Transformation numérique et cartes d’identité: le projet en chantier au Québec

Le journal La Presse rapportait récemment les propos du Ministre Éric Claire qui confirme que la province du Québec est à préparer un portefeuille numérique qui, dès ce printemps, pourrait permettre aux citoyens de prouver leur identité lorsque requis. Le système permettrait son chargement sur un téléphone cellulaire, par exemple.

L’idée, déjà en phase de déploiement ailleurs dans le monde, serait de déployer un système permettant aux individus de prouver leur identité lorsqu’un fonctionnaire, les forces de l’ordre ou une entreprise quelconque nous demande de le faire. Le système viserait donc à remplacer les cartes physiques (tels le permis de conduire) que l’archaïque gouvernement du Québec nous force encore à trimbaler dans notre porte-monnaie.

Le système envisagé aurait aussi l’avantage de permettre de ne fournir aux commerçants, par exemple, que les renseignements qui s’avèrent réellement utiles à une transaction, par opposition à un permis de conduire actuel, lequel révère des choses au marchand qu’on pourrait vouloir ne pas lui fournir. 

Semble que le Québec espère pouvoir combiner la preuve d’identité au transactionnel, ce qui s’avère peut-être en fournir plus au client qu’il n’en demande, franchement. Selon moi, commençons par permettre d’authentifier les individus de façon numérique, le reste suivra bien!

À voir maintenant combien de temps et pour quel coût notre gouvernement parviendra (ou pas) à déployer cette merveille annoncée.

La nouvelle Loi sur la protection de la vie privée des consommateurs: dix millions de dollars ou 3% des recettes globales brutes!

Comme on le voyait hier, le gouvernement a déposé son projet de loi afin de moderniser la loi canadienne (fédérale) en matière de renseignements personnels. Le projet de loi en question est le projet C-11, dont le titre abrégé est Loi de 2020 sur la mise en œuvre de la Charte du numérique.

Eh bien, on l’avait demandé et notre législateur semble nous avoir entendus! Les changements qu’apporterait ce projet sont MAJEURS et je n’exagère pas. La LPRPDE datait de 2000, eh bien la nouvelle mouture, elle, est bien une loi de 2020-2021, pas de doute!

Officiellement, ce projet de loi vise à faciliter et à promouvoir le commerce électronique au moyen de la protection des renseignements personnels. Techniquement, la loi qu’on adopterait en adoptant ce projet de loi est la Loi sur la protection de la vie privée des consommateurs (la «Loi»).

En somme, selon ce qu’on peut voir en survolant ce projet, le Canada tente de se mettre à la page avec sa version du règlement européen de 2019 en matière de données personnelles. Pas de doute, nous faisons un grand pas en avant avec ce projet de loi, notamment avec des pouvoirs accrus pour les autorités afin de mieux protéger les personnes et leurs renseignements et des amendes substantielles pour les délinquants — ENFIN!

La nouvelle Loi s’appliquera à toute organisation à l’échelle interprovinciale ou internationale quant aux renseignements personnels qu’elle collecte, utilise ou communique dans le cadre d’activités commerciales ou à ceux de ses employés. La loi continuera donc de ne pas viser les individus dans le cadre de fins personnelles ou domestiques, aux fins journalistiques, artistiques ou littéraires, etc.

Ce projet couvre des sujets tels :

  • L’obligation de ne recueillir, utiliser ou communiquer des renseignements personnels qu’à des fins qu’une personne raisonnable estimerait acceptables dans les circonstances;
  • L’obligation de publier, dans un langage clair, des renseignements sur les politiques et les pratiques que l’entreprise a mises en place;
  • De nouvelles règles quant au consentement, son contenu, sa forme et le moment pour le donner;
  • L’interdiction d’obliger un individu à fournir son consentement pour recevoir des biens ou des services, si ce n’est pas réellement nécessaire;
  • L’interdiction de recueillir des renseignements à l’insu de l’individu, sauf des renseignements dépersonnalisés ou pour recouvrer une créance, par exemple;
  • Permettre l’utilisation pour la vérification diligente en cas de fusion/acquisition;
  • Des règles sur les renseignements dépersonnalisés et les procédés techniques et administratifs pour y arriver;
  • L’obligation de protéger les renseignements personnels au moyen de mesures de sécurité matérielles, organisationnelles et techniques et d’aviser les victimes en cas d’incident de sécurité;
  • L’obligation de nommer un responsable de la conformité à la Loi, dans chaque entreprise;
  • L’obligation de mettre en œuvre un programme de gestion de la protection des renseignements personnels, dans chaque entreprise, qui tienne compte du volume et de la nature sensible des données qu’elle gère;
  • Des règles en matière de mobilité des renseignements personnels (c.-à-d. portabilité des données);
  • Les systèmes décisionnels automatisés;
  • L’instauration d’un nouveau Tribunal de la protection des renseignements personnels et des données;
  • Des pouvoirs accrus pour le commissaire;
  • Un système de plaintes et d’enquêtes par le Commissaire et d’ordonnance en cas de violation de la Loi par une entreprise, et (oh joie!) la possibilité de recommander qu’une pénalité soit infligée à l’organisation! OMG

