Loi 25 : 10 mythes ou réalités

Découvrez les mythes les plus courants associés à l’entrée en vigueur de la Loi 25 et ses impacts pour les entreprises au Québec.
Alain Marceau
26 juillet 2024
Sécurité et conformité
3 min
myths

Avec la venue de la loi 25, il est possible que vous ayez entendu tout et son contraire. Une nouvelle loi emporte toujours son lot de concept un peu flou. Avec les conséquences financières importantes de ne pas la respecter, il est normal de vouloir faire la part des choses. Pour vous aider, voici 10 mythes ou réalités :

Mythe #1

La personnalisation n’est plus permise

Réponse: Cet énoncé est faux.

Si vous désirez collecter des données pour des fins de personnalisation de vos communications, il s’agit de mentionner l’objectif au moment de la collecte ou dans la politique de confidentialité.  Il nous apparaît tout à fait normal, par exemple, de saluer une personne avec son prénom lorsqu’on a recueilli ce dernier. Cela ne requiert pas de consentement particulier.   La politique de confidentialité doit être ajustée pour décrire l’utilisation et le traitement des données.

Mythe #2

Les consentements de communication sont à recueillir à nouveau

Réponse: Cet énoncé est faux.

Les consentements recueillis par un abonnement sont toujours valables. Les consentements implicites définis par la Loi canadienne antipourriel (LCAP) sont aussi valables lorsqu’ils sont respectés.  Cette loi prévoit également l’utilisation de consentements implicites.  Les utilisations doivent aussi faire l’objet de la description dans la politique de confidentialité.  Le but de la nouvelle Loi n’est pas d’empêcher la relation client mais la protection des renseignements personnels.

Lien vers l’article 14 de la Loi

Mythe #3

Je peux transférer les données vers des systèmes localisés aux États-Unis

Réponse: Cet énoncé est vrai, mais pas sans condition, car ce n’est pas un état équivalent.

Lorsque vous transférez les données hors Québec, vous devez informer les personnes de ce transfert et vous devez garantir le même niveau de protection des données.  Si les données peuvent être accédées de quelque façon que ce soit, par exemple, par un gouvernement ou utilisées autrement, il y a des enjeux et vous êtes responsables des risques et des conséquences.

C’est pourquoi vous recommandons de conserver vos données au Québec.

NB : Facebook vient d’écoper d’une amende de 1,4 milliards en Europe pour ces transferts.

Lien vers l’article 111 (article 17) de la Loi

Mythe #4

Un gestionnaire de cookie ou de tracker est obligatoire

Réponse: Cet énoncé est en partie vrai.

Si vous désirez continuer à utiliser vos logiciels de tracking comme Google Analytics et autres marqueurs de visites qui ne sont pas anonymes et dans un cadre autre que commercial.

La Loi 25 exige que toute fonction permettant à une technologie d’identifier, de localiser ou d’effectuer un profilage d’une personne dont elle a recueilli des renseignements personnels doit être désactivée par défaut. L’organisation doit en informer cette personne et lui offrir des moyens d’activer ces fonctions, si possible.

Lien vers l’article 19 (article 65) de la Loi

Mythe #5

Le tracking des clics et des ouvertures de courriels ne sont pas visés par la Loi

Réponse: Cet énoncé est faux

Par défaut, le tracking doit être anonyme afin de respecter la Loi tant que vous n’avez pas obtenu le consentement.  Il faut informer de la situation les personnes visées et leur offrir un moyen pour activer le tracking.  Obtenez le consentement pour faire le tracking aussi de vos courriels car cette utilisation n’est pas implicite.

Mythe #6

Le consentement exprès est requis sur tout

Réponse: Cet énoncé est faux

Les consentements exprès (ou explicite) sont obligatoires pour une seule fin, soit l’utilisation des données sensibles.

