Archives de l’étiquette : donnéespersonelles

Le Québec adopte sa nouvelle loi quant à la protection des données personnelles

Publié le par

Eh bien, notre législateur provincial n’a effectivement pas tardé à adopté sa version révisée du Projet de loi 64, alors que la nouvelle loi en résultant était finalement adoptée la semaine dernière. La loi refondue visant à protéger les renseignements personnels au Québec est ainsi publiée en version finale. C’est donc maintenant fait, le Québec s’est mis à la page pour ce qui est de ses propres règles (dont sa Loi sur la protection des renseignements personnels dans le secteur privé) visant à renforcer la protection des données que manipulent les entreprises à l’intérieur de la province.

Comme le mentionnaient récemment les médias, le Législateur espère ainsi débarrasser le Québec de sa «culture de négligence» désinvolte par rapport aux pratiques d’entreprise en matière de renseignements personnels. Avec une loi datant de la préhistoire des données, le Québec faisait jusqu’ici figure de parent pauvre de la protection des données, la plupart des entreprises préférant ne pas entendre parler de ce sujet, fort de l’impression (réelle!) que la loi québécoise n’avait que très peu de chances de mener à de véritables sanctions, même si on finissait par se faire prendre les doigts dans le piège à souris.

La nouvelle loi comporte des dispositions modernisées inspirées du règlement européen (le fameux  Règlement général sur la protection des données, ou «RGPD»), assorties de réelles sanctions pour les entreprises jugées délinquantes. Avec des amendes éventuelles pouvait s’élevées à des millions de dollars, on croit que la loi québécoise a ce dont elle a besoin pour FINALEMENT attirer l’attention des dirigeants d’entreprises, incluant ceux de simples PME, jugeant souvent jusqu’ici ne pas réellement avoir à se préoccuper de ce genre de choses.

Eh oui, bien qu’on le sache depuis longtemps (en principe), toute organisation qui collecte, utilise, partage ou communique des données à caractère personnel de tiers DOIT se conformer aux règles en matière de protection des renseignements visés. La négligence (ou l’aveuglement volontaire) quant à ces règles pourra désormais coûter cher aux organisations délinquantes, bien que la Commission d’accès à l’information (la «CAI»), affirme qu’elle « prendra en compte la capacité de payer des entreprises » en faisant appliquer cette loi.

La loi vient notamment aussi réaffirmer clairement qu’un consentement explicite, libre et éclairé s’avère nécessaire AVANT toute utilisation de données personnelles, à l’instar de ce qui se fait par exemple en Europe.

Malgré son adoption formelle par le Québec, la majorité des dispositions de la nouvelle loi n’entreront réellement en vigueur (dont ses amendes éventuelles) que dans deux (2) ans, le 22 septembre 2023.

Par contre, un petit nombre de dispositions entreront, elles, en vigueur dès septembre 2022, dont les celles qui prévoient l’obligation pour les entreprises d’aviser les victimes (et la CAI) des incidents tels de piratage informatique et qui auraient exposés leurs données à des fuites. En vertu de la nouvelle loi, en effet, toutes les organisations ont l’obligation de déployer des mesures de sécurité appropriés afin de protéger le genre de renseignements personnels qu’elles détiennent quant à autrui.

D’ici là, la CAI et nos entreprises ont pas mal de devoirs à faire pour se préparer à cette nouvelle réalité.

L’outil iVe et la quantité effarante de données qu’emmagasine votre véhicule, notamment en les téléchargeant de votre cellulaire

Publié le par

Le magazine en ligne The Intercept publiait récemment un excellent article intitulé YOUR CAR IS SPYING ON YOU, AND A CBP CONTRACT SHOWS THE RISKS que je vous recommande. Si vous l’ignoriez, oui, votre voiture génère, enregistre et télécharge pas mal de renseignements, y compris lorsque vous branchez votre téléphone cellulaire – c’est très réel.

L’article en question parle surtout d’enquêtes par les forces de l’ordre (enquêtant sur des crimes), mais l’histoire va en réalité bien plus loin que cela. En effet, chose intéressante qu’ignorent la plupart des gens: ce genre de chose se produit aussi (et plus souvent encore) du côté privé. En fait, l’accès aux données contenues dans les véhicules s’avère possible pour quiconque veut vraiment s’en donner la peine, ce qui peut comprendre, par exemple, votre assureur auto. Si vous avez un accident ou même une simple réclamation, eh oui, l’assureur pourrait très bien demander à voir le véhicule et alors y brancher un appareil lui permettant d’en extraire toutes les données qui pourraient s’avérer pertinentes, incluant toutes celles du genre énumérées ci-après. Bienvenue en 2021!

