Nous remercions la Banque Nationale pour sa commandite qui nous permet d'offrir gratuitement le simulateur de Marketing numérique de HEC MONTRÉAL à nos étudiants du BAA !

Rechercher
Rechercher
Rechercher
Fermer ce champ de recherche.
S'abonner à l'infolettre

Infolettre

Loi 25 : impacts sur les parties prenantes… et nouveaux acteurs

Bonne nouvelle, cet article est également sous forme de Podcast !

Dans un monde en constant changement et connaissant une évolution technologique d’une rapidité sans précédent, les données sont devenues une matière première précieuse et très utile pour les entreprises. Néanmoins, certains types de données sont plus sensibles que d’autres et posent des questions d’ordre éthique et de confidentialité, c’est le cas des données personnelles des utilisateurs d’internet.

Ces questions-là reposent principalement sur la façon dont les données sont collectées, stockées et utilisées par les entreprises.

Loi 25 : qu’est ce que c’est ?

La Loi 25, entrée en vigueur au Québec en 2021, et qui s’inspire du RGPD (Règlement général sur la protection des données) adopté en 2018 par la Commission Européenne, est un texte juridique visant à protéger les utilisateurs d’internet vis-à-vis de leurs données personnelles. Une grande fierté pour le gouvernement québécois qui souhaite montrer l’exemple sur le continent américain en proposant une telle loi, endossant ainsi un rôle de précurseur dans la protection des données personnelles. En s’alignant sur les normes mises en place par le RGPD, la Loi 25 a plusieurs objectifs dont les trois principaux concernent la protection accrue de la vie privée des citoyens québécois, la transparence des organisations qui collectent les données sur leurs méthodes et sur l’utilisation qu’elles en font, et enfin la responsabilisation des entreprises vis-vis de la protection des données. La Loi 25 québécoise ainsi que le RGPD européen s’adressent aux entreprises privées mais pas que… ! Sont aussi concernées OBNL (organisations à but non-lucratif) et les institutions publiques par lesquelles transigent une grande quantité de données personnelles, données parfois récoltées et utilisées à des fins dont les internautes n’ont pas connaissance.

Qu’est ce qu’un internaute ?

Le terme internaute désigne une personne qui utilise Internet, quelqu’un qui va sur le web, que ce soit de manière régulière ou occasionnelle.

Un vrai pas en avant pour les internautes

La question que l’on se pose désormais : comment ces dispositions protègent-elles réellement les internautes au quotidien ?

Au Québec, la Loi 25 permet aux citoyens d’avoir le contrôle sur leurs renseignements personnels et de décider lesquels peuvent être collectés ou non. Cela se traduit par trois grandes dispositions et exigences :

  • Le consentement : à chaque fois qu’une organisation souhaite collecter des données sur un individu, celle-ci doit impérativement obtenir un consentement explicite, souvent sous la forme d’un pop-up qui s’affiche lors de l’arrivée sur un site web.
  • Portabilité : les internautes ont le droit d’exiger auprès de chaque organisation, que leurs données soient structurées de façon à pouvoir être transférées plus facilement vers d’autres organisations
  • Droit à l’oubli : sûrement la disposition la plus intéressante pour les internautes puisqu’elle permet d’exiger, auprès de nombreuses organisations (surtout les entreprises privées), la suppression totale des informations personnelles stockées dans leurs bases de données. La suppression doit en général se faire dans les 30 jours suivants la demande.

En l’espace de quelques années seulement, ces changements majeurs ont permis l’installation d’un cercle vertueux autour du contrôle et de la protection des données personnelles des individus. Cela se traduit par l’arrivée de nouveaux acteurs privés qui jouent un rôle salvateur auprès des internautes. C’est notamment le cas de Surfshark, une entreprise originaire de Lituanie et désormais localisée aux Pays-Bas, qui œuvre dans le domaine de la cybersécurité. En plus de ses offres de VPN et d’antivirus, Surfshark lance en 2021 un service en ligne nommé Incogni, qui a pour objectif de faire respecter le RGPD européen en permettant aux internautes de supprimer automatiquement, via des demandes de suppressions automatiques, toutes leurs données personnelles auprès des « courtiers en données ».

