• Il n'y a aucune suggestion car le champ de recherche est vide
00 - Hero Blog
00 - Single Post

Protection des données personnelles : un passage obligé

Le cadre législatif international en matière de protection des données personnelles est en mutation. Le projet de loi 64 étudié à l’Assemblée nationale s’inscrit dans cette tendance lourde, dont les conséquences débordent largement des frontières des GAFAM (Google, Amazon, Facebook, Apple, Microsoft).

« Énormément d’entreprises accumulent, parfois sans trop le savoir, des données au sujet de leurs clients et d’autres parties prenantes, affirme l’avocat spécialisé en technologies de l’information et associé au cabinet BCF, Me Jocelyn Auger. La nouvelle loi sur la protection des renseignements personnels, quand elle sera adoptée, affectera tout le monde au Québec. » Selon lui, il n’est pas trop tôt pour que les entreprises commencent à s’y préparer, tant au point de vue organisationnel que technologique.

Me Auger, qui s’exprimera sur la protection des données personnelles et sur les conséquences juridiques des incidents de cybersécurité à la conférence Cybersécurité 20/20, le 24 novembre prochain, explique que ce nouveau cadre législatif s’inspire d’un ensemble de principes qui ne sont pourtant pas nouveaux et qui ont été adoptés en 1980 par l’Organisation de coopération et de développement économiques (OCDE).

Ces principes incluent notamment l’imposition de limites à la collecte des données, le consentement des individus à la récolte et au traitement d’informations les concernant, mais aussi la possibilité qu’ils accèdent à l’ensemble de leur dossier. La protection de la vie privée et la transparence sont également mentionnées par l’OCDE.

Le chef de la sécurité de l’information (CISO) chez NOVIPRO, Dominique Derrier, croit que notre boulimie de données doit forcément atteindre une limite sans pour autant freiner les affaires.

Cadre législatif désuet

« L’ancien cadre législatif datait de quelques décennies et assurait davantage un équilibre entre l’exercice des activités commerciales et la protection de la vie privée », mentionne Me Auger.

Cet équilibre a été brisé par l’émergence d’entreprises dont le modèle d’affaires repose sur le commerce des données, par l’enthousiasme des consommateurs envers les téléphones intelligents et autres appareils qui récoltent des informations en quantités phénoménales, et par l’introduction d’outils d’intelligence artificielle capables de les traiter d’une manière impossible auparavant.

« Ces anciennes lois ont vraiment été écrites dans un autre monde, estime l’avocat. Pour les individus, le jeu n’était plus équitable. »

La révision des lois déjà entamée

Le Règlement général sur la protection des données (RGPD), qui est entré en vigueur sur le territoire de l’Union européenne en 2018 se base toujours sur les mêmes principes généraux, mais il impose plusieurs nouvelles restrictions à la récolte et à l’utilisation des données personnelles. Les entreprises doivent divulguer leurs opérations de profilage et permettre aux individus d’accorder un consentement modulé; par exemple, refuser la géolocalisation de leurs appareils.

En vertu du règlement européen, les internautes disposent aussi du droit à l’oubli, qui leur permet de faire effacer des informations des bases de données des moteurs de recherche. Les données personnelles sont aussi considérées comme étant privées jusqu’à ce que les utilisateurs accordent un droit d’accès, plutôt que l’inverse.

Enfin, le RGPD impose des obligations accrues en matière de reddition de compte et, en cas d’incident, il ouvre la porte à des amendes pouvant atteindre 4 % du chiffre d’affaires de l’entreprise fautive (ou 20 millions d’euros).

Le California Consumer Privacy Act, entré en vigueur le 1er janvier 2020, ne va pas aussi loin, mais il reflète les mêmes préoccupations. C’est également le cas de la législation fédérale canadienne, amendée pour la dernière fois en 2018.

Le projet de loi 64 du Québec emboîte le pas. « Ici, les amendes maximales pourraient s’élever à 25 millions de dollars, rapporte Me Auger. Dans la loi actuelle, la limite est de 50 000 $. »

Les entreprises ont avantage à se préparer

Me Auger propose aux entreprises qui souhaitent se préparer au nouveau cadre législatif de s’aligner dès maintenant sur les règles du RGPD, qui sont les plus sévères.

« Désignez un officier responsable de la protection des renseignements personnels, suggère l’avocat. Insérez les enjeux de vie privée au cœur du design de vos produits. Permettez à vos clients d’obtenir des copies de leurs données et assurez-vous que l’intégrité de vos produits sera maintenue s’ils exigent que vous effaciez une partie de l’information à leur sujet. Beaucoup de vieilles bases de données en sont incapables. »

En tant qu'ancien délégué à la protection des données personnelles pendant la mise en vigueur du règlement RGPD, Dominique Derrier renchérit : « La mise en conformité est réalisable pour les entreprises à l’aide d’une approche méthodique, qui inclut l’identification des données personnelles, le respect des principes de cybersécurité et la mesure de l'avancement. »

Dominique Derrier a confiance que le nouveau cadre législatif au Québec améliorera mécaniquement la sécurisation des actifs informationnels des entreprises québécoises. Celles qui transigent déjà avec l’Europe et les sociétés internationales sont prêtes. Pour les PME, l’adaptation à la loi québécoise, si elle est adoptée, pourrait cependant constituer une épreuve de taille. Mais il s’agira d’un passage obligé.

« Ce nouveau cadre est là pour rester, insiste Jocelyn Auger. Nous ne reviendrons plus en arrière. »

Pour aller plus loin, découvrez nos autres articles sur la  cybersécurité :