Loi 25 : 10 mythes ou réalités

Découvrez les mythes les plus courants associés à l’entrée en vigueur de la Loi 25 et ses impacts pour les entreprises au Québec.
Alain Marceau
14 août 2023
Sécurité et conformité
3 min
myths

Avec la venue de la loi 25, il est possible que vous ayez entendu tout et son contraire. Une nouvelle loi emporte toujours son lot de concept un peu flou. Avec les conséquences financières importantes de ne pas la respecter, il est normal de vouloir faire la part des choses. Pour vous aider, voici 10 mythes ou réalités :

Mythe #1

La personnalisation n’est plus permise

Réponse: Cet énoncé est faux.

Si vous désirez collecter des données pour des fins de personnalisation de vos communications, il s’agit de mentionner l’objectif au moment de la collecte ou dans la politique de confidentialité.  Il nous apparaît tout à fait normal, par exemple, de saluer une personne avec son prénom lorsqu’on a recueilli ce dernier. Cela ne requiert pas de consentement particulier.   La politique de confidentialité doit être ajustée pour décrire l’utilisation et le traitement des données.

Mythe #2

Les consentements de communication sont à recueillir à nouveau

Réponse: Cet énoncé est faux.

Les consentements recueillis par un abonnement sont toujours valables. Les consentements implicites définis par la Loi canadienne antipourriel (LCAP) sont aussi valables lorsqu’ils sont respectés.  Cette loi prévoit également l’utilisation de consentements implicites.  Les utilisations doivent aussi faire l’objet de la description dans la politique de confidentialité.  Le but de la nouvelle Loi n’est pas d’empêcher la relation client mais la protection des renseignements personnels.

Lien vers l’article 14 de la Loi

Mythe #3

Je peux transférer les données vers des systèmes localisés aux États-Unis

Réponse: Cet énoncé est vrai, mais pas sans condition, car ce n’est pas un état équivalent.

Lorsque vous transférez les données hors Québec, vous devez informer les personnes de ce transfert et vous devez garantir le même niveau de protection des données.  Si les données peuvent être accédées de quelque façon que ce soit, par exemple, par un gouvernement ou utilisées autrement, il y a des enjeux et vous êtes responsables des risques et des conséquences.

C’est pourquoi vous recommandons de conserver vos données au Québec.

NB : Facebook vient d’écoper d’une amende de 1,4 milliards en Europe pour ces transferts.

Lien vers l’article 111 (article 17) de la Loi

Mythe #4

Un gestionnaire de cookie ou de tracker est obligatoire

Réponse: Cet énoncé est en partie vrai.

Si vous désirez continuer à utiliser vos logiciels de tracking comme Google Analytics et autres marqueurs de visites qui ne sont pas anonymes et dans un cadre autre que commercial.

La Loi 25 exige que toute fonction permettant à une technologie d’identifier, de localiser ou d’effectuer un profilage d’une personne dont elle a recueilli des renseignements personnels doit être désactivée par défaut. L’organisation doit en informer cette personne et lui offrir des moyens d’activer ces fonctions, si possible.

Lien vers l’article 19 (article 65) de la Loi

Mythe #5

Le tracking des clics et des ouvertures de courriels ne sont pas visés par la Loi

Réponse: Cet énoncé est faux

Par défaut, le tracking doit être anonyme afin de respecter la Loi tant que vous n’avez pas obtenu le consentement.  Il faut informer de la situation les personnes visées et leur offrir un moyen pour activer le tracking.  Obtenez le consentement pour faire le tracking aussi de vos courriels car cette utilisation n’est pas implicite.

Mythe #6

Le consentement exprès est requis sur tout

Réponse: Cet énoncé est faux

Les consentements exprès (ou explicite) sont obligatoires pour une seule fin, soit l’utilisation des données sensibles.

Dans toutes les autres situations, le consentement doit être obtenu en termes simples et clairs pour chaque fin.  En d’autres mots, les fins peuvent être énoncées dans une politique de confidentialité. De plus, la notion de consentement tacite ou implicite continue à exister selon certaines conditions.