Comme c’est ce qui intéresse tout le monde, voici le paragraphe quant aux pénalités éventuelles :

Le montant maximal de la pénalité pour l’ensemble des contraventions visées par la recommandation est de dix millions de dollars ou de 3 % des recettes globales brutes de l’organisation au cours de son exercice précédant celui pendant lequel la pénalité est infligée, si ce montant est plus élevé.

Nous en sommes évidemment à la première étape du processus d’adoption et ce projet pourrait évidemment être substantiellement modifié d’ici son adoption. À tout événement, cela augure bien!

Le fédéral amorcerait cette semaine la refonte de sa loi en matière de renseignements personnels

Après l’amorce du bal par le Québec récemment (avec son projet de loi 68), le gouvernement fédéral annonçait cette semaine que nous aurions sous peu droit à son propre projet de loi visant à refondre sa loi en matière de renseignements personnels! Cela se produirait, selon toute vraisemblance, cette semaine même. C’est du moins ce qu’annonçait une Publication de la chambre publiée au feuilleton hier qui indique le point suivant au menu de la semaine à venir :

12 novembre 2020 — Le ministre de l’Innovation, des Sciences et de l’Industrie — Projet de loi intitulé « Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois ».

Selon plusieurs, l’idée serait d’effectuer une modification d’ampleur de la Loi sur la protection des renseignements personnels et les documents électroniques (la «LPRPDE», ou «PIPEDA», de son acronyme en anglais) afin de l’amener au XXIe siècle à son tour. Les changements d’ampleur amèneraient même le législateur à modifier jusqu’au nom de cette loi et en y incluant, c’est à prévoir, des pouvoirs accrus pour le commissaire à la vie privée et des droits additionnels pour les individus, comme la portabilité de leurs données, le droit de faire supprimer ses données des plateformes en ligne, le droit de retirer son consentement à la communication ou à la vente de ses renseignements, etc.

Le projet viendra sans doute aussi viser les grandes sociétés d’Internet, afin de mieux les réglementer, en créant au passage une nouvelle commission qui en sera chargée. À voir ce que seront les pouvoirs de ce nouveau Tribunal de la protection des renseignements personnels et des données.

Bref, on peut prévoir un tremblement de terre majeur dans ce domaine, similaire à ce qu’on nous annonçait cet été au Québec. Ça brasse et ce n’est pas une mauvaise chose!

Instagram : cet espion dans votre poche?

Instagram et Facebook font l’objet d’une action collective aux États-Unis quant à l’accès à la caméra de certains cellulaires sans réelle permission des usagers. Si vous avez jamais envisagé que certaines applis vous espionnent, eh bien, il semble que ce ne soit pas de la pure paranoïa!

En effet, même si elles prétendent n’accéder à la caméra des appareils que quand un usager se sert de la caméra en utilisant l’application sur un appareil iPhone, la société Facebook et sa filiale Instagram accéderaient, semble-t-il, aux caméras pendant que l’appli est simplement activée. Selon ce que je comprends, en pratique, l’appli Instagram aurait donc été configurée pour considérer que l’usager «utilise» l’appli dès que celle-ci a été invoquée par l’usager, peu importe que ce soit 5 secondes, 5 minutes ou 5 jours avant. Vraiment? Oui, vraiment, semble-t-il (on parle pour l’instant d’allégations dans une poursuite, évidemment). C’est du moins ce qu’on semble apprendre en lisant la procédure déposée aux États-Unis par un usager au nom de l’ensemble des usagers qui auraient été ainsi espionnés par Facebook et sa filiale.

