La nouvelle Loi sur la protection de la vie privée des consommateurs: dix millions de dollars ou 3% des recettes globales brutes!

Comme on le voyait hier, le gouvernement a déposé son projet de loi afin de moderniser la loi canadienne (fédérale) en matière de renseignements personnels. Le projet de loi en question est le projet C-11, dont le titre abrégé est Loi de 2020 sur la mise en œuvre de la Charte du numérique.

Eh bien, on l’avait demandé et notre législateur semble nous avoir entendus! Les changements qu’apporterait ce projet sont MAJEURS et je n’exagère pas. La LPRPDE datait de 2000, eh bien la nouvelle mouture, elle, est bien une loi de 2020-2021, pas de doute!

Officiellement, ce projet de loi vise à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels. Techniquement, la loi qu’on adopterait en adoptant ce projet de loi est la Loi sur la protection de la vie privée des consommateurs (la «Loi»).

En somme, selon ce qu’on peut voir en survolant ce projet, le Canada tente de se mettre à la page avec sa version du règlement européen de 2019 en matière de données personnelles. Pas de doute, nous faisons un grand pas en avant avec ce projet de loi, notamment avec des pouvoirs accrus pour les autorités afin de mieux protéger les personnes et leurs renseignements et des amendes substantielles pour les délinquants — ENFIN!

La nouvelle Loi s’appliquera à toute organisation à l’échelle interprovinciale ou internationale quant aux renseignements personnels qu’elle collecte, utilise ou communique dans le cadre d’activités commerciales ou à ceux de ses employés. La loi continuera donc de ne pas viser les individus dans le cadre de fins personnelles ou domestiques, aux fins journalistiques, artistiques ou littéraires, etc.

Ce projet couvre des sujets tels :

  • L’obligation de ne recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances;
  • L’obligation de publier, dans un langage clair, des renseignements sur les politiques et les pratiques que l’entreprise a mises en place;
  • De nouvelles règles quant au consentement, son contenu, sa forme et le moment pour le donner;
  • L’interdiction d’obliger un individu à fournir son consentement pour recevoir des biens ou des services, si ce n’est pas réellement nécessaire;
  • L’interdiction de recueillir des renseignements à l’insu de l’individu, sauf des renseignements dépersonnalisés ou pour recouvrer une créance, par exemple;
  • Permettre l’utilisation pour la vérification diligente en cas de fusion/acquisition;
  • Des règles sur les renseignements dépersonnalisés et les procédés techniques et administratifs pour y arriver;
  • L’obligation de protéger les renseignements personnels au moyen de mesures de sécurité matérielles, organisationnelles et techniques et d’aviser les victimes en cas d’incident de sécurité;
  • L’obligation de nommer un responsable de la conformité à la Loi, dans chaque entreprise;
  • L’obligation de mettre en œuvre un programme de gestion de la protection des renseignements personnels, dans chaque entreprise, qui tienne compte du volume et de la nature sensible des données qu’elle gère;
  • Des règles en matière de mobilité des renseignements personnels (c.-à-d. portabilité des données);
  • Les systèmes décisionnels automatisés;
  • L’instauration d’un nouveau Tribunal de la protection des renseignements personnels et des données;
  • Des pouvoirs accrus pour le commissaire;
  • Un système de plaintes et d’enquêtes par le Commissaire et d’ordonnance en cas de violation de la Loi par une entreprise, et (oh joie!) la possibilité de recommander qu’une pénalité soit infligée à l’organisation! OMG

Comme c’est ce qui intéresse tout le monde, voici le paragraphe quant aux pénalités éventuelles :

Le montant maximal de la pénalité pour l’ensemble des contraventions visées par la recommandation est de dix millions de dollars ou de 3 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée, si ce montant est plus élevé.

Nous en sommes évidemment à la première étape du processus d’adoption et ce projet pourrait évidemment être substantiellement modifié d’ici son adoption. À tout événement, cela augure bien!

Le fédéral amorcerait cette semaine la refonte de sa loi en matière de renseignements personnels

Après l’amorce du bal par le Québec récemment (avec son projet de loi 68), le gouvernement fédéral annonçait cette semaine que nous aurions sous peu droit à son propre projet de loi visant à refondre sa loi en matière de renseignements personnels! Cela se produirait, selon toute vraisemblance, cette semaine même. C’est du moins ce qu’annonçait une Publication de la chambre publiée au feuilleton hier qui indique le point suivant au menu de la semaine à venir :

12 novembre 2020 — Le ministre de l’Innovation, des Sciences et de l’Industrie — Projet de loi intitulé « Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois ».

