Pour un commerce en ligne québécois, la Loi 25 ne se limite pas à une politique de confidentialité affichée quelque part sur le site. Chaque interaction avec un client génère des renseignements personnels : navigation, achat, compte, historique, communications. Et chaque outil intégré à votre boutique, qu'il s'agisse d'une plateforme de courriel marketing, d'un pixel de suivi ou d'une solution de paiement, est potentiellement un partenaire dans le traitement de ces renseignements.
Les témoins (cookies) et les pixels de suivi
C'est l'un des points les plus visibles pour les clients, et souvent le moins bien géré. La Loi 25 exige que vous obteniez le consentement des visiteurs avant de déposer des témoins à des fins non essentielles, comme le suivi publicitaire ou l'analytique comportementale.
Ce que cela implique concrètement :
- Une bannière de consentement aux témoins qui distingue clairement les témoins essentiels (fonctionnement du site) des témoins optionnels (publicité, analyse)
- La possibilité pour le visiteur d'accepter ou de refuser chaque catégorie séparément
- L'absence de précocher les cases optionnelles
- Un mécanisme pour retirer son consentement aussi facilement qu'il a été accordé
Les pixels de suivi des réseaux sociaux (Meta Pixel, TikTok Pixel, etc.) tombent dans la catégorie des témoins publicitaires et nécessitent donc le consentement préalable. Les activer avant que l'utilisateur ait consenti représente une collecte non autorisée.
Les données des comptes clients
Quand un client crée un compte sur votre boutique, vous collectez des renseignements personnels : nom, adresse courriel, adresse de livraison, historique des commandes. Ces renseignements sont collectés à une fin précise (faciliter les achats futurs, gérer les retours), et vous ne pouvez pas les utiliser à d'autres fins sans consentement.
Questions à vous poser :
- Avez-vous indiqué clairement lors de la création du compte quels renseignements vous collectez et pourquoi?
- Combien de temps conservez-vous ces données après la dernière transaction?
- Si un client demande la suppression de son compte, que se passe-t-il avec ses données?
Les données de paiement
Les données de carte de crédit relèvent d'abord de la norme PCI DSS, gérée par vos prestataires de paiement (Stripe, PayPal, Shopify Payments, etc.). En pratique, vous ne stockez probablement pas les numéros de carte directement. Mais vous conservez peut-être des renseignements sur les transactions qui, combinés à d'autres données, permettent d'identifier une personne. Ces renseignements sont couverts par la Loi 25.
Les programmes de fidélité
Les programmes de fidélité collectent souvent plus de renseignements que nécessaire : historique détaillé des achats, fréquence de visite, préférences, données comportementales. Chacun de ces éléments doit être justifié par une finalité claire, déclarée au moment de l'inscription.
Si vous utilisez ces données pour de la personnalisation ou du ciblage publicitaire, cela doit être mentionné explicitement dans votre politique de confidentialité, et le consentement doit être obtenu pour ces usages secondaires.
Le consentement aux communications par courriel marketing
L'envoi de courriels marketing à des clients au Québec est encadré à la fois par la Loi 25 et par la Loi canadienne antipourriel (LCAP). Le consentement exprès est requis pour envoyer des messages commerciaux électroniques. Ce consentement doit être :
- Libre (pas précoché par défaut)
- Éclairé (la personne comprend ce à quoi elle s'inscrit)
- Documenté (vous devez pouvoir prouver que le consentement a été donné)
Ajouter automatiquement à votre liste de diffusion tous les clients qui ont passé une commande ne respecte pas ces exigences, à moins d'avoir un consentement exprès obtenu au moment de la commande.
Les intégrations tierces
Votre boutique en ligne est probablement connectée à plusieurs outils : plateforme de courriel marketing (Klaviyo, Mailchimp), outils d'analytique (Google Analytics), CRM, applications de chat, solutions de gestion des retours. Chacun de ces fournisseurs agit comme sous-traitant dans le traitement de renseignements personnels.
La Loi 25 exige que vous ayez des contrats avec ces sous-traitants qui reflètent vos obligations. Les conditions d'utilisation générales d'un outil SaaS ne suffisent pas toujours. Vérifiez que vos fournisseurs principaux offrent un accord de traitement des données (Data Processing Agreement) et signez-le.
Les données transmises hors du Québec
Beaucoup d'outils SaaS utilisés par les commerçants québécois hébergent leurs données aux États-Unis ou ailleurs. Sous la Loi 25, communiquer des renseignements personnels à l'extérieur du Québec nécessite que vous ayez évalué si le niveau de protection offert dans le pays destinataire est équivalent à celui du Québec.
Cette évaluation doit être documentée. Si vous utilisez des outils américains courants (Shopify, Klaviyo, Google Analytics), ces fournisseurs ont généralement des mécanismes contractuels en place, mais c'est à vous de vous assurer qu'ils sont adéquats.
Une liste de vérification pour les boutiques en ligne
- Bannière de consentement aux témoins conforme, avec options granulaires
- Politique de confidentialité à jour, mentionnant tous les outils utilisés
- Processus de gestion des demandes d'accès et de suppression
- Contrats de traitement des données signés avec les principaux fournisseurs
- Consentement exprès documenté pour le courriel marketing
- Durées de conservation définies pour les données clients
- Plan de réponse aux incidents en place
Observantia accompagne les commerces en ligne dans la mise en place de ces fondations, avec des outils adaptés à la réalité des opérations numériques.
Ce contenu est fourni à titre informatif seulement et ne constitue pas un avis juridique. Pour des questions spécifiques à votre situation, consultez un conseiller juridique qualifié.