associés à l’entrée en vigueur de la Loi 25 et ses impacts pour les entreprises au Québec.
Alain Marceau
26 juillet 2024
Sécurité et conformité
3 min
myths

Avec la venue de la loi 25, il est possible que vous ayez entendu tout et son contraire. Une nouvelle loi emporte toujours son lot de concept un peu flou. Avec les conséquences financières importantes de ne pas la respecter, il est normal de vouloir faire la part des choses. Pour vous aider, voici 10 mythes ou réalités :

Mythe #1

La personnalisation n’est plus permise

Réponse: Cet énoncé est faux.

Si vous désirez collecter des données pour des fins de personnalisation de vos communications, il s’agit de mentionner l’objectif au moment de la collecte ou dans la politique de confidentialité.  Il nous apparaît tout à fait normal, par exemple, de saluer une personne avec son prénom lorsqu’on a recueilli ce dernier. Cela ne requiert pas de consentement particulier.   La politique de confidentialité doit être ajustée pour décrire l’utilisation et le traitement des données.

Mythe #2

Les consentements de communication sont à recueillir à nouveau

Réponse: Cet énoncé est faux.

Les consentements recueillis par un abonnement sont toujours valables. Les consentements implicites définis par la Loi canadienne antipourriel (LCAP) sont aussi valables lorsqu’ils sont respectés.  Cette loi prévoit également l’utilisation de consentements implicites.  Les utilisations doivent aussi faire l’objet de la description dans la politique de confidentialité.  Le but de la nouvelle Loi n’est pas d’empêcher la relation client mais la protection des renseignements personnels.

Lien vers l’article 14 de la Loi

Mythe #3

Je peux transférer les données vers des systèmes localisés aux États-Unis

Réponse: Cet énoncé est vrai, mais pas sans condition, car ce n’est pas un état équivalent.

Lorsque vous transférez les données hors Québec, vous devez informer les personnes de ce transfert et vous devez garantir le même niveau de protection des données.  Si les données peuvent être accédées de quelque façon que ce soit, par exemple, par un gouvernement ou utilisées autrement, il y a des enjeux et vous êtes responsables des risques et des conséquences.

C’est pourquoi vous recommandons de conserver vos données au Québec.

NB : Facebook vient d’écoper d’une amende de 1,4 milliards en Europe pour ces transferts.

Lien vers l’article 111 (article 17) de la Loi

Mythe #4

Un gestionnaire de cookie ou de tracker est obligatoire

Réponse: Cet énoncé est en partie vrai.

Si vous désirez continuer à utiliser vos logiciels de tracking comme Google Analytics et autres marqueurs de visites qui ne sont pas anonymes et dans un cadre autre que commercial.

La Loi 25 exige que toute fonction permettant à une technologie d’identifier, de localiser ou d’effectuer un profilage d’une personne dont elle a recueilli des renseignements personnels doit être désactivée par défaut. L’organisation doit en informer cette personne et lui offrir des moyens d’activer ces fonctions, si possible.

Lien vers l’article 19 (article 65) de la Loi

Mythe #5

Le tracking des clics et des ouvertures de courriels ne sont pas visés par la Loi

Réponse: Cet énoncé est faux

Par défaut, le tracking doit être anonyme afin de respecter la Loi tant que vous n’avez pas obtenu le consentement.  Il faut informer de la situation les personnes visées et leur offrir un moyen pour activer le tracking.  Obtenez le consentement pour faire le tracking aussi de vos courriels car cette utilisation n’est pas implicite.

Mythe #6

Le consentement exprès est requis sur tout

Réponse: Cet énoncé est faux

Les consentements exprès (ou explicite) sont obligatoires pour une seule fin, soit l’utilisation des données sensibles.

Dans toutes les autres situations, le consentement doit être obtenu en termes simples et clairs pour chaque fin.  En d’autres mots, les fins peuvent être énoncées dans une politique de confidentialité. De plus, la notion de consentement tacite ou implicite continue à exister selon certaines conditions.