Selon plusieurs, l’idée serait d’effectuer une modification d’ampleur de la Loi sur la protection des renseignements personnels et les documents électroniques (la «LPRPDE», ou «PIPEDA», de son acronyme en anglais) afin de l’amener au XXIe siècle à son tour. Les changements d’ampleur amèneraient même le législateur à modifier jusqu’au nom de cette loi et en y incluant, c’est à prévoir, des pouvoirs accrus pour le commissaire à la vie privée et des droits additionnels pour les individus, comme la portabilité de leurs données, le droit de faire supprimer ses données des plateformes en ligne, le droit de retirer son consentement à la communication ou à la vente de ses renseignements, etc.

Le projet viendra sans doute aussi viser les grandes sociétés d’Internet, afin de mieux les réglementer, en créant au passage une nouvelle commission qui en sera chargée. À voir ce que seront les pouvoirs de ce nouveau Tribunal de la protection des renseignements personnels et des données.

Bref, on peut prévoir un tremblement de terre majeur dans ce domaine, similaire à ce qu’on nous annonçait cet été au Québec. Ça brasse et ce n’est pas une mauvaise chose!

Cachez ce code HTML dans votre nom d’entreprise, que je ne saurais voir

On rapporte qu’un entrepreneur anglais se faisait récemment demander par le registraire des entreprises de ce pays de changer le nom de sa société, qu’il avait nommé par du code HTML, en l’occurrence «““>». La raison? Le code pose un risque dans certaines circonstances, quand un usager tente d’interagir avec un nom dans la base de données du registraire anglais.

Le code en question avait le potentiel de permettre de générer une attaque informatique connue sous le nom de «cross-site scripting» («XSS») à partir du site du Companies House (l’équivalent anglais du Registraire des entreprises du Québec) et de son API. Le XSS est un type de faille qui permet à un tiers d’injecter son propre code dans celui qui dirige un site légitime vers le fureteur des visiteurs, résultant potentiellement dans l’exécution d’un programme qui n’a rien à voir avec le site que l’usager voulait consulter — étant entendu que ce code peut alors être n’importe quoi, incluant du code malicieux.

Ici, l’API en question est une interface que rend disponible le registraire anglais afin de permettre qu’on interroge sa base de données sans devoir passer par son site comme tel. En combinaison avec une requête comprenant les caractères composant le nom de la société en question, cela aurait permis d’exécuter du code tiers, ce qui aurait possiblement compris du code dangereux.

Bien que l’entrepreneur en question n’avait aucune mauvaise intention ici, le registraire lui a tout de même demandé de bien vouloir modifier le nom de sa société, ce qu’il a accepté de faire, en la renommant «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD».

Bref, cela ouvrait une brèche qu’on a maintenant colmatée, mais qui démontre bien que les registraires d’entreprises ont avantage à mieux valider les noms commerciaux qui entrent dans leurs bases de données. Ce n’est pas quelque chose que le gouvernement avait prévu en élaborant ses règles quant aux noms commerciaux qui s’avèrent acceptables pour inscription sur le registre des entreprises. Bienvenue en 2020!

Les diffuseurs de films et d’émissions en ligne dans la mire du législateur canadien

Les médias rapportaient hier matin que le gouvernement fédéral canadien envisage sérieusement de légiférer pour mieux encadrer les diffuseurs de contenu en ligne, comme Netflix, Amazon Prime Video, Disney+ et Crave.

Le but ici serait de dorénavant mieux encadrer ce type de diffusion de contenu, jusqu’à maintenant largement demeurée libre de faire ce qu’on y veut, incluant par rapport au contenu canadien, etc. Selon le ministre du Patrimoine, il n’est pas approprié que nos diffuseurs traditionnels, eux, soient contraints par nos lois, alors que Netflix et compagnie ne le sont pas du tout, ou du moins très peu.

Le Conseil de la radiodiffusion et des télécommunications canadiennes (le «CRTC») pourrait donc se voir octroyer une nouvelle juridiction sur les diffuseurs en ligne, à l’instar de ce qu’il fait déjà par rapport aux diffuseurs traditionnels, comme Radio-Canada. On présente le tout comme une question d’équité, alors que la nouvelle donne laisse nos diffuseurs ordinaires en situation de désavantage dans le marché.

Selon le ministre:

Le projet de loi, espère le ministre Guilbeault, viendra combler l’écart concurrentiel entre les diffuseurs canadiens traditionnels et leurs concurrents en ligne, qui sont souvent basés à l’étranger. Il permettra en outre à l’État de recueillir 830 millions de dollars d’ici 2023, selon ses estimations.

Peut-on inscrire un resto, contre son gré, à un service de commande en ligne?

