Le projet de loi 25 : The good, the bad, selon Oli
Certains parlent d’une révolution. D’autres soupirent que c’est trop peu, et beaucoup trop tard, jurant qu’il s’agit d’un triste coup d’épée dans l’eau. Leurs opinions, bien qu’en opposition diamétrale, font l’une et l’autre référence à la nouvelle loi provinciale 25 – la fameuse Loi modernisant des dispositions législatives en matière de protection des renseignements personnels dans le secteur privé.
Le projet de loi 64 – devenu loi 25 lors de son adoption en septembre 2021 – vise à faire exactement ce que son laborieux titre raconte : moderniser les lois québécoises qui touchent à la protection des renseignements personnels des Québécoises et des Québécois. Moderniser parce que de telles dispositions existent déjà, mais datent d’avant… la modernité; c’est-à-dire Internet, évidemment.
Les sentiers de la modernité en cybersécurité
En septembre 2021, résolu à entrer dans la modernité – plus d’un quart de siècle après l’invention du Web –, le gouvernement du Québec adopte la loi 25 pour étendre la protection des renseignements citoyens à la sphère numérique. Désormais, en plus d’être protégés au sein des frontières géographiques de la province, leurs renseignements personnels le seront aussi à l’intérieur de celles plus théoriques et très malléables de leurs écrans rétroéclairés. En théorie, s’entend.
Par renseignements personnels, ceux-là mêmes qu’elle vise à protéger, la loi 25 entend « tout renseignement qui se rapporte à une personne physique et qui permet de l’identifier ». Votre nom ou vos informations bancaires, par exemple, mais aussi les informations plus mondaines laissées derrières nous sur les sentiers du Web – véritables miettes de pain d’Hansel –, qui ne dévoilent rien prises isolément mais qui, mises bout à bout – magie! – révèlent aux annonceurs la voie royale vers notre subconscient, ou notre inconscient, ce n’est pas exactement clair.
Sueurs froides
Le sentiment des détracteurs de la loi 25 est que cette voie vers le subconscient, ou l’inconscient – ou les deux à la fois – n’est en tout cas pas près d’être abandonnée par les entreprises dont le modèle d’affaires en dépend, comme Google qui en est plus ou moins le parent. Et qu’il faudrait plus qu’une loi provinciale, en somme, pour faire changer de cap d’aussi gargantuesques paquebots.
Concrètement, la loi impose plusieurs changements aux compagnies québécoises, changements imposés dans le temps par paliers graduels. Certaines règles sont déjà en place depuis septembre, comme celle de désigner au sein de toute entreprise, petite ou gigantesque, un ou une « responsable de la protection de la vie privée ». D’autres mesures, en revanche, n’entrent en vigueur qu’en septembre prochain.
Une de ces mesures concerne les témoins de navigation, et fait couler beaucoup d’encre et peut-être autant de sueurs froides dans le monde du marketing numérique. Dès septembre 2023, tout site Internet opérant au Québec devra recevoir l’approbation explicite d’un internaute avant de pouvoir collecter et utiliser ses « cookies ». Il s’agit d’une brisure du paradigme dans lequel vit Internet depuis belle lurette : le monde sauvage et sans lois d’un Far West de silicone où des cowboys en coton ouaté nommés Zuckerberg ou Brin récoltent nos données comme autant de glorieux butins à revendre – et à fort prix – aux marketeurs qui, comme un poumon de son oxygène, en dépendent pour vivre.
La loi 25 : le début d’une ère au Québec?
Après septembre, cette ère de monétisation sans scrupules de nos faits et gestes par les goliaths du Web prend donc fin au Québec. D’où le réflexe de certains de crier à la révolution, numérique du moins.
Mais on l’a dit, cette « révolution » de la confidentialité des données personnelles ne ressemble pour certains à rien de tel; en tout cas pas dans sa forme actuelle. C’est le cas d’Olivier J. Bergeron, genre de Clint Eastwood des contrées numériques et cofondateur de Click & Mortar. Olivier accueille la loi 25 avec une certaine curiosité, mais la considère toutefois comme un bien piètre frein au modèle de capitalisme de surveillance propre au GAFAM. Non seulement ça, mais il craint aussi de fâcheuses pertes de revenus pour les TPE et les PME québécoises.
Il en discutait dans un billet publié sur son blogue plus tôt cette année, et il prend ici le temps de nuancer son opinion et d’expliquer ce qui la fonde.
C&M : Salut Oli! C’est important dans la vie de commencer par le positif: quels sont, à ton avis, les bons côtés de cette loi 25?
