Transformation numérique et cartes d’identité: le projet en chantier au Québec

Le journal La Presse rapportait récemment les propos du Ministre Éric Claire qui confirme que la province du Québec est à préparer un portefeuille numérique qui, dès ce printemps, pourrait permettre aux citoyens de prouver leur identité lorsque requis. Le système permettrait son chargement sur un téléphone cellulaire, par exemple.

L’idée, déjà en phase de déploiement ailleurs dans le monde, serait de déployer un système permettant aux individus de prouver leur identité lorsqu’un fonctionnaire, les forces de l’ordre ou une entreprise quelconque nous demande de le faire. Le système viserait donc à remplacer les cartes physiques (tels le permis de conduire) que l’archaïque gouvernement du Québec nous force encore à trimbaler dans notre porte-monnaie.

Le système envisagé aurait aussi l’avantage de permettre de ne fournir aux commerçants, par exemple, que les renseignements qui s’avèrent réellement utiles à une transaction, par opposition à un permis de conduire actuel, lequel révère des choses au marchand qu’on pourrait vouloir ne pas lui fournir. 

Semble que le Québec espère pouvoir combiner la preuve d’identité au transactionnel, ce qui s’avère peut-être en fournir plus au client qu’il n’en demande, franchement. Selon moi, commençons par permettre d’authentifier les individus de façon numérique, le reste suivra bien!

À voir maintenant combien de temps et pour quel coût notre gouvernement parviendra (ou pas) à déployer cette merveille annoncée.

La nouvelle Loi sur la protection de la vie privée des consommateurs: dix millions de dollars ou 3% des recettes globales brutes!

Comme on le voyait hier, le gouvernement a déposé son projet de loi afin de moderniser la loi canadienne (fédérale) en matière de renseignements personnels. Le projet de loi en question est le projet C-11, dont le titre abrégé est Loi de 2020 sur la mise en œuvre de la Charte du numérique.

Eh bien, on l’avait demandé et notre législateur semble nous avoir entendus! Les changements qu’apporterait ce projet sont MAJEURS et je n’exagère pas. La LPRPDE datait de 2000, eh bien la nouvelle mouture, elle, est bien une loi de 2020-2021, pas de doute!

Officiellement, ce projet de loi vise à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels. Techniquement, la loi qu’on adopterait en adoptant ce projet de loi est la Loi sur la protection de la vie privée des consommateurs (la «Loi»).

En somme, selon ce qu’on peut voir en survolant ce projet, le Canada tente de se mettre à la page avec sa version du règlement européen de 2019 en matière de données personnelles. Pas de doute, nous faisons un grand pas en avant avec ce projet de loi, notamment avec des pouvoirs accrus pour les autorités afin de mieux protéger les personnes et leurs renseignements et des amendes substantielles pour les délinquants — ENFIN!

La nouvelle Loi s’appliquera à toute organisation à l’échelle interprovinciale ou internationale quant aux renseignements personnels qu’elle collecte, utilise ou communique dans le cadre d’activités commerciales ou à ceux de ses employés. La loi continuera donc de ne pas viser les individus dans le cadre de fins personnelles ou domestiques, aux fins journalistiques, artistiques ou littéraires, etc.

Ce projet couvre des sujets tels :

  • L’obligation de ne recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances;
  • L’obligation de publier, dans un langage clair, des renseignements sur les politiques et les pratiques que l’entreprise a mises en place;
  • De nouvelles règles quant au consentement, son contenu, sa forme et le moment pour le donner;
  • L’interdiction d’obliger un individu à fournir son consentement pour recevoir des biens ou des services, si ce n’est pas réellement nécessaire;
  • L’interdiction de recueillir des renseignements à l’insu de l’individu, sauf des renseignements dépersonnalisés ou pour recouvrer une créance, par exemple;
  • Permettre l’utilisation pour la vérification diligente en cas de fusion/acquisition;
  • Des règles sur les renseignements dépersonnalisés et les procédés techniques et administratifs pour y arriver;
  • L’obligation de protéger les renseignements personnels au moyen de mesures de sécurité matérielles, organisationnelles et techniques et d’aviser les victimes en cas d’incident de sécurité;
  • L’obligation de nommer un responsable de la conformité à la Loi, dans chaque entreprise;
  • L’obligation de mettre en œuvre un programme de gestion de la protection des renseignements personnels, dans chaque entreprise, qui tienne compte du volume et de la nature sensible des données qu’elle gère;
  • Des règles en matière de mobilité des renseignements personnels (c.-à-d. portabilité des données);
  • Les systèmes décisionnels automatisés;
  • L’instauration d’un nouveau Tribunal de la protection des renseignements personnels et des données;
  • Des pouvoirs accrus pour le commissaire;
  • Un système de plaintes et d’enquêtes par le Commissaire et d’ordonnance en cas de violation de la Loi par une entreprise, et (oh joie!) la possibilité de recommander qu’une pénalité soit infligée à l’organisation! OMG

Comme c’est ce qui intéresse tout le monde, voici le paragraphe quant aux pénalités éventuelles :

Le montant maximal de la pénalité pour l’ensemble des contraventions visées par la recommandation est de dix millions de dollars ou de 3 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée, si ce montant est plus élevé.

