Archives d’auteur : Techtonik Legal

À propos de Techtonik Legal

Je travaille en tant qu'avocat au Canada et pratique principalement dans les domaines des technologies et des intangibles, incluant quant à ce qui touches les technologies, la propriété intellectuelle, les télécommunications et les renseignements personnels.

Entreprises au Québec: vous avez des employés, donc des données et des devoirs à faire!

Publié le par

Comme vous le savez probablement, jusqu’à maintenant, le droit québécois ignorait largement le fait que toutes les organisations et entreprises détiennent, invariablement, des données sur leur personnel. En effet, la loi québécoise touchant la protection des renseignements personnels a longtemps fait fit de ce fait, préférant se concentrer sur tous les autres cas où des entreprises détenait et utilisait des données de ce genre. Avec la nouvelle mouture de la Loi modernisant des dispositions législatives en matière de protection des renseignements personnelsLoi»), de 2022 (une loi résultant du Projet de loi no 64), tout cela vient de changer.

La Loi de 2022 vient imposer toute une série de nouvelles obligations aux organisations détenant des données personnelles sur autrui. Dès maintenant, toutes les organisations, incluant même les PME, doivent donc commencer à porter attention à la question de la protection des renseignements personnels, en commençant, eh oui, par tous les renseignements que détiennent les organisations de tout acabit sur leurs employés. Ce serai d’autant plus important que la Loi prévoit dorénavant qu’on pourra imposer des amendes aux organisation contrevenante de l’ordre de 25 MILLIONS (oui, 25 000 000$) de dollars ou, même, à l’équivalent de 4% de son chiffre d’affaires annuel. Ai-je votre attention?

L’une des première chose à faire est de réaliser, au niveau de l’organisation, qu’on doit désormais commencer à se préoccuper de protection des renseignements personnels. Il faut y dédier des ressources, s’organiser et, eh oui, commencer à s’informer adéquatement quant à ce que la loi exige en matière de protection des données à caractère personnel. Pour les PME, ce sera malheureusement parfois la première fois où on fait cet exercice, la loi étant souvent vue à ce sujet comme une affaire de multinationale sans importance pour les plus petites entités.

Ensuite, si on commence à regarder ce que prévoit la Loi spécifiquement, on réalisera rapidement qu’il faut obligatoirement désormais mettre en place des protocoles, des politiques et des pratiques dictées par chaque organisation dans le but de bien gérer et encadrer sa gouvernance en matière de protection des renseignements personnels en sa possession. Oui, les jours du laisser-aller généralisé à ce sujet sont, en principe, maintenant chose du passé. Temps pour toutes les organisation de s’y mettre!

Fait intéressant, pour ceux et celles qui pourraient penser s’en tirer en ne faisant rien à ce sujet, en catimini: la Loi prévoit que chaque organisation devra (c’est une obligation non-optionnelle) rendre publiquement accessible tous ses protocoles, ses politiques et ses pratiques en la matière. Oui, vous lisez bien et, ceci à compter de dès maintenant.

Premier exemple spécifique au personnel, la Loi prévoit des règles contraignant la mesure dans laquelle les employeurs peuvent faire effectuer un traitement automatisé de renseignements personnels sur des employés potentiels ou présents, afin de prendre une décision sur leur embauche, leur promotion, etc. Généralement, bien que ce soit permis, les employeurs devraient s’informer des règles s’appliquant à ce type de traitement de données par des technologies telles l’intelligence artificielle.

La Loi confirme aussi (comme c’est le cas presque partout ailleurs) que toutes les organisations québécoises devraient se munir d’une politique de gestion des renseignements personnels, qu’on doit rendre accessible au personnel et au public. Cela comprend adopter une telle politique touchant les données des employés et prenant en compte les outils qu’on utilise dans l’organisation pour surveiller ou gérer le travail des salariés, comme par exemple les outils de surveillance, les outils de gestion de performance des employés, etc.

Règle générale, les entreprises québécoises devraient amorcer un réexamen de leurs pratiques de ce genre quant à leur personnel, en comprenant qu’on doit dorénavant porter généralement attention à la notion de consentement du personnel. Notons à ce sujet que le nouveau critère d’un consentement valable implique qu’il soit donné à des fins spécifiques, de surcroit «manifeste, libre et éclairé». En pratique, quand c’est nécessaire, chaque employé devra donc réellement consentir, après lui avoir demandé dans des documents distincts du reste des documents d’emploi. Attention, cela place la barre relativement haute!

