Dès les années ’90, des lois ont été créées pour encadrer les innovations dans le domaine du marketing numérique. Mais comme les pratiques évoluent constamment, on assiste à des mises à jour régulières des lois, et ce, dans tous les pays. Peu à peu, des lois comme celle du CAN-SPAM Act de 2003 aux États-Unis, la loi anti-pourriel de 2014 ou encore le RGPD de 2018 en France ont été créées pour s’ajuster aux nouveaux enjeux du marketing numérique.
Nous rappelons que le contenu de ce texte vise à fournir des informations de nature informative et ne constitue en aucun cas un avis ou une opinion juridique. En cas de doute, veuillez s’il-vous-plaît vous référer à un professionnel.
En 2021, le Québec a emboîté le pas à l’Europe, ainsi qu’au reste du Canada, et a créé la loi-64. Bien que nous en ayons peu entendu parler, cette nouvelle loi a modifié les règles quant à la collecte de données privées, obligeant les entreprises à changer leurs habitudes de marketing. Consentement, politique de confidentialité, collecte de données… Les PME doivent maintenant se soumettre à différentes mesures, afin que les renseignements personnels des utilisateurs soient protégés.
Dans cette série de 3 articles, nous jetterons les bases du concept de protection de la vie privée et des données personnelles. Nous verrons notamment:
- La différence entre une donnée personnelle versus une donnée sensible;
- En quoi consiste une collecte de données;
- En quoi consiste le droit à l’oubli;
- Comment gérer des données hébergées à l’étranger.
Finalement, dans le 3ème article, nous avons créé une liste, point par point, des mesures à mettre en place quand on a une PME et qu’on fait des affaires au Québec, comme à l’étranger. Nous espérons que ce dossier saura vous éclairer et vous aider à naviguer à travers ces différentes règles tout en continuant à pratiquer le marketing numérique.
La transparence comme mot d’ordre
Selon une étude faite par la revue « Think with Google » les gens sont prêts à partager leur adresse email quand qu’ils savent exactement :
- Quelles informations personnelles sont collectées (est-ce le genre, l’email, le comportement de navigation?);
- Comment ces informations sont collectées. Par exemple, est-ce qu’ils reçoivent quelque chose en échange de leurs informations?
- Pourquoi ces informations sont collectées. Comment, par exemple, les données seront utilisées et avec qui elles seront partagées?
Avec le bon incitatif et de la transparence, la grande majorité des personnes sont prêtes à partager des informations personnelles quand elles ont un intérêt pour le contenu qu’une entreprise propose.
L’essentiel, pour une organisation, est de prendre conscience de la valeur des données qu’elle recueille, ainsi que de la confiance que les consommateurs lui accordent en donnant leurs informations privées. Lorsque l’entreprise comprend ceci et qu’elle respecte les utilisateurs, le marketing numérique peut devenir pour elle un outil permettant d’obtenir des gains significatifs et d’atteindre tout objectif commercial.
Données personnelles versus données sensibles
Quelle est la différence entre une donnée personnelle et une donnée sensible? La réponse à cette question est courte, mais vague : ça dépend. Ça dépend du pays et, parfois, de l’interprétation que l’on fait de ces données, comme c’est le cas au Québec.
En Europe
En Europe, « une donnée personnelle est toute information se rapportant à une personne physique identifiée ou identifiable. Mais, parce qu’elles concernent des personnes, celles-ci doivent en conserver la maîtrise. »
Dans le document de loi du RGPD, un renseignement personnel est définit comme suit: « ‘’données à caractère personnel’’, toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée ‘’personne concernée’’) ; est réputée être une ‘’personne physique identifiable’’ une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
Au Québec
Au Québec, le projet de loi 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, définit un renseignement personnel comme « tout renseignement qui concerne une personne physique et permet, directement ou indirectement, de l’identifier ».
Un renseignement sensible, quant à lui, « est sensible lorsque, de par sa nature notamment médicale, biométrique ou autrement intime, ou en raison du contexte de son utilisation ou de sa communication, il suscite un haut degré d’attente raisonnable en matière de vie privée. » On parle notamment de:
- L’origine raciale ou ethnique;
- Les opinions politiques;
- Les convictions religieuses ou philosophiques;
- L’appartenance syndicale;
- Le traitement des données génétiques, biométriques;
- Le traitement des données concernant la santé ou concernant la vie sexuelle ou l’orientation sexuelle d’une personne physique.
Au Québec, la loi sur les données sensibles diffère un peu. En effet, un renseignement peut être considéré comme étant sensible en fonction de sa nature, mais aussi en fonction du contexte de son utilisation ou de sa communication.