Le service GrubHub, un concurrent de services comme Uber Eat et DoorDash, fait récemment l’objet d’une poursuite, aux États-Unis, liée au fait que certains restaurateurs s’estiment lésés parce que leurs établissements ont été inscrits sans leur accord. Selon eux, le fait qu’un tiers (GrubHub) rend des services associés à leurs restaurants leur cause préjudice, puisque c’est fait sans aucune rémunération ni aucun contrôle par le restaurant visé, lequel peut ensuite en subir les contrecoups sans en avoir adéquatement bénéficié.

Cette affaire survient dans un contexte où les très populaires services de livraison de repas de restos ont découvert, au cours des dernières années, qu’on pouvait bien ne pas attendre l’accord de chaque établissement pour le placer dans la liste des endroits desquels on pouvait commander. Pourquoi attendre, disent-ils. J’ai simplement à ajouter le resto, à mettre son menu dans mon site, à recevoir les commandes, puis à contacter moi-même le resto pour faire préparer le repas en question, que je passe ensuite chercher, avant de le livrer au client. Je fais de l’argent, le resto aussi. Où est le problème?

Eh bien, des restaurateurs américains ont récemment déposé des procédures judiciaires alléguant que ce genre de pratique est problématique et préjudiciable. Certes, les restos font un profit sur chacune des livraisons, mais cela ne suffit pas, selon eux, puisqu’ils perdent ainsi une part de contrôle sur l’expérience des clients avec leur établissement. En gros, puisque la livraison fait partie des services accessoires, la nature ou la qualité de ces services de livraison se reflète sur l’établissement. Lorsque le service est de piètre qualité ou que des erreurs se glissent dans la commande (ce qui serait fréquent), est-ce normal que la réputation du resto soit entachée, alors qu’il n’a pas été impliqué? C’est essentiellement la question qui se pose ici.

La poursuite allègue qu’au final, une fois certains consommateurs refroidis par le piètre service de livraison, ceux-ci peuvent tout simplement cesser de commander de chaque restaurant visé, causant ainsi un préjudice économique clair, lequel justifierait l’octroi de dommages-intérêts. Un argument pourrait aussi être avancé que l’utilisation de la marque de chaque resto, de cette façon, équivaut à de la contrefaçon ou, à tout le moins, est susceptible d’affecter l’achalandage lié à ces marques de commerce. Bref, il y a certainement place à un beau dossier de litige commercial.

Il semble que cette inscription involontaire constitue une partie de la stratégie de mise en marché habituelle de GrubHub, si bien que des dizaines de milliers de restaurants seraient potentiellement inclus dans la liste des victimes, et donc membres du groupe de cette action collective.

Poursuite contre Amazon concernant son service de diffusion en continu: quand un achat de film n’en est pas un

La société Amazon, exploitante de la plateforme Amazon Prime Video, tentait cette semaine de faire rejeter une action collective contre elle (aux États-Unis, vous vous en douterez), liée à l’achat de films par ses usagers. La poursuite en question allègue qu’Amazon berne ses usagers en utilisant le mot «Buy» tout en se réservant le droit éventuel de mettre fin à l’accès à ce contenu par l’«acheteur». Selon Amazon, le dossier est caduc, puisque la requérante n’a pas subi de préjudice, étant toujours une abonnée d’Amazon et ayant toujours accès à tous les films qu’elle a achetés au fil du temps. La question demeure théorique et le juge devrait donc refuser d’instruire l’affaire pour cette raison.

En fait, selon la requête que déposait cette semaine Amazon dans ce dossier (et visant à faire rejeter l’action), la requérante est essentiellement dans le champ en prétendant avoir été lésée par les pratiques de la plateforme Amazon Prime Video. D’ailleurs, selon Amazon, ses modalités contractuelles sont claires: ce qu’achète un usager lorsqu’il fait un «achat» (de film) par l’entremise de sa plateforme, c’est une licence de visionnement d’une durée illimitée, du moins tant que dure l’abonnement de cet usager.

En somme, oui, on dit «acheter», mais on parle en réalité de l’achat d’une simple permission de visionnement — subtilité juridique qui peut bien échapper à bon nombre de consommateurs. Par conséquent, un «acheteur» disposera de son «achat» uniquement aussi longtemps qu’il demeure abonné chez Amazon (évidemment). En plus (et c’est là que cela devient intéressant), son droit ne persiste que tant qu’Amazon possède encore elle-même une licence à partir de laquelle elle peut octroyer de telles sous-licences à ses usagers. Si Amazon perd le droit d’offrir un film précis en diffusion continue, alors ses usagers le perdent aussi, logiquement. En droit, il serait difficile de prétendre autrement.