Lien vers l’article 110 (article 12) de la Loi

Mythe #7

Toutes les données ont la même importance

Réponse: Cet énoncé est faux

Il faut classifier selon le type de données et considérer l’impact et le risque relatif à celles-ci.

Se faire voler la liste des noms et numéros de téléphone dans le bottin téléphonique (Perdre le bottin) n’a pas la même importance que de perdre les NAS et No de compte bancaire oumême l’information sur la santé d’une personne.

Lien vers l’article 103 (article 3.2) de la Loi

Mythe #8

La politique de confidentialité doit être acceptée à chaque modification

Réponse: Cet énoncé est faux

Vous devez communiquer les changements aux fins et utilisations.  Seuls les changements de fins ayant un impact doivent faire l’objet d’un consentement.  Par exemple, vous ne pourriez pas simplement changer la politique pour faire accepter un transfert de données vers un tiers comme Facebook , sans l’obtention d’un consentement, sauf si elle est dépersonnalisée. Cependant, une simple revue d’une explication pour la rendre plus claire ne doit pas être soumise à nouveau.

Lien vers l’article 107 (article 8.2) de la Loi

Mythe #9

Je peux utiliser les services en ligne d’une plateforme sans contrat

Réponse: Cet énoncé est faux

Si vous utilisez des systèmes qui cumulent des données personnelles, vous devez avoir un contrat écrit avec le tiers avec des engagements pour être conformes à la Loi.  Ce contrat doit spécifier, entre autres, l’utilisation des données, leur confidentialité et la destruction.

Lien vers l’article 115 (article 18.3) de la Loi

Mythe #10

Nous devons tenir une évaluation de facteur de risques pour tous nos systèmes

Réponse: Cet énoncé est faux

Seulement pour les nouveaux systèmes à mettre en place ainsi que les systèmes lorsque les données sont logées à l’extérieur du Québec.  Les autres systèmes en place ne sont soumis à cette exigence.

Lien vers l’article 103 (article 3.3) de la Loi

Découvrez comment votre entreprise peut bénéficier de Dialog Insight.

À lire aussi

Blogue

Données explicites vs données implicites : les comprendre et les exploiter

La donnée client se décline en deux grandes catégories : les données explicites, volontairement fournies par l’utilisateur, et les données implicites, déduites de ses comportements. Comprendre leur rôle complémentaire et savoir les exploiter ensemble permet de personnaliser l’expérience, d’optimiser les campagnes marketing et de renforcer la fidélisation.

Blogue

Email marketing vs SMS marketing : lequel choisir?

Email marketing ou SMS marketing : lequel est le plus efficace pour atteindre vos clients? Découvrez les avantages, limites et usages de chaque canal, ainsi que les meilleures pratiques pour les combiner et maximiser vos conversions.

Nouvelles

Atteignez chaque contact sur le bon canal, au bon moment

Découvrez Canal intelligent et STO omnicanal

Analytique

KPI emailing : 6 indicateurs de performance à mesurer dans vos campagnes email

Dans une ère où connaître son client est primordial, il est essentiel de mesurer nos actions marketing pour analyser ce qui fonctionne le plus. Pour ce faire, connaître les principaux KPI emailing est nécessaire.

Customer Data Platform

Comment tirer parti des données de Shopify pour des campagnes marketing réussies

Découvrez comment les données de Shopify peuvent être utilisées dans vos campagnes marketing pour augmenter vos ventes.

Gestion des donnees clients

5 stratégies qui ont fait leurs preuves pour fidéliser les clients

La rétention client est un pilier essentiel au succès long terme d’une entreprise. Découvrez 5 stratégies pour fidéliser votre clientèle.

Nouveau chez Dialog Insight

Chaque message, sur le bon canal, au bon moment — automatiquement

Et si vos campagnes trouvaient d’elles-mêmes le canal idéal et le moment parfait pour générer plus d’impact ?Grâce à Canal intelligent et STO omnicanal, vos campagnes deviennent plus engageantes et plus performantes :