Vous direz que ça laisse place à l’interprétation? Eh bien oui, dépendamment du contexte, une donnée peut être considérée comme sensible, alors que dans un autre contexte elle ne le sera pas. Ceci fait référence notamment à des données biométriques, des convictions politiques et religieuses, les origines raciales, des données médicales, les appartenances syndicales, des données de géo-localisation, etc.
Collecte de données: en quoi ça consiste?
À partir du moment où vous avez un site web et que Google Analytics y est installé, ou que celui-ci contient un formulaire à remplir, vous faites de la collecte de données. Même des entreprises qui sont moins avancées sur le plan numérique font de la collecte de données.
Prenez par exemple une massothérapeute : même si ses clients remplissent un formulaire papier lors de la 1ère rencontre, le fait de demander des informations personnelles sur la condition de santé, le nom et le prénom constitue une collecte de renseignements personnels. Il est difficile de trouver une entreprise aujourd’hui qui ne fait pas de la collecte de données.
Collecter des données : oui, mais à quelles fins?
Chaque fois que vous collectez des données sur des clients, que ce soit via le web ou sur le papier, dites-vous que vous devez toujours être en mesure de justifier la raison pour laquelle vous récoltez ces renseignements. En effet, vous avez le droit de collecter des données, tant que celles-ci servent des fins utiles et qu’elles permettent à l’entreprise d’exécuter son contrat.
Par exemple, si vous organisez des voyages de football aux États-Unis, vous demanderez probablement, dans le 1er formulaire, le nom, prénom et email du prospect. C’est seulement lorsqu’une personne décidera d’aller de l’avant et de faire affaire avec vous pour son voyage de foot qu’il sera légitime de lui demander son numéro de passeport et son adresse à la maison, par exemple. Vous comprenez donc que vous devez toujours être en mesure de justifier la raison pour laquelle vous avez besoin de x ou y donnée privée.
Ainsi, lorsque vous créez des formulaires, assurez-vous de bien réfléchir et de vous poser la question : « Pourquoi ai-je besoin de ce renseignement? ». Ceci vous évitera d’éventuels problèmes, car souvenez-vous que vous êtes responsables des données personnelles de vos clients et de ce que vous en faites par la suite.
L’objectif de ces mesures n’étant pas d’empêcher les entreprises de faire leur travail, mais plutôt d’éviter que des renseignements soient indûment collectés, et ce, afin de protéger les consommateurs.
Nous savons maintenant en quoi consistent une collecte de données, ainsi qu’un renseignement personnel. Passons alors à l’article Entre la loi-64 et le RGPD, le droit à l’oubli et l’hébergement de données à l’étranger pour mieux comprendre les concepts de droit à l’oubli et d’hébergement de données à l’étranger.
Pour lire ou retourner lire notre petit guide sur la protection de la vie privée pour les PME, cliquez ici.
Annexe
Revue « Think with Google »: Nacia Walsh, Jaylen Baca (2022) Why value and trust matter for data privacy. Think with Google. Disponible sur : https://www.thinkwithgoogle.com/future-of-marketing/privacy-and-trust/changing-privacy-landscape/?utm_source=rss-reader&utm_medium=rss&utm_campaign=rss-feed (consulté le 14 avril 2022)
Définition d’une donnée personnelle: CNIL. (2018). Donnée personnelle. [En Ligne]. https://www.cnil.fr/fr/definition/donnee-personnelle (page consultée le 17 mai 2022)
Document RGPD: CNIL. (2018). Le règlement général sur la protection des données – RGPD [En Ligne]. https://www.cnil.fr/fr/reglement-europeen-protection-donnees (page consultée le 17 mai 2022)
PL-64: Le document PL 64 suivant ne représente pas le document officiel du projet de loi, puisque la version qui est présentement sur le site web officiel est celle qui contient les modifications en vigueur en date d’aujourd’hui (17 mai 2022). Les modifications qui entrent en vigueur de septembre 2022 à septembre 2024 n’y seront ajoutées qu’au fur et à mesure qu’elles entreront en vigueur. Ceci étant dit, la CAI a créé une version administrative dans laquelle on voit toutes les modifications: https://www.cai.gouv.qc.ca/documents/CAI_Loi_prive_version_administrative.pdf
Gouvernement du Québec. (2021). Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. PL 64. [En ligne, p.10]. http://www2.publicationsduquebec.gouv.qc.ca/dynamicSearch/telecharge.php?type=5&file=2021C25F.PDF (page consultée le 17 mai 2022)