Incogni, un service qui surfe sur les dispositions de la Loi 25 et du RGPD

Incogni est un service de suppression automatisée des données accessible sous forme d’abonnement, conçu pour aider les utilisateurs à supprimer leurs données personnelles auprès des courtiers en données* et des entreprises susceptibles de stocker ces données. Incogni a été développé en 2021 par Surfshark, une société principalement réputée pour ses solutions VPN.

* Les courtiers en données sont généralement des entreprises spécialisées dans la collecte, la vente et la revente de données personnelles.

Plus d’informations ici.

Mais quels impacts sur les entreprises ?

Du côté organisationnel

Nous l’avons vu, ces nouveaux textes juridiques redonnent aux utilisateurs d’internet le pouvoir de contrôler leurs données personnelles et peuvent même décider de les supprimer définitivement de toutes bases de données. Et si nous changions un peu de perspective pour s’intéresser aux impacts que ces décisions ont sur les entreprises.

Comme mentionné plus tôt, les données et plus particulièrement les données personnelles des individus sont devenues une « matière première » très précieuse pour de nombreuses organisations. C’est la raison pour laquelle le « droit à l’oubli » octroyé aux internautes est un danger pour les entreprises qui sont exposées à l’obligation de supprimer de plus en plus de leur « précieuse matière première » sous peine de sanction. En effet, depuis le 22 septembre 2023, une entreprise qui contrevient aux dispositions de la Loi 25, peut s’exposer à des poursuites pénales « dans un délai de cinq ans de la perpétration de l’infraction et du pouvoir d’imposer une amende maximale de 25 millions de dollars canadiens ou du montant correspondant à 4 % du chiffre d’affaires mondial si ce montant est plus élevé. ». Une amende minimale de 15 000 $ est même prévue pour les entreprises quoiqu’il arrive, et peut être doublée en cas de récidive. Au-delà des sanctions potentielles, les organisations sont également tenues à des changements internes. Suite l’entrée en vigueur de la Loi, les entreprises ont été contraintes de faire une évaluation interne complète concernant la façon dont les données sont collectées, stockées et utilisées afin de se conformer aux nouvelles dispositions. Ensuite, un responsable de la protection des renseignements doit ainsi être nominé et doit d’occuper de tous les aspects abordés par la Loi 25. Au quotidien, sa mission principale est de superviser la gestion des données et de rapporter chaque incident de confidentialité concernant des informations personnels afin d’en aviser les personnes concernées. Enfin, chaque organisation se doit de réaliser une Évaluation des Facteurs relatifs à la Vie Privée dans leurs processus de gestion de données (EFVP).

Évaluation des Facteurs relatifs à la Vie Privée (EFVP)

L’évaluation des facteurs relatifs à la vie privée est une démarche préventive qui vise à mieux protéger les renseignements personnels et à respecter davantage la vie privée des personnes physiques. Elle consiste à considérer tous les facteurs qui auraient des conséquences positives et négatives sur le respect de la vie privée des personnes concernées. 

Plus d’informations ici.

Du côté de l’analyse web

L’entrée en vigueur de la Loi 25 a également de nombreux impacts sur l’analyse web des entreprises. Comme expliqué précédemment, les entreprises doivent désormais obtenir un consentement explicite des internautes pour collecter et utiliser leurs données personnelles, et cela vaut aussi pour les cookies… une ressource indispensable pour le bien et la pertinence des analyses web. Chaque site web doit offrir la possibilité à ses visiteurs d’accepter ou non les cookies et bon nombre d’entre eux, de plus en plus sensibilisés à la protection de leurs données personnelles, décident de refuser les cookies. Ainsi, traquer les visiteurs de son site web devient plus compliqué et rend les analyses moins efficaces. Pour se conformer à ces nouvelles mesures, les entreprises utilisent de plus en plus une plateforme de gestion de consentement, aussi appelée CMP qui permet de recueillir de manière transparente et explicite le consentement des individus en fournissant des informations claires et précises sur la finalité de la collecte des données. Cela se traduit par l’apparition de bannières de cookie et de pop-up permettant la personnalisation concernant la récolte de données.