O : Un bon côté, c’est ce sentiment de « enfin! ». Enfin la sphère légale de la société qui s’intéresse à la jungle numérique, qui commence à montrer les crocs et à définir des balises. Ça fait plus de vingt ans que Google a inventé ce que l’on appelle maintenant le capitalisme de surveillance. Et pendant vingt ans, ils ont eu un terrain de jeu complètement libre; ils ont pillé et monétisé les données comme bon leur a semblé.
Oui, cette loi est attendue depuis longtemps, et même si elle n’est pas parfaite à nos yeux, on ne peut pas être mécontent de l’annonce d’un tel changement.
Un autre côté heureux que j’y vois, c’est que ça risque de conscientiser beaucoup de gens. Le discours présentement est centré autour des gens dans l’industrie du marketing numérique, qui ont soudain peur de ne plus être pertinents. Mais éventuellement les gens vont arriver sur un site web québécois qui leur présentera un message de « opt-in » pour les cookies. En premier, ça va les importuner, mais après ça risque de générer une réflexion, et donc donner du pouvoir aux citoyens. Ça va éclairer les gens quant au modèle d’affaires de Google : comment ça se fait, concrètement, qu’ils font des milliards de dollars?
C&M : C’est aussi important parfois d’être critique. Quelles sont les lacunes de la loi 25, à ton avis?
O : Mon discours ici détonne un peu de celui répandu en marketing numérique, dans la mesure où je ne vois pas seulement les lacunes à cette loi d’une lentille qui m’affecte personnellement en tant que marketer numérique.
Ce qu’il faut comprendre, c’est qu’il y avait du marketing au Colisée romain deux cents ans avant Jésus-Christ, et il y en aura encore même sans les « cookies ». C’est un détail, les « cookies ». Fondamentalement, il y aura toujours des gens qui veulent faire de la pub pour en influencer d’autres.
Ceci étant dit, quant aux lacunes de la loi à proprement parler… une loi comme ça, c’est une façon de redistribuer le pouvoir qui s’est développé dans le monde numérique. C’est un bon pas, mais ça me gosse que la loi ne redistribue pas assez entre les petits joueurs locaux et le GAFAM. D’ailleurs, tu lis les académiques qui se sont penchés sur le RGDP, et ce qu’ils disent c’est que c’est difficile d’avoir une même loi qui est appliquée à Facebook et à la fruiterie au coin de la rue. Ça ne fait pas vraiment de sens, en réalité.
Les petits joueurs sans beaucoup de ressources devront investir plus, se payer les outils nécessaires, s’éduquer, se rendre conformes et à court terme cela risque de diminuer la rentabilité de leur marketing numérique, ou du moins complexifier l’analyse des résultats. C’est beaucoup de temps et d’argent investi – et ce n’est pas eux qui mettent notre libre arbitre en danger. C’est pas la fruiterie au coin de la rue qui me fait peur. Mais c’est pour elles, les TPE, que cette loi pèse lourd.
Ensuite, est-ce que la loi est assez forte pour les Google et Facebook, qui sont de nature opaque et qui ont une défense légale gigantesque? Ils vont toujours faire une analyse coûts-bénéfices. Si l’amende vaut la peine d’être payée, ils vont la payer.
C&M : Tu constates que le GAFAM contourne allègrement la législation en Europe, et, du même coup, tu affirmes qu’il faudrait peut-être resserrer la loi pour la rendre, justement, incontournable. Comment s’y prendrait-on pour se doter de lois pour la protections des renseignements que même les plus puissants joueurs sont forcés de respecter?
O : C’est la question à un million de dollars. Si tu regardes ce que certains experts disent, une solution pourrait être d’auditer leurs algorithmes. Un peu comme les finances d’une compagnie cotée en bourse : chaque année, un Raymond Chabot vient chez toi et regarde tes chiffres, vérifie que ce que tu représentes est vrai. Pour protéger le public, au final.
Beaucoup de voix commencent à s’élever pour dire que le même genre de pratiques devrait être appliqué à un Google ou un Facebook, qui sont tellement opaques qu’on se fie seulement à ce qu’ils nous disent, et qu’on doit attendre des lanceurs d’alerte comme Frances Haugen pour sonner l’alarme; là la législation se réveille et sévit.
Sans avoir la vérité infuse, une solution me semble au niveau des ressources humaines, à la main-d’œuvre qui travaille à faire appliquer la législation. Quand je regardais les cas d’amendes… oui des amendes sont données, mais il y a tellement de cas de litiges ouverts, et ça prend des années et des années pour arriver à une conclusion. Pourquoi? Parce que d’un côté Facebook a 200 avocats alors que l’Union européenne et le RGPD en ont 15 qui se font mettre tous les bâtons dans les roues possibles. C’est un David contre Goliath. Le joueur persécuté a plus de moyens de se défendre que la police qui tente de l’arrêter. Et donc c’est difficile d’arriver à quelque chose qui leur fait mal pour vrai.
