Depuis l'entrée en vigueur progressive de la Loi 25 (anciennement Projet de loi 64) au Québec entre 2022 et 2024, tous les organisateurs qui collectent des données personnelles via une billetterie ont des obligations claires. Voici un guide pratique, focalisé sur les cas concrets d'événementiel.
1. Loi 25 vs RGPD : qu'est-ce qui change pour vous ?
La Loi 25 québécoise s'inspire largement du RGPD européen mais s'applique automatiquement à toute organisation établie au Québec ou traitant des données de résidents québécois. Si vous vendez des billets au Québec, elle vous concerne, peu importe où sont vos serveurs. Le RGPD européen ne s'applique à vous que si vous ciblez activement des résidents européens (paiement en euros, langue européenne, marketing UE).
2. Les données que vous collectez via votre billetterie
- Identité : nom, prénom, email (toujours collectés)
- Paiement : tokenisé chez Stripe (vous ne stockez jamais le numéro de carte)
- Profil : âge, genre, ville (si demandés à l'inscription)
- Comportement : événements consultés, achats antérieurs
- Technique : IP, user-agent, fingerprint anti-fraude
Chaque catégorie doit être justifiée par une base légale (consentement explicite, exécution d'un contrat, obligation légale, intérêt légitime) et documentée dans votre politique de confidentialité.
3. Le consentement éclairé
À la création d'un compte ScanPass et à chaque achat, l'utilisateur doit cocher activement (case non pré-cochée) son consentement aux CGV et à la politique de confidentialité. ScanPass fournit des liens directs vers ces documents et conserve un horodatage du consentement, opposable en cas de contrôle.
Pour la newsletter marketing, c'est un consentement séparé (case distincte), obligatoirement opt-in, avec lien de désinscription dans chaque email envoyé.
4. La durée de conservation
Vous ne pouvez pas conserver les données indéfiniment. Loi 25 impose de définir une durée raisonnable et de la documenter. Recommandations standard pour la billetterie :
- Données de transaction : 7 ans (obligation comptable et fiscale au Québec)
- Compte utilisateur actif : tant que le compte est actif + 2 ans après dernière connexion
- Données de marketing : tant que l'utilisateur reste opt-in
- Logs techniques (IP, user-agent) : 12 mois
5. Le droit à l'oubli et droit d'accès
Tout utilisateur peut demander : (a) une copie de toutes ses données, (b) la rectification d'une erreur, (c) la suppression complète de son compte. Vous avez 30 jours pour répondre. ScanPass automatise ces demandes via le bouton « Supprimer mon compte » dans les paramètres : suppression effective sous 7 jours, données archivées seulement pour les obligations comptables (tickets payés).
6. La notification des incidents de sécurité
En cas de violation de données (vol, fuite, accès non autorisé), vous devez notifier la Commission d'accès à l'information du Québec (CAI) et les personnes concernées dans les meilleurs délais si l'incident présente un risque de préjudice sérieux. ScanPass tient un registre interne des incidents et vous informe sous 72 h en cas d'événement vous concernant.
7. Le responsable de la protection des renseignements personnels (RPRP)
Toute organisation doit désigner un RPRP et publier ses coordonnées. Pour une petite structure organisateur, c'est généralement le dirigeant. Pour ScanPass, c'est notre équipe DPO joignable à privacy@scanpass.app.
8. Les transferts internationaux de données
Si vos données sont stockées hors Québec (et c'est probable : Stripe US, AWS Canada-Central, etc.), vous devez réaliser une « évaluation des facteurs relatifs à la vie privée » et l'informer dans votre politique. ScanPass utilise des serveurs principalement à Montréal et à Toronto, avec des sous-traitants documentés (Stripe, Resend, Cloudflare).
9. Conclusion : ce que vous devez faire concrètement
- Publier une politique de confidentialité claire et accessible
- Désigner et publier un RPRP
- Vérifier les cases de consentement (CGV, marketing)
- Documenter votre durée de conservation
- Mettre à disposition un canal pour les demandes d'accès / suppression
- Tenir un registre des traitements et des incidents
ScanPass fournit nativement la majorité de ces briques techniques. Votre travail consiste à configurer les durées, désigner votre RPRP et publier votre propre politique d'organisation événementielle.