À ce sujet, il faudra d’ailleurs dorénavant aussi faire bien attention à l’usage de systèmes divers permettant de surveiller, d’identifier ou de localiser nos employés et d’amasser des données quant à eux. Il faudra notamment informer le personnel visé des raisons sérieuses le justifiant et obtenir leur consentement à cet usage de renseignements les concernant, etc.. En un mot comme en mille, la période où on faisant ce qu’on voulait à ce sujet est bien révolue au Québec.

Autre obligation déjà en vigueur, depuis la semaine dernière: on doit désigner un responsable de la protection des renseignements personnels dans chaque organisation, incluant en diffusant cette information, dont auprès du public et des employés. Cette obligation s’avère conforme dans ce qui se faire dans bon nombre d’autres juridictions et n’a donc rien de bien surprenant. Chaque entreprise et organisation devrait donc en principe avoir quelqu’un (qu’il soit à l’interne ou à l’externe) qui soit chargé de ce genre de questions. Dans le cours normal des choses, on devrait choisir pour ce faire un membre de la haute direction détenant l’expertise nécessaire à gérer le genre de données qu’on possède, un individu qu’on devrait munir de l’autorité nécessaire afin de combler ce rôle.

Désormais, il est aussi important de noter que la Loi exigera qu’on rapporte à la Commission d’accès à l’information (la «CAI»), le chien garde québécois quant à ce genre de question), les incidents éventuels de sécurité ayant potentiellement résulté dans la perte ou la fuite de données personnelles. Cela comprendra les cas où on réalise avoir été la cible de pirates informatiques, les pertes d’ordinateurs portables contenant des données sensibles, etc. Côté salariés, à compter de maintenant, les employés désirant se plaindre des pratiques de leur employeur quant à leurs données pourront d’ailleurs porter plainte auprès de la CAI.

Bien que ce ne soit pas toutes les dispositions de la Loi qui soit déjà en vigueur (l’entrée en vigueur s’avère graduelle d’ici à 2024), une partie de celles-ci le sont déjà -attention et faites vos devoirs!

Codes 2FA par texto: l’illusion de la sécurité renforcée?

Publié le par

Bien que la technologie d’authentification à deux facteurs («2FA», dans le jargon) s’avère une excellente façon de blinder et sécuriser nos comptes d’accès à des applis et des services en ligne, la réalité demeure que la chaine n’est aussi solide que son maillon le plus faible. Dans le cas de 2FA, un article récent trouvé sur TechRepulic soulignait qu’une pratique laxiste de plusieurs organisations (dont des banques!) nous donne parfois l’illusion de sécurité en configurant mal ce dispositif.

Le problème dont on parle ici c’est le fait que certaines entreprises permettent aux usagers de recevoir leurs codes 2FA par textos (SMS), par opposition à les recevoir directement par l’entremise d’utilitaires logiciels de génération de code 2FA, tel Google Authentificator. En pratique, la vaste majorité des cas où une intrusion se produit (malgré l’activation et l’utilisation de 2FA sur un compte visé), c’est parce qu’on permettait la communication des codes 2FA par SMS. L’inverse se produit, mais cela demeure très marginal.

Pour ceux et celles qui ne le font pas encore, sachez que tous vos comptes qui le permettent (encore plus au travail) devraient être configurés par vous afin d’utiliser une seconde méthode d’authentification, par un dispositif de style 2FA. Dans le monde d’aujourd’hui, ne pas le faire s’avère ni plus ni moins qu’une faute, dont le coup pourrait être l’exposition de vos données ou de celles de vos clients en cas de hack (intrusion informatique, etc.).

En fait, tous les experts en cybersécurité s’entendent pour dire que permettre la transmission de codes 2FA par SMS rend ce genre de système beaucoup plus faible, au point où on recommande dorénavant de complètement retirer cette fonctionnalité des systèmes d’authentification. Dans la mesure où la législation requiert dorénavant se déployer des moyens raisonnables afin de sécurisé les données qu’on détient pour/sur autrui, on arrive rapidement à un point où utiliser une appli ou un service transmettant des codes 2FA par texto pourrait aussi être vu comme de la négligence. Oui, vraiment.

Le hic de ce côté, c’est que nombre d’entreprise, continuent encore de configurer leurs systèmes, pour permettre aux utilisateurs qui le désirent, d’éviter devoir utiliser une application telle Google Authentificator, en se tournant plutôt vers des textos par l’entremise desquels les codes peuvent leur être transmis. En le permettant, ces organisations bernent en quelque sorte leurs usagers, en leur permettant de croire que leur compte est blindé.

