Qu’est-ce que la Loi 25 ?
Adoptée et sanctionnée en septembre 2021, la Loi 25 est un texte législatif qui modifie les dispositions de diverses lois québécoises, notamment la Loi sur la protection des renseignements personnels dans le secteur privé (LPRPSP, 2024). Celle-ci s’applique à toutes les entreprises opérant dans la province du Québec et/ou utilisant les données personnelles de résidants du Québec (Thompson, Quigley, 2022).
Ce texte législatif s’illustre dans un objectif de favoriser la protection de la vie privée de la population québécoise, à l’arrivée de nombreux changements et enjeux de nature technologiques, notamment quant aux habitudes web des utilisateurs (ex. Télétravail, infonuagique, agents intelligents et scandales récents liés aux collectes et fuites majeures de renseignements personnels) (Bélanger, 2023).
Notion de renseignement personnel au sens de la Loi 25
Pour bien saisir le champ d’application de la Loi 25 en général et en SEA, il faut bien comprendre ce qu’est un renseignement personnel et comment il se catégorise au sens de la loi. Il suffit de lire le libellé de l’article 2 de la LPRPSP pour comprendre qu’est un renseignement personnel. Il s’agit de tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier. Ainsi, il faut comprendre que, bien qu’un renseignement soit dépersonnalisé et qu’il ne permet plus d’identifier directement la personne concernée, celui-ci demeure personnel au sens de la LPRPSP, suivant l’adoption de la Loi 25 (Loi 25, 2021, article 110) (LRPPSP, 2024, article 12) (Chassigneux, 2022). Le schéma ci-dessous permet de bien comprendre quelles informations sont soumises aux lois québécoises.
Source : Grenier aux nouvelles, https://www.grenier.qc.ca/chroniques/35535/loi-25-au-quebec-comment-preparer-votre-entreprise
Qu’est-ce que le SEA et comment ça fonctionne ?
Le Search Engine Advertising (SEA) correspond à l’un des principaux canaux du marketing numérique. C’est le canal de marketing permettant de diffuser et de positionner, de façon avantageuse, un message publicitaire sur les moteurs de recherche en ligne (ex. Google, Bing, Yahoo!, etc.).
Le SEA repose sur le modèle économique suivant ; l’annonceur va payer pour l’achat de mots clés utilisés par les internautes sur un moteur de recherche, plaçant une publicité menant vers un site web au sommet des résultats suggérés, favorisant ainsi un grand trafic sur la page web dont il souhaite faire la promotion (SEO.fr, s.d.). L’achat de mots clés se base sur un modèle de vente aux enchères entre annonceurs publicitaires, qui paient différents montants pour générer un clic sur leur publicité, ce qu’on appelle communément le Paiement par Clic (PPC) (Delhaye, 2023).
De plus, il faut comprendre que le SEA, notamment à partir de la plateforme Google Ads, constitue un moyen de communication marketing particulièrement efficace, et ce, pour de multiples raisons. Entre autres, il permet à l’annonceur publicitaire de générer un important trafic sur une page web en peu de temps, mais surtout de cibler avec précision l’audience désirée, d’évaluer l’efficacité des campagnes publicitaires déployées et de les adapter en fonction des résultats obtenus (Delhaye, 2023). Un tel ciblage peut s’effectuer à partir de multiples données, telles que l’âge, la localisation géographique, les listes de clients déjà existantes et les habitudes des utilisateurs du web (Google Ads, s.d.).
Les témoins de connexion (ou cookies)
Quant à l’évaluation de la performance des campagnes publicitaires en SEA, celle-ci est grandement facilitée, considérant que la collecte des données se fait automatiquement, notamment à l’aide de témoins de connexion (ou cookies). Ce sont de petits fichiers téléchargés sur l’ordinateur à la suite d’une visite sur un site web et qui permettent aux propriétaires de sites web de collecter une panoplie d’informations quant à un utilisateur naviguant en ligne (Sanche, 2023) ( Commissariat à la protection de la vie privée du Canada, 2011). D’ailleurs, c’est principalement en matière de ciblage, en collecte de données et en analyse de performance de campagne publicitaire que la Loi 25 prend toute son importance dans un contexte de SEA.