C&M : Tu sembles croire que la législation autour de la loi 25 comporte des risques de nuire à la PME québécoise. De quelle nature sont ces risques?
O : Oui, et je n’invente rien. Une étude de l’université d’Oxford s’est penchée sur la causalité entre le RGPD et le chiffre d’affaires et la profitabilité d’entreprises. Et l’étude a remarqué une baisse de la profitabilité. Pourquoi? Eh bien, parce que la loi agit comme une taxe administrative : acheter un outil de plus, former les employés, s’éduquer. Au bout du compte, ce ne sont pas les PME qui monétisent nos données et influencent notre comportement.
Avec une législation comme la loi 25, je ne pense pas que ce soit noir ou blanc, du genre « toi tu peux, toi tu peux pas ». Je pense plutôt à une application modulaire. Je pense par exemple à nos médias locaux d’information, ou à tout média qui participe à la game de vente publicitaire. Pour leur donner plus de pouvoir, ce serait intéressant de leur donner plus de droits sur notre territoire qu’un Google ou Facebook; de cette façon, on verrait peut-être une migration du budget inverse à celle des vingt dernières années, où tous les budgets ont migré vers Google et Facebook pour la simple et bonne raison que ça marche, ça performe. Déjà la loi 25 leur met des bâtons dans les roues : ce sera moins possible d’analyser le comportement des utilisateurs.
Ces entreprises-là se sont fait vendre du rêve au début des années 2000 avec internet, en mode : « Indexe-toi sur Google, fais un post Facebook et 10 000 personnes viennent lire ton article… ». Mais là on se réveille en 2023 et Google monétise mieux ton audience que toi, et Facebook aussi. T’es plus capable d’être profitable parce que c’est eux qui ont bouffé tous les budgets publicitaires et ont accès à toutes les données de ton site. C’est précisément là où je trouve qu’il y a une opportunité manquée, un rendez-vous manqué.
Mais pourquoi ne pas donner plus de pouvoir à un La Presse ou à un Le Devoir d’avoir accès à la donnée personnelle, ce serait alors possible pour eux d’aller chercher des audiences plus riches, et il y aurait conséquemment un changement dans le media mix au Québec. Ce serait positif de redistribuer la tarte vers des joueurs qui ont une mission importante, comme eux.
Il existe toutes sortes de subventions pour ces joueurs-là, c’est vrai; on leur dit : « vous êtes importants, on veut vous aider », mais en réalité c’est un band-aid, cette aide. Là on aurait l’opportunité de créer une structure qui les aiderait réellement.
C&M : Tu mentionnes qu’une des lacunes de cette législation est d’être appliquée à la masse des entreprises québécoises, sans distinction. Ce que tu proposes à la place est un « microciblage à l’image de celui utilisé en marketing numérique ». De quoi est-ce que cela pourrait avoir l’air concrètement?
O : C’est un clin d’oeil, en fait, à ce qu’on faisait dans les dix dernières années [en marketing numérique], c’est-à-dire cibler une audience ultra-niche de genre 500 personnes, exemple spécifiquement des étudiants de HEC. Avec la loi 25, ce genre de microciblage va disparaître puisque les données ne seront tout simplement plus disponibles.
L’idée derrière cela : la loi 25, c’est comme une publicité grand public sur le bord d’une autoroute. Et le message en serait, en gros : « tout le monde doit respecter la loi 25 de la même façon ». Alors que si on avait une loi appliquée de façon plus modulaire, qui dirait « pour les géants du Web, voici les règles, pour les entreprises médiatiques, voici les règles, pour les TPE, voici les règles », on aurait un écosystème plus utile à notre économie au final qu’une loi omnibus.
C&M : Tu as l’air de vouloir faire un prononcement final?
O : Effectivement. Je veux dire que oui, la loi 25 a ses limites, et on n’est pas nécessairement content de cela.
Mais je pense tout de même que cette loi va créer un rebalancement quelconque entre nos médias locaux et les géants du Web, qui ne présenteront plus de performances sexys dans nos rapports publicitaires, et donc je me réjouis que ça nous pousse à explorer des avenues qui sont hors réflexes pour des gens purement marketing de performance. Et de cela je suis vraiment content.
Chez Click & Mortar, il nous fera plaisir de vous parler, de vous donner notre avis, et surtout de vous aider à faire parler vos données!