Nous en sommes évidemment à la première étape du processus d’adoption et ce projet pourrait évidemment être substantiellement modifié d’ici son adoption. À tout événement, cela augure bien!

Les jetons crypto non fongibles, vous connaissez?

Le concept de la chaîne de blocs («blockchain», en anglais) continue de faire des petits. Derniers en lice, les «jetons non fongibles» qui, comme les biens qu’on qualifie de «non fongibles» en droit, sont des jetons numériques reliés à une chose unique, qu’on ne peut échanger contre une autre sans différence. Une pièce de monnaie, par exemple, est généralement fongible, en ce sens qu’une autre aura les mêmes propriétés et la même valeur que la première. Comme un grain de sable dans la dune, peu importe que vous ayez celui-ci ou celui-là, c’est du pareil au même. On peut les échanger l’une pour l’autre… même chose avec une pièce virtuelle de cryptomonnaie, d’ailleurs, puisque ce bitcoin-là a la même valeur que celui-ci.

Par opposition, les jetons crypto non fongibles («non-fungible tokens», ou «NFT») sont des jetons (numériques) reliés à un objet unique qui peut être n’importe quoi, d’une œuvre d’art à un lingot d’or, en passant par des biens virtuels ou des objets de collection, comme des cartes de baseball précises, etc. On utiliserait d’ailleurs de plus en plus ce concept pour tracer des biens virtuels, incluant de tels «biens» issus de jeux d’ordinateur en ligne.

L’avantage? Une fois lié à l’objet, le jeton peut dès lors servir de forme de traçage et de certification de la provenance de l’objet, puisque le registre de la chaîne de blocs peut dès lors suivre le transfert de l’objet tangible en question d’un acheteur à un autre, puis un autre, etc.

Bien que le concept ne soit pas pertinent pour tous les échanges ou les biens, il est bon de savoir que le concept existe, particulièrement pour les biens de collection, etc. C’est un développement intéressant sous la rubrique de l’évolution continue du droit de la propriété des intangibles et des outils numériques reliés à certains biens tangibles. À défaut de registre quant à la propriété des biens (sauf en immobilier) géré par l’État ou le droit, la technologie cherche à combler le vide.

Cachez ce code HTML dans votre nom d’entreprise, que je ne saurais voir

On rapporte qu’un entrepreneur anglais se faisait récemment demander par le registraire des entreprises de ce pays de changer le nom de sa société, qu’il avait nommé par du code HTML, en l’occurrence «““>». La raison? Le code pose un risque dans certaines circonstances, quand un usager tente d’interagir avec un nom dans la base de données du registraire anglais.

Le code en question avait le potentiel de permettre de générer une attaque informatique connue sous le nom de «cross-site scripting» («XSS») à partir du site du Companies House (l’équivalent anglais du Registraire des entreprises du Québec) et de son API. Le XSS est un type de faille qui permet à un tiers d’injecter son propre code dans celui qui dirige un site légitime vers le fureteur des visiteurs, résultant potentiellement dans l’exécution d’un programme qui n’a rien à voir avec le site que l’usager voulait consulter — étant entendu que ce code peut alors être n’importe quoi, incluant du code malicieux.

Ici, l’API en question est une interface que rend disponible le registraire anglais afin de permettre qu’on interroge sa base de données sans devoir passer par son site comme tel. En combinaison avec une requête comprenant les caractères composant le nom de la société en question, cela aurait permis d’exécuter du code tiers, ce qui aurait possiblement compris du code dangereux.

Bien que l’entrepreneur en question n’avait aucune mauvaise intention ici, le registraire lui a tout de même demandé de bien vouloir modifier le nom de sa société, ce qu’il a accepté de faire, en la renommant «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD».

Bref, cela ouvrait une brèche qu’on a maintenant colmatée, mais qui démontre bien que les registraires d’entreprises ont avantage à mieux valider les noms commerciaux qui entrent dans leurs bases de données. Ce n’est pas quelque chose que le gouvernement avait prévu en élaborant ses règles quant aux noms commerciaux qui s’avèrent acceptables pour inscription sur le registre des entreprises. Bienvenue en 2020!

Reconnaissance faciale et IA: la pelote de laine à démêler

On peut lire ce matin dans les médias qu’un Québécois demande au tribunal d’autoriser une action collective contre le bailleur de centres commerciaux Cadillac Fairview relativement à l’utilisation de bornes lui ayant permis de recueillir les images et les données biométriques de millions de visiteurs sans leur consentement. Pour le requérant, le bailleur aurait ainsi violé le droit des clients à leur vie privée en vertu de la Charte des droits et libertés de la personne.