Impacts de la Loi 25 sur les pratiques courantes en matière de SEA
Considérant que la Loi 25 s’illustre dans une optique de protection du public et d’informations sensibles, beaucoup de changements se sont opérés quant à la notion de consentement de l’utilisateur, notamment en ce qui concerne la collecte et l’utilisation de leurs renseignements personnels.
Suivant l’entrée en vigueur de la Loi 25, toute personne recueillant de l’information sur un utilisateur à l’aide d’un moyen technologique (ex. Cookie), doit l’informer du recours à une telle technologie et des façons pour activer ce moyen (LPRPSP, 2024, article 8.1). De plus, cette obligation d’information s’entend également aux fins pour lesquelles ces renseignements sont recueillis, les droits d’accès et de rectification, du droit au retrait de consentement et des tiers pour qui la collecte est faite (LPRPSP, 2024, article 8 al.1). Sauf exception, il faudra également que l’utilisateur ait donné son consentement explicite (opt-in) pour la collecte, l’utilisation et la transmission de données constituant des renseignements personnels ; l’entreprise ne pourra utiliser les informations qu’aux fins pour lesquels les informations ont été recueillies (LRPPSP, 2024, articles 8.3, 12 et 13).
Ci-dessous, démontre ce que cela implique dans un contexte de SEA, par l’utilisation de Google Ads et de sa plateforme Google Consent Mode (Google Ads, s.d.) (Target Internet, s.d.) :
1) Premièrement, l’utilisateur clique sur un site web qui figurait au sommet des résultats de recherche sur Google, considérant l’achat de mots clés sur Google Ads ;
2) Deuxièmement, l’utilisateur est confronté à une bannière lui demandant s’il consent à l’activation d’un cookie ou d’un outil permettant la collecte de données et/ou de renseignements personnels. Il est possible de donner un consentement partiel quant à la nature des cookies utilisés et des fins suivant la collecte et l’utilisation des renseignements personnels ;
3) Dans un cas où un consentement complet est donné par l’utilisateur, les informations sont transmises à Google et à ses multiples plateformes, telles que Google Ads ou Google Analytics et pourront être utilisées aux fins explicitées (ex. remarketing et analyse de données). Par contre, si le consentement est inexistant, aucun cookie ne peut être téléchargé (sauf les cookies essentiels au fonctionnement du site) et les informations sont anonymisées ou non collectées.
Il faut également comprendre que la Loi 25 engendre d’autres changements que ceux exposés ci-haut (Gratton, 2022). Par exemple, elle crée l’obligation d’assurer des paramètres au plus haut niveau de confidentialité pour toute entreprise recueillant des renseignements personnels et offrant des produits et/ou services technologiques disposant de paramètres de confidentialité (LRPPSP, 2024, article 10). La Loi 25 vient également ajouter le droit à la portabilité des informations pour les utilisateurs, impliquant la possibilité pour ces derniers de recevoir et de consulter les renseignements personnels ayant été collectés ou utilisés par une l’entreprise (LRPPSP, 2024, article 27).
Défis et opportunités pour les annonceurs web
À première vue, on pourrait conclure que les outils de collecte de données marketing (ex. Cookies), notamment utilisés dans un contexte de campagne SEA, pourraient perdre de leur efficacité. Il faut prendre en considération que les Québécois sont préoccupés quant à la protection de leurs données et renseignements personnels sur le web (Académie de la transformation numérique, 2022) et qu’il y a désormais obligation de consentement explicite avant toute collecte ou utilisation de renseignements personnels par une entreprise.
Source : NETendances, https://transformation-numerique.ulaval.ca/wp-content/uploads/2023/04/netendances-2022-services-gouvernementaux-en-ligne-donnees-citoyennes-cybersecurite.pdf
Effectivement, les entreprises numériques qui collectent des données parmi les résidants québécois, auraient perdu près de 70 % des données qu’elles pouvaient collecter avant l’entrée en vigueur de la Loi 25 (Gril, 2024). Ainsi, un tel contexte pourrait certainement mener à de nouvelles opportunités en termes d’outils de collecte et d’analyse de données, et ce, peu importe le type de campagne marketing numérique exercé.
