Dans un monde où nous produisons de plus en plus de données, la sécurité des renseignements personnels est un enjeu à prendre au sérieux. En 2020, chaque internaute créait en moyenne 1,7 Mo de données par seconde. Le gouvernement du Québec a donc décidé de prendre action afin de moderniser la loi actuelle pour la rendre plus adaptée à l’ère numérique.
Le projet de loi 64 impose alors que les entreprises soient plus transparentes quant à la protection et l’utilisation des renseignements personnels. Cette mesure permettra de protéger grandement la vie privée des citoyens du Québec. Quels sont les enjeux de cette nouvelle loi pour votre entreprise? C’est ce qu’on vous révèle juste ici!
- Qu'est-ce que la loi 64?
- Quelles sont les 3 phases d’implantation de la loi 64?
- Quelles répercussions la loi 64 aura-t-elle sur votre entreprise?
- Différences entre la loi C-28 et la loi 64
- Comment appliquer cette loi sur la protection des renseignements personnels?
- Votre entreprise est-elle prête à se conformer aux nouvelles mesures?
Qu’est-ce que la loi 64?
La loi modernisant des dispositions législatives en matière de protection des renseignements personnels, plus connue sous le nom de projet de loi 64, a été adoptée afin d’assurer une meilleure protection numérique des renseignements personnels de tous. Les entreprises ont maintenant la responsabilité de développer des stratégies axées sur la protection des renseignements personnels, de façon à mieux encadrer la sécurité de la vie privée de leurs consommateurs.
Cela veut dire que, dès aujourd’hui, votre organisation doit implanter une stratégie pour informer sa clientèle de l’utilisation et de la manière dont sont stockés leurs renseignements personnels, et surtout, elle doit communiquer de façon compréhensible et transparente. En termes plus simples, les individus ont maintenant le pouvoir de mieux comprendre et choisir la façon dont leurs données sont utilisées.
C’est la Commission d’accès à l’information du Québec (CAI) qui s’est vue remettre le mandat de surveiller la bonne application de la loi et sanctionner les entreprises contrevenantes.
Quelles sont les 3 phases d’implantation de la loi 64?
Même si le projet de loi 64 a été adopté le 21 septembre 2021, sa mise en place sera progressive afin de laisser les entreprises s’adapter aux changements.
Phase 1
La première étape débute en septembre 2022. Votre entreprise doit dorénavant désigner une personne responsable afin qu’elle applique des mesures de protection des renseignements personnels. Cette ressource peut être un directeur marketing, un responsable des données à l'interne ou encore un Data Protection Officer. Par ailleurs, la personne responsable doit informer, sans exception, les consommateurs concernés par un incident mettant en jeu leur confidentialité pour éviter de causer un préjudice sérieux.
Phase 2
La deuxième étape s’amorce en septembre 2023. D’abord, votre entreprise doit élaborer un cadre de gouvernance en matière de protection des renseignements personnels. Il est important que vos communications, quant à la collecte de données des individus, soient vulgarisées dans un langage simple et clair. Les risques en matière de vie privée lors de certaines utilisations et communications de renseignements personnels devront également être évalués par votre organisation. Et finalement, vous devrez obtenir, au préalable, le consentement de la personne pour utiliser ses renseignements personnels à des fins de prospection commerciale.
Phase 3
La troisième et dernière phase s'implante en septembre 2024. À cette étape-ci, et à la demande des individus, vous devrez communiquer les renseignements personnels qui ont été recueillis. Vous aurez aussi l’obligation d’informer les utilisateurs lorsque leurs renseignements personnels sont utilisés pour prendre des décisions fondées sur le traitement automatisé de ces renseignements.
Quelles répercussions la loi 64 aura-t-elle sur votre entreprise?
En plus de devoir déployer des ressources financières et humaines pour assurer la mise en place des nouvelles mesures, cette loi fera surgir plusieurs autres répercussions au sein des entreprises.