Et vous, vos applis et services en ligne permettent-ils encore de vous envoyer vos code 2FA par textos? Si oui, vos comptes en question ne sont pas aussi sécures que vous pouviez le croire -désolé. Si c’est crucial pour votre organisation ou implique l’accès aux données d’autrui, vous voulez peut-être reconsidérer l’utilisation des applis ou des services en question. Alternativement, bon à savoir que plusieurs applis/services permettent dorénavant de désactiver cette combinaison 2FA/SMS, ce que tout usager soucieux de voir à la sécurité de ses données devrait définitivement faire.

Tout connecté, tout par abonnement: le bonheur du contrôle continu par les fabricants

Publié le par

Les médias rapportent récemment plusieurs affaires qui donnent à réfléchir, particulièrement quant à la tendance du marché de tout rendre disponible par abonnement, par des appareils de plus en plus connectés et susceptibles de contrôle à distance.

La première histoire, c’est celle dont parle cet article au sujet d’une nouvelle tendance de certains constructeurs automobiles (dont BMW) qui ont réalisé que, tant qu’à avoir des voitures connectées, pourquoi ne pas activer ou désactiver certaines fonctionnalités, selon que le propriétaire de la voiture paie ou non un frais mensuel pour telle ou telle fonctionnalité. Cet article cite donc l’exemple de BMW, en Corée du sud, qui permet l’utilisation des certaines fonctionnalités (sièges chauffants ou volant chauffant) si le propriétaire du véhicule paie un frais d’abonnement mensuel -à défaut, on désactive la fonctionnalité.

Oui, vous lisez bien, vous achetez la voiture mais PAS toutes les fonctionnalités (bien que les pièces fassent partie du véhicule), certaines ne seront en réalité disponibles pour usage que si vous payez un abonnement additionnel. C’est un peu comme le modèle du service de radio Sirius™ mais, cette fois, par rapport à du matériel existant qu’on active ou désactive, selon le cas. Je ne sais pas pour vous, mais personnellement, je trouve qu’il y a quelque chose là-dedans de dérangeant.

La seconde histoire dont je veux vous parler sur ce thème provient de cet article et touche cette fois des tracteurs de marque JOHN DEERE, volés par les forces Russes en Ukraine puis rendus inopérants à distance. Le concept est similaire à celui des sièges chauffants de BMW, mais ici le manufacturier a carrément désactivé les tracteurs au complet, quand il a été informé du vol d’un lot de ces machines. Résultat: les Russes ont mis le grappin sur plusieurs millions de dollars d’équipement de ferme rendu, depuis, totalement inutile.

Celle-là illustre qu’il peut certes y avoir du bon dans cette capacité à tout contrôler à distance, bien qu’il n’est pas très difficile de concevoir des usages plus néfastes et/ou abusifs de ce genre de capacités techniques.

La troisième histoire du genre qui m’a frappé cette semaine, c’est celle-ci issue d’un article révélant qu’une société du groupe Amazon a avoué parfois transmettre aux forces de l’ordre des images tirées de caméras RING installées chez des consommateurs, sans leur permission. Eh oui, tant qu’à contrôler un parc de caméras, pourquoi ne pas en faire profiter les policiers, de dire essentiellement la filiale d’Amazon, étant entendu que c’est pour le bien commun et, donc, qu’on ne devrait pas faire tout un plat de l’absence de mandat ou de consentement des propriétaires d’appareils. Vraiment? Oui, vraiment.

Comme vous pouvez le voir, il se dessine une tendance à mettre en marché puis laisser le public et les entreprises utiliser des appareils et des machines connectés, dont le contrôle réel réside de plus en plus ailleurs que dans les mains de l’acheteur ou de l’utilisateur. Avec l’adoption généralisée du modèle d’abonnement joint au tout connecté, la chose devient non-seulement viable mais aisée à faire. Pendant ce temps, nous, les utilisateurs peuvent très bien ne pas soupçonner que la donne a changé, dont quant à la possibilité pour les manufacturiers de se garder le contrôle, même une fois un objet carrément acheté. Auparavant, c’était techniquement impensable; de nos jours, on s’achemine rapidement vers quelque chose d’habituel.

La prochaine fois que vous vous munissez d’un appareil (fusse-t-il une caméra, une voiture ou un tracteur), posez sérieusement la question: que pourra continuer à faire le fabriquant après l’achat (à distance), en plus de mettre le firmware de l’appareil à jour? Vous pourriez être étonné de la réponse!