Le système de pointe installé par ce bailleur dans certains centres commerciaux au Québec aurait capté l’image de visiteurs consultant l’appareil, et ce, sans les aviser que leur image était ainsi captée puis analysée, notamment pour décliner certaines données comme le sexe de la personne. Bien qu’on n’était pas au point de tenter d’identifier les personnes précisément, la pratique a tout de même de quoi nous préoccuper, selon plusieurs.

Fait intéressant, le Commissariat à la protection de la vie privée du Canada («Commissariat») réclamait justement récemment des mesures de protection de la vie privée plus solides quant à l’élaboration et l’utilisation de technologies liées à la reconnaissance faciale et aux systèmes d’intelligence artificielle (IA). L’annonce publiée la semaine dernière mentionnait les défis qui se présentent à nous en matière de reconnaissance faciale et d’intelligence artificielle. Elle reprenait, en gros, le thème du problème que présente pour la société canadienne l’activation de systèmes qui peuvent désormais vous ficher instantanément et même vous reconnaître.

Le potentiel de dérapage est évidemment énorme, ce qui justifie de nous poser dès maintenant de sérieuses questions quant à ce qu’on peut faire pour restreindre ou baliser l’adoption trop débridée de ce type de technologies.

Google s’en tire malgré sa copie illicite de la base de données (de paroles de chansons) d’un tiers

Je lisais ce matin un article intéressant impliquant Google et une société américaine nommée Genius Media Group, en matière de droit d’auteur et de contrats. On rapportait en effet ce matin un jugement de la Cour fédérale américaine mettant fin à une réclamation contre Google pour avoir copié le contenu de la base de données de paroles que Genius a compilé à des fins de revente de données. Ce que Genius reprochait à Google, c’est d’avoir épluché («scraped») d’une façon automatisée le contenu de la base de données qu’elle a placée en ligne, afin d’utiliser les données en question (les paroles de chansons) à ses propres fins. Bref, Genius prétend simplement que Google a fait ce qui est normalement impossible de faire, à savoir de prouver que le texte résultant chez Google n’a pas simplement été recopié d’une source autre mais provenait bien directement de la base de données de Genius. En pratique, Genius serait parvenue à le faire en insérant dans ses données des filigranes («watermarks») que le système de Google a copié au passage, en même temps que le reste du texte, quand son robot a épluché le site de Genius afin d’en extraire les textes. C’est un peu comme l’histoire des erreurs factuelles insérées à dessein dans les questions de Quelques arpents de piège (dans les années 1980) et qui ont permis de démontrer que des tiers avaient copié la liste de questions en entier, incluant ces erreurs. Même si elle a démontré que Google avait bien copié le contenu de sa base de données, Genius s’est butée cette semaine à une formalité liée au droit américain et voit sa réclamation devant les tribunaux avorter. Ce qu’il faut comprendre ici, c’est que Genius ne possède aucun droit d’auteur quant aux paroles des chansons en question; elle n’est en effet que détentrice d’une licence des artistes et des maisons de disques. La base de son recours devant les tribunaux devait donc se centrer sur le fait que les modalités contractuelles du site de Genius interdisent de copier sa base de données, notamment en l’épluchant comme Google l’a fait. Or, le hic pour Genius, selon le juge, c’est que le droit américain laisse le soin à la Cour fédérale de trancher en matière de droit d’auteur. Oui, vous pouvez vous présenter devant un autre tribunal pour vous plaindre du non-respect d’un contrat, pourvu que vous invoquiez quelque chose de plus que le non-respect des droits d’auteur. Selon le juge ici, le fait pour Genius de se plaindre de l’épluchage de sa base de données (une simple reproduction, en un sens) n’est rien de plus qu’un recours déguisé en contrefaçon de droit d’auteur, pas une véritable question de violation de contrat. Selon le juge, la base de données de Genius est une simple œuvre dérivée des œuvres originales (les paroles des chansons en question), dont l’existence repose presque entièrement sur les œuvres initiales. Le travail de transcription effectué par Genius ne change pas le fait qu’ici, on se plaignait d’une reproduction des œuvres originales par Google. Bref, si on évacue du recours intenté par Genius contre Google les questions de droit d’auteur, il ne reste essentiellement rien qui puisse justifier des procédures devant les tribunaux. La réclamation de Genius doit donc tomber. Il s’agit ici d’un bon exemple du fait que l’interaction entre le droit d’auteur et le droit des contrats peut s’avérer problématique. C’est aussi une bonne illustration du fait que les modalités de services d’un site Web ont leur utilité, oui, mais qu’en pratique, ce n’est pas parce qu’un tiers viole ces modalités qu’au final on pourra nécessairement s’en plaindre.