Médiagraphie
Académie de la transformation numérique (2022). « Services gouvernementaux en ligne, données citoyennes et cybersécurité », NETendances, vol.13, n.08, Récupéré de https://transformation-numerique.ulaval.ca/wp-content/uploads/2023/04/netendances-2022-services-gouvernementaux-en-ligne-donnees-citoyennes-cybersecurite.pdf ;
Bélanger, L. (2023). « Loi 25 au Québec : Comment préparer votre entreprise ? », Grenier aux nouvelles, Récupéré de https://www.grenier.qc.ca/chroniques/35535/loi-25-au-quebec-comment-preparer-votre-entreprise
Chassigneux, C., « Protection des renseignements personnels – Loi 25 : se préparer à l’entrée en vigueur », Magazine Entracte, 31-2, Récupéré de https://edoctrine.caij.qc.ca/magazine-entracte/Revues/Volumes/31-2/i7e953a9c529c25f80d7f34686cd8cf30
Commissariat à la protection de la vie privée du Canada. (2011). « Foire aux questions sur les témoins. », Récupéré de https://www.priv.gc.ca/fr/sujets-lies-a-la-protection-de-la-vie-privee/technologie/protection-de-la-vie-privee-en-ligne-surveillance-et-temoins/temoins/foire-aux-questions-sur-les-temoins/
Delhaye, E., (2023). « Qu’est-ce que le SEA : signification et guide complet », My Little Big Web, Récupéré de https://mylittlebigweb.com/blogue/sea-guide-complet/
Google Ads. (s.d.). « À propos des segments d’audience » Récupéré de https://support.google.com/google-ads/answer/2497941?sjid=9559634495750985019-NA
Google Ads. (s.d.). « À propos du mode Consentement », Récupéré de https://support.google.com/google-ads/answer/10000067?hl=fr
Google Ads. (s.d.). « Définir le ciblage de vos annonces » Récupéré de https://support.google.com/google-ads/answer/1704368?hl=fr
Gratton, E., Henry, E., Joli-Cœur, F., Du Perron, S., Jarvie, M., Gauthier, J M., Nagy, A., El Khoury, D-N., Hémond, A., Labasi-Sammartino, C., (2022) « Guide de conformité pour la réforme de la Loi sur la protection des renseignements personnels dans le secteur privé », Borden Ladner Gervais, Récupéré de https://unik.caij.qc.ca/permalien/i491fde26-c89a-44f9-a53d-d42d4d6999d3
Gril, E., (2024). « Loi 25 : Peut-on éviter le cataclysme de la perte des données clients ? », Revue Gestion HEC Montréal, Récupéré de https://www.revuegestion.ca/loi-25-peut-on-eviter-le-cataclysme-de-la-perte-des-donnees-clients
Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (Loi 25) (2021), L.R.Q., c.25, Récupéré de https://www.publicationsduquebec.gouv.qc.ca/fileadmin/Fichiers_client/lois_et_reglements/LoisAnnuelles/fr/2021/2021C25F.PDF
Loi sur la protection des renseignements personnels dans le secteur privé (LRPPSP) (2024), L.R.Q., P-39.1, Récupéré de https://www.legisquebec.gouv.qc.ca/fr/pdf/lc/P-39.1.pdf
Sanche, F., (2023). « La question de la Semaine sur les Cookies », Radio Canada, Récupéré de https://ici.radio-canada.ca/tele/la-facture/site/segments/capsule/458350/cookies-temoin-internet-vie-privee-renseignements
SEO.fr. (s.d.). « Définition SEA (Search Engine Advertising), SEO.fr, Récupéré de https://www.seo.fr/definition/sea-referencement-payant
Target Internet. (s.d.). « What is Google Consent Mode ? (And How To Implement It) », Récupéré de https://targetinternet.com/resources/what-is-google-consent-mode-and-how-to-implement-it
Thompson, K., Quigley, A. (2022), « Projet de loi no 64 : Entrée en vigueur de la première série de nouvelles exigences relatives à la protection de la vie privée et des renseignements personnels au Québec. Quelles seront les répercussions pour votre entreprise? », Dentons, Récupéré de https://www.dentons.com/fr-ca/insights/articles/2022/september/21/bill-64-first-round-of-new-quebec-privacy-requirements-come