Lien vers l’article 110 (article 12) de la Loi

Mythe #7

Toutes les données ont la même importance

Réponse: Cet énoncé est faux

Il faut classifier selon le type de données et considérer l’impact et le risque relatif à celles-ci.

Se faire voler la liste des noms et numéros de téléphone dans le bottin téléphonique (Perdre le bottin) n’a pas la même importance que de perdre les NAS et No de compte bancaire oumême l’information sur la santé d’une personne.

Lien vers l’article 103 (article 3.2) de la Loi

Mythe #8

La politique de confidentialité doit être acceptée à chaque modification

Réponse: Cet énoncé est faux

Vous devez communiquer les changements aux fins et utilisations.  Seuls les changements de fins ayant un impact doivent faire l’objet d’un consentement.  Par exemple, vous ne pourriez pas simplement changer la politique pour faire accepter un transfert de données vers un tiers comme Facebook , sans l’obtention d’un consentement, sauf si elle est dépersonnalisée. Cependant, une simple revue d’une explication pour la rendre plus claire ne doit pas être soumise à nouveau.

Lien vers l’article 107 (article 8.2) de la Loi

Mythe #9

Je peux utiliser les services en ligne d’une plateforme sans contrat

Réponse: Cet énoncé est faux

Si vous utilisez des systèmes qui cumulent des données personnelles, vous devez avoir un contrat écrit avec le tiers avec des engagements pour être conformes à la Loi.  Ce contrat doit spécifier, entre autres, l’utilisation des données, leur confidentialité et la destruction.

Lien vers l’article 115 (article 18.3) de la Loi

Mythe #10

Nous devons tenir une évaluation de facteur de risques pour tous nos systèmes

Réponse: Cet énoncé est faux

Seulement pour les nouveaux systèmes à mettre en place ainsi que les systèmes lorsque les données sont logées à l’extérieur du Québec.  Les autres systèmes en place ne sont soumis à cette exigence.

Lien vers l’article 103 (article 3.3) de la Loi

Découvrez comment votre entreprise peut bénéficier de Dialog Insight.

À lire aussi

Blogue

Optimiser vos campagnes email avec la segmentation en marketing: stratégies efficaces 

Améliorez votre stratégie de marketing par email avec la segmentation : Augmentez les taux d'ouverture et les conversions tout en renforçant la fidélité en adaptant les messages à des groupes ciblés.

Gestion des donnees clients

L’impact de l’architecture de données sur la personnalisation

Une étude récente, qui a interrogé plus de 600 spécialistes du marketing, a révélé que le plus grand obstacle à la personnalisation est l'architecture des données.

Campagnes marketing et omnicanal

4 conseils pour un objet de mail accrocheur

En tant que spécialistes du marketing numérique, nous investissions beaucoup dans le design et le contenu de nos campagnes par courriel. Mais il ne faut jamais sous-estimer le pouvoir d’un objet de mail accrocheur.

Campagnes marketing et omnicanal

Stratégie marketing pour les fêtes de fin d’année : idées et conseils pour des courriels réussies

En 2021, 61% des consommateurs ont débuté leur shopping de Noël en novembre. Octobre pointe le bout du nez, évitez de courir, évitez la cohue… Faites-vous remarquer. Soyez dans la boîte de vos clients et contacts avant la haute saison ! Profitez des fêtes de fin d’année pour renforcer votre relation avec vos clients et faites partie de leur planification de Noël.

Campagnes marketing et omnicanal

Trucs et inspirations pour votre campagne de Noël

Septembre débute, ce qui veut dire que Noël n’est pas loin derrière… Il est grand temps de commencer à planifier votre campagne du temps des Fêtes pour engager vos clients!

Customer Data Platform

Comment tirer parti des données de Shopify pour des campagnes marketing réussies

Découvrez comment les données de Shopify peuvent être utilisées dans vos campagnes marketing pour augmenter vos ventes.