L’article discute spécifiquement d’un outil qu’utilisent allègrement les policiers et les assureurs, qui se nomme iVe, le produit d’une société nommée Berla. La boîte à outils d’iVe comporte des composantes matérielles et des composantes logicielles, dont sa propre appli mobile, question de faciliter la vie aux enquêteurs, eh oui.

Cet outil, on l’utilise ni plus ni moins que pour siphonner toute l’information et tous les renseignements qui pourraient subsister dans les modules électroniques des véhicules, à des fins d’enquête. Ce produit identifie, acquiert et analyse toutes sortes d’information issue des véhicules modernes – vous en seriez renversés. On peut d’ailleurs voir sur le site du producteur de l’outil un aperçu du genre de données qu’on peut aller chercher, incluant :

  • Les données de géolocalisation quant à là où le véhicule a circulé (évidemment), incluant les routes et rues empruntées, etc.;
  • Les événements rencontrés par le véhicule et que ses capteurs peuvent déceler;
  • Les fichiers de médias (contenus) qu’on a chargés dans le système d’infodivertissement (la musique, les balados, etc.);
  • La liste des appareils qu’on y a branchés au fil du temps, incluant la signature individuelle de chacun, etc.

En pratique, il semble qu’on peut même aller chercher par l’entremise de cet outil des listes de contacts stockées dans les appareils mobiles qui ont été branchés, l’historique et des copies de SMS ou de courriels, des listes d’appels entrants ou sortants, la liste des chansons qu’on a écoutées, etc. En gros, votre véhicule est une passoire à renseignements personnels, du moins pour ceux qui se donnent la peine de se munir du bon outil pour les extraire.

Parmi les «incidents» qui sont enregistrés par les véhicules, on peut notamment penser au déploiement des coussins gonflables ou des choses uniquement liées à des accidents (évidemment), mais aussi, et c’est peut-être plus surprenant, des comportements du conducteur tels :

  • la vitesse du véhicule à tel ou tel moment;
  • l’engagement ou la progression des changements de vitesse;
  • les accélérations ou les freinages brusques;
  • le fait d’éteindre ou d’allumer les phares;
  • l’ouverture ou la fermeture des portières; etc.

Vous écoutiez la chanson PARANOID de Black Sabbath, en textant votre ami Simon, pendant que vous conduisiez à 163 km/h sur telle route de campagne quand vous avez perdu le contrôle? Eh oui, l’assureur peut le savoir, très précisément, sans aucune difficulté. Oui, à peu près tout ce que fait le conducteur d’un véhicule est enregistré dans les véhicules modernes (et plus encore quand on y a branché son cellulaire), souvent à l’insu de Monsieur et Madame Tout-le-Monde. Cela s’avère évidemment fort utile, notamment, pour les assureurs désirant refuser la couverture au moment d’un incident.

Si cela peut vous rassurer (un peu), l’outil iVe n’est pas à la portée de tous. L’article mentionne l’achat de trousses pour une somme de près de 100000$US chacune*.  À ce prix, votre assureur (ou ses enquêteurs) en possède – votre voisin (même amateur de voitures), probablement pas.

*Un contact me dit que le prix serait en réalité de quelques dizaines de milliers de dollars seulement, mais même à ce prix, on s’entend que ce n’est pas à la portée de tous.

Un ami ingénieur qui travaille dans les reconstitutions d’accidents et d’incidents impliquant des véhicules me confirme d’ailleurs que l’outil en question s’avère bien réel et fait effectivement partie de la trousse des experts comme lui. On ne parle pas de science-fiction, c’est très réel et concret, et l’information qu’on tire de ces outils est réellement utilisée par les forces de l’ordre et les assureurs quand ils mettent le grappin sur un véhicule après un incident, comme un accident ou un incendie.

La réalité, c’est que les modules embarqués sur nos véhicules modernes et la capacité d’y brancher des appareils mobiles s’avèrent des mines d’or pour ceux qui veulent se donner la peine d’y accéder.

Il semble d’ailleurs que certaines données sont nécessairement générées et/ou communiquées au véhicule, et ce, même si on répond NON au moment de brancher l’appareil, lorsque le véhicule nous demande si l’appareil mobile devrait en communiquer. Bref, tout ce qu’on fait avec nos appareils et véhicules laisse désormais des traces, prenez-en note!

Donc, si vous pensiez qu’un véhicule n’est qu’un véhicule ou que vos données personnelles sont protégées quand vous branchez votre mobile dans votre véhicule, ou encore qu’on ne peut accéder aux données que les véhicules accèdent ou génèrent quand vous les utilisez, détrompez-vous! Dans le monde actuel, plutôt qu’une batterie de tests sophistiqués effectués par une équipe d’experts dignes de la série CSI, tout ce dont auront souvent besoin les enquêteurs, c’est de se brancher à votre voiture.