Dans toutes les autres situations, le consentement doit être obtenu en termes simples et clairs pour chaque fin.  En d’autres mots, les fins peuvent être énoncées dans une politique de confidentialité. De plus, la notion de consentement tacite ou implicite continue à exister selon certaines conditions.

Lien vers l’article 110 (article 12) de la Loi

Mythe #7

Toutes les données ont la même importance

Réponse: Cet énoncé est faux

Il faut classifier selon le type de données et considérer l’impact et le risque relatif à celles-ci.

Se faire voler la liste des noms et numéros de téléphone dans le bottin téléphonique (Perdre le bottin) n’a pas la même importance que de perdre les NAS et No de compte bancaire oumême l’information sur la santé d’une personne.

Lien vers l’article 103 (article 3.2) de la Loi

Mythe #8

La politique de confidentialité doit être acceptée à chaque modification

Réponse: Cet énoncé est faux

Vous devez communiquer les changements aux fins et utilisations.  Seuls les changements de fins ayant un impact doivent faire l’objet d’un consentement.  Par exemple, vous ne pourriez pas simplement changer la politique pour faire accepter un transfert de données vers un tiers comme Facebook , sans l’obtention d’un consentement, sauf si elle est dépersonnalisée. Cependant, une simple revue d’une explication pour la rendre plus claire ne doit pas être soumise à nouveau.

Lien vers l’article 107 (article 8.2) de la Loi

Mythe #9

Je peux utiliser les services en ligne d’une plateforme sans contrat

Réponse: Cet énoncé est faux

Si vous utilisez des systèmes qui cumulent des données personnelles, vous devez avoir un contrat écrit avec le tiers avec des engagements pour être conformes à la Loi.  Ce contrat doit spécifier, entre autres, l’utilisation des données, leur confidentialité et la destruction.

Lien vers l’article 115 (article 18.3) de la Loi

Mythe #10

Nous devons tenir une évaluation de facteur de risques pour tous nos systèmes

Réponse: Cet énoncé est faux

Seulement pour les nouveaux systèmes à mettre en place ainsi que les systèmes lorsque les données sont logées à l’extérieur du Québec.  Les autres systèmes en place ne sont soumis à cette exigence.

Lien vers l’article 103 (article 3.3) de la Loi

Découvrez comment votre entreprise peut bénéficier de Dialog Insight.

À lire aussi

Nouvelles

Planifiez vos campagnes marketing avec le calendrier de Dialog Insight

Découvrez comment cette fonctionnalité peut impacter vos actions marketing grâce à la consultation des campagnes passées et à la planification de vos campagnes futures.

Nouvelles

Synchronisez automatiquement vos audiences avec Meta Ads

Simplifiez vos campagnes publicitaires avec la nouvelle intégration Dialog Insight x Meta Ads. Synchronisez automatiquement vos audiences avec Facebook et Instagram pour des campagnes plus efficaces, cohérentes et sans effort.

Nouvelles

Gestion personnalisable du cycle de vie client (CLC)

Découvrez la fonctionnalité de gestion personnalisable du cycle de vie client de Dialog Insight! Personnalisez les phases, améliorez le ciblage et boostez votre ROI marketing. En savoir plus dès maintenant!

Campagnes marketing et omnicanal

Objets de courriels: Qu’est-ce qui affecte votre taux d’ouverture?

Quelles sont les meilleures stratégies à adopter concernant les objets de courriels? Quelle est sa longueur idéale? Devrait-on le personnaliser? Voici un des mystères du « marketer » moderne.

Blogue

DMARC : Le guide essentiel des marketeurs pour protéger leur marque

Cet article plonge dans l'univers de DMARC, en dévoilant son importance, son fonctionnement et son rôle crucial dans l'écosystème contemporain du marketing par email. 

Campagnes marketing et omnicanal

Marketing automatisé – quand les résultats comptent

Si en 2011 vous n’avez pas implanté de « marketing automatisé », préparez-vous bien, car en 2012, vos compétiteurs risquent d’y être déjà.