D’abord, l’encadrement de la collecte de données rendra plus difficile le reciblage marketing, et conséquemment, la génération de prospects puisque les individus pourront consentir ou non à la collecte de leurs données. Est-ce que cette loi diminue réellement la capacité des entreprises à générer des conversions à partir de leur site Web? Évidemment, certains individus refusent que vous collectiez leurs données. Par contre, établir un cadre obligeant les entreprises à faire preuve de rigueur, de clarté et de transparence dans leur utilisation des données personnelles aidera à inspirer une certaine confiance des utilisateurs envers les processus. Ceci limitera potentiellement le nombre d’usagers qui choisiront de bloquer les cookies.
De plus, comme les entreprises sont susceptibles d’être appelées à démontrer qu’elles respectent les nouvelles dispositions de la loi, elles devront configurer les outils technologiques de façon à ce que les actions de consentement requises soient facilement effectuées, et ce, dans le respect des exigences de la loi.
Des amendes pour les contrevenants : le mandat de la Commission d’accès à l’information
Les entreprises seront passibles d’amendes maximales de 10 000 $, ou l’équivalent de 2 % du chiffre d’affaires de l’année précédente. Le montant le plus élevé sera utilisé.
Selon l’importance du délit, la CAI peut engager des poursuites pénales qui peuvent mener à des amendes maximales de 25 000 000 $, ou 4 % du chiffre d’affaires de l’année précédente.
Différences entre la loi C-28 et la loi 64
La loi C-28 et la loi 64 sont toutes deux des lois qui encadrent l’espace numérique. Bien qu’elles agissent conjointement sur la protection des renseignements personnels, ces deux lois s'avèrent complètement différentes.
La loi canadienne antipourriel (C-28)
La loi C-28 s’applique spécifiquement aux messages électroniques de provenance commerciale et aux courriels frauduleux. Les dispositions de cette loi protègent les individus en empêchant l’envoi de messages non sollicités. Les entreprises doivent également obtenir le consentement des individus avant de leur envoyer des messages électroniques, en plus de s’identifier clairement dans toutes leurs communications.
La loi modernisant des dispositions législatives en matière de protection des renseignements personnels (loi 64)
Quant à la loi 64, elle agit davantage au niveau des renseignements personnels collectés sur un site Web que les mesures seront appliquées. Cette loi a notamment été inspirée par la réglementation européenne nommée le Règlement général sur la protection des données (RGPD).
Comment appliquer cette loi sur la protection des renseignements personnels?
Voici quelques conseils que votre entreprise devrait suivre pour réussir à bien s’adapter aux exigences de la loi 64 :
- Impliquez dès que possible des experts du cadre légal en matière du numérique et votre département de marketing afin d’être certain de ne pas contrevenir à la loi.
- Effectuez un exercice de cartographie et d'inventaire des données (data mapping) pour identifier les points de collecte des renseignements, et pour tracer la route empruntée par ces données, de la réception à la destruction.
- Mettez en place une politique interne et une formation sur la protection des renseignements personnels pour bien informer les employés pouvant gérer des renseignements personnels.
- Vérifiez que les contrats en place avec des tiers impliqués dans les activités (ex. agences publicitaires, fournisseurs de données etc.) comprennent les dispositions nécessaires pour protéger l'entreprise pour éviter des sanctions.
- Utilisez des logiciels qui permettent d’offrir facilement la possibilité aux individus de rectifier, d’anonymiser ou de supprimer toutes les informations qui seraient erronées ou impertinentes à leurs yeux. De plus, vérifiez que les données collectées soient conformes en tout temps dans votre logiciel CRM (preuve de consentement explicite).
- Faire affaire avec des experts en marketing numérique afin d’identifier des stratégies pour communiquer et mettre en place les spécifications de la loi sur votre site Web.
Votre entreprise est-elle prête à se conformer aux nouvelles mesures?
Pour terminer, il est bien important que votre entreprise comprenne l’importance de cette nouvelle loi en vigueur au Québec. Vous devrez dorénavant faire preuve de plus de transparence envers vos clients afin de mieux les informer quant à leurs données personnelles.
L’équipe de Guarana Marketing peut vous diriger vers les experts de la sphère légale pour la refonte de vos politiques de gestion des renseignements personnels. À la suite de cette mise au point, nous pouvons effectuer toute modification à votre site Web afin de vous conformer adéquatement à la loi.