Amazon prétend aussi qu’il est clair, à la lecture de ses modalités contractuelles, qu’un titre «acheté» par un usager peut éventuellement cesser d’être disponible parce qu’il aura été retiré de la bibliothèque d’Amazon Prime Video. Pour la demanderesse dans le dossier, ça, ce n’est pas clair dans l’esprit du consommateur moyen, puisqu’on utilise le mot «buy». Selon Amazon, le fait que l’usager en question n’a pas pris connaissance de son contrat ne change rien à l’affaire, puisqu’en droit, on est présumé avoir lu les modalités des contrats qu’on conclut. Bref, Amazon dit: j’ai fait mes devoirs; en droit, cela fonctionne: cessez de tenter de me dire que mon usage du mot Buy n’a pas été adéquatement qualifié par tout ce que j’ai pris la peine de mettre dans mon contrat en ligne.

Bien que je comprenne parfaitement la position juridique d’Amazon, il faut avouer qu’un tel «achat» de film (que ce soit chez Amazon ou sur d’autres plateformes du genre) possède, au final, assez peu de caractéristiques de l’achat d’une chose. Aurait-on trop étiré le sens du mot «ACHETER»? Si mon voisin me vend sa tondeuse, mais qu’il se réserve le droit (dans un document écrit qu’il me remet à l’achat) de venir la chercher si un autre voisin la lui avait prêtée, peut-il vraiment dire qu’il me l’a vendue? La question se pose.

Remarquez bien, je ne dis pas que la position juridique d’Amazon ici soit mauvaise, mais peut-être devrait-on collectivement cesser d’employer un verbe aussi vendeur (sans mauvais jeu de mots) que le mot « Achat» (ou «Buy») sur les plateformes de diffusion en continu? D’accord, on tente ainsi de greffer des concepts d’achat/de location qui sont aisément compris par tous, parce qu’ils sont en vigueur depuis l’époque du Beta/VHS. Mais peut-être le temps est-il venu de concevoir une nouvelle terminologie pour remplacer linguistiquement des concepts qui reflétaient simplement la réalité en 1980… soit il y a quarante ans!

Il serait intéressant de voir quelle décision prendrait l’usager moyen si, au moment de cliquer, on lui présentait clairement une réelle explication de ce qu’il «achète» en diffusion continue, incluant toutes les situations qui pourraient, éventuellement, lui faire perdre «son» film.

Plan américain «Clean Network»: vers la balkanisation de l’Internet?

Je lisais ce matin sur la BBC que le gouvernement américain lançait cette semaine une initiative visant à créer ce qu’il appelle un «clean network», à savoir un Internet accessible aux États-Unis dont on aurait purgé les aspects chinois, afin de protéger les citoyens américains, en leur fournissant une version épurée et sécuritaire de l’Internet. On vise ainsi notamment à endiguer le problème majeur de sécurité que la pleine ouverture du réseau Internet a généré depuis 20 ans, notamment quant aux attaques et à l’espionnage (industriel) trop facile qu’il permettait jusqu’à maintenant, généralement à partir de l’étranger et de la Chine en particulier.

Le plan américain couvrira 5 aspects de ce qui compose l’Internet et dont on éliminerait la présence chinoise, incluant les applis, les réseaux et équipements connectés au réseau, l’infonuagique, etc.

Image

Comme c’est toujours le cas avec ce genre d’idée, la motivation déclarée de la déclaration en question vise un but louable, en suggérant entre autres qu’on bloque désormais les applications auxquelles on ne peut pas faire confiance, par exemple parce qu’issues de la Chine, etc. On commencera ainsi à épurer l’Internet en coupant (aux États-Unis) l’utilisation d’applis comme TikTok et WeChat, incluant leur préinstallation sur des appareils mobiles, etc. On imposera aussi des contraintes aux entreprises qui offrent de la connectivité aux États-Unis, afin qu’elles évitent d’inclure dans leurs infrastructures des composantes issues de fournisseurs chinois, etc.

Bien que cela puisse sembler antinomique, il s’avère intéressant de réaliser que l’Internet n’a pas nécessairement à demeurer pleinement international. Rien n’empêche en effet certains pays (comme la Russie et la Chine) de décider qu’il vaut mieux compartimenter le réseau, afin de doter un pays de frontières numériques, en quelque sorte. Même si on n’est pas à considérer une frontière comme celle que la Chine a placée autour de sa version de l’Internet, on parle tout de même de contraindre dorénavant ce qui fait de l’Internet un réseau pleinement international, aux États-Unis du moins.

C’est à se demander si le conflit latent entre les États-Unis et la Chine est sur le point de briser notre joujou préféré.