Les cookies, c’est quoi ?

Les cookies sont des fichiers texte contenant de petits éléments de données, comme un nom d’utilisateur et un mot de passe, utilisés pour identifier votre ordinateur lorsque vous utilisez un réseau. Les cookies spécifiques sont utilisés pour identifier des utilisateurs en particulier et améliorer leur expérience de navigation sur Internet. Les données stockées dans un cookie sont créées par le serveur lors de votre connexion. Ces données sont étiquetées avec un identifiant unique pour votre ordinateur et vous. Lorsque le cookie est échangé entre votre ordinateur et le serveur du réseau, le serveur lit l’identifiant et sait quelles informations vous proposer.

Cependant, les choses n’iront pas en s’arrangeant concernant l’analyse web… En effet, l’arrivée de nouveaux acteurs tels que le navigateur Brave, qui propose désormais de bloquer automatiquement tous les cookies sans aucune action de l’utilisateur, va continuer de mettre à mal cet aspect important de la vie numérique des entreprises. À l’image d’Incogni, Brave profite de la plus grande sensibilisation à la protection des données personnelles et de l’instauration de nouvelles lois comme la Loi 25 et le RGPD pour tirer son épingle du jeu et pour montrer le chemin à suivre dans les prochaines années.

Brave, un navigateur au service des internautes

Brave est un navigateur web open source gratuit disponible sur Windows, macOS et Linux ainsi que sur iOS et Android. Il a pour objectif de protéger la vie privée de ses utilisateurs en bloquant par défaut les pisteurs et en permettant la navigation via le réseau Tor.

Pour télécharger Brave ou pour plus d’informations, c’est ici.

Le mot de la fin…

Nous pouvons estimer que l’application de la Loi 25 est une avancée majeure pour les internautes qui leur permet de retrouver une certaine souveraineté sur leurs renseignements personnels qui circulent dans les bases de données des organisations. Les organisations quant à elle sont touchées plus négativement par cette Loi et devront trouver des solutions pour s’adapter aux nouvelles dispositions notamment en ce qui concerne le volet numérique et de l’analytique web. Enfin, de nouveaux acteurs comme Incogni et Brave émergent pour accompagner les utilisateurs d’internet dans cette quête ultime vers encore plus de transparence et de protection de leurs données personnelles, au détriment parfois des organisations…


Références

Eugénie Delhaye (2023). « Qu’est ce que la Loi 25 et ses conséquences ». Lien vers l’article

Comité d’accès à l’information. « Principaux changements aux lois sur la protection des renseignements personnels ». Lien vers la page

Gouvernement du Québec (2022). « Loi 25 – Nouvelles dispositions protégeant la vie privée des Québécois – Certaines dispositions entrent en vigueur aujourd’hui ». Lien vers l’article

Sébastien Meunier (2023). « Loi 25 | Quels sont ses impacts sur votre entreprise ? ». Lien vers l’article

Kristian Brabander, Josy-Ann Therrien (2023). « Loi 25 : nouveau régime d’application de la loi québécoise sur la protection des renseignements personnels dans le secteur privé ». Lien vers l’article

My Little Big Web (2023). « Loi 25 au Québec: impact sur le numérique ». Lien vers l’article

Brave Privacy Team (2022). « Blocage des bannières de consentement aux cookies qui vous importunent et nuisent à votre vie privée ». Lien vers l’article

Julia Borgini (2023). « Brave browser review: Why I switched ». Lien vers l’article

Site web d’Incogni. Lien vers le site web

Korben (2023). « Incogni : faites supprimer vos données personnelles simplement (+ mon avis après 1 an) ». Lien vers l’article

Picture of GiletQuentin

GiletQuentin

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Découvrir d'autres articles

small_c_popup.png

Avez-vous finis votre lecture de l'article?

Vous pourriez tester vos connaissances numérique

25 questions pour déterminer si vos lectures sur le blogue ont fait de vous un expert du numérique