La nouvelle quant à cette forme d’espionnage émerge depuis juillet, suite à une mise à jour du système d’exploitation iOS, lequel permet dorénavant aux usagers de constater quelles applis utilisent (dans l’instant) la caméra de leur appareil, en temps réel.

L’action collective serait en cours d’examen par le tribunal, à savoir si l’affaire pourra aller de l’avant parce que suffisamment bien fondée. Parmi les allégations, on parle évidemment d’intrusion dans la vie privée des usagers (pensez-vous?) et de violation de la loi américaine en matière d’interception de communications privées, etc.

Les procédures introductives demandent notamment à ce que le tribunal considère d’ordonner à Instagram et Facebook de payer l’équivalent d’une pénalité dont le montant serait basé sur la quantité industrielle de profits générés par ces sociétés.

De son côté, Instagram et la maison-mère Facebook prétendent qu’il ne s’agit que d’une anicroche involontaire découlant d’une erreur de programmation dans l’iOS. Hmmm, ah oui, en anglais «passing the buck» — un classique!

En passant, je suis tombé sur cette affaire par l’entremise d’un vlogue (Vive Frei Vlawg) que je vous recommande, si vous aimez ce format et le droit. Bon visionnement si vous avez 20 minutes dans ce cas-ci.

Une autre raison pour moi de me féliciter d’avoir adopté Android.

Le Québec réformera finalement sa loi en matière de renseignements personnels – et comment!

On déposait finalement cette semaine un projet de loi visant à mettre à jour la vétuste loi québécoise en matière de renseignements personnels. Le Projet de loi 64 vise à donner un sérieux coup de volant afin d’amener le droit québécois (en la matière) au XXIe siècle.

Ce projet de loi viendrait passablement chambarder le droit s’appliquant à la collecte, à l’usage et à la communication de renseignements personnels au Québec, toujours sous réserve néanmoins de la loi fédérale à ce sujet. Le document d’une soixantaine de pages vise à moderniser l’ensemble du cadre législatif applicable à ce genre de renseignements, autant dans le secteur public que dans le secteur privé. Oui, c’est une réforme tous azimuts largement inspirée (et c’était annoncé) de l’expérience européenne des dernières années, avec son règlement GDPR.

Si ce projet de loi est adopté, le Québec sera dorénavant à son tour doté d’un outil législatif sérieux visant à imposer de réelles obligations aux entreprises. L’initiative se veut similaire à ce qui s’applique désormais en Europe. On ne va pas aussi loin, mais c’est la tendance pour laquelle opte le Québec, d’une façon peut-être un peu timide, mais tout de même très réelle.

On ajouterait notamment des éléments déjà présents dans la loi fédérale (notamment en matière d’incidents de sécurité et de politiques de gestion des renseignements), en plus de sérieusement renforcer la loi québécoise, y compris en matière de consentement à obtenir des individus et d’études de facteurs en matière de vie privée, etc. On baliserait notamment dorénavant de façon plus concrète quand et comment un consentement doit être obtenu, par exemple en exigeant des consentements distincts, qui ne peuvent être glissés subrepticement parmi d’autres échanges avec les individus, ou encore en exigeant des consentements exprès lorsqu’on traite de renseignements de nature sensible.

La loi modifiée par ce projet créerait d’ailleurs aussi un régime particulier quant aux renseignements de profilage, d’identification ou de localisation, afin de restreindre ce genre de pratiques ou, du moins, d’en baliser l’usage.

Au passage, on augmenterait évidemment aussi les pénalités auxquelles s’exposeront les entreprises délinquantes (on parle désormais de millions et pas de milliers de dollars), et même un droit de recours direct pour les individus lésés.

Bien que je n’aie pas encore pris connaissance de tout ce qui se trouve dans cette nouvelle mouture proposée de la loi québécoise, il est déjà clair pour moi qu’on passerait d’une loi anémique à une loi passablement plus robuste (et adoptée à l’ère numérique) en matière de gestion des renseignements personnels. À la bonne heure!

Restera ensuite à voir si les entreprises québécoises saisiront toute l’importance de cette question, après 25 ans d’une loi québécoise en matière de renseignements personnels souvent ignorée ou même ridiculisée. La transition vers ce nouveau régime sera intéressante à observer, pas de doute! Attache ta tuque!