Protéger les données personnelles

Il y a trois ans, la législation fédérale relative à la protection des renseignements personnels dans le secteur privé a été mise à niveau. On y a renforcé les exigences imposées aux entreprises utilisant des renseignements personnels. Pendant ce temps, au Québec, on s’en tient à implorer les entreprises de faire preuve de bonne volonté.

Les nouvelles règles s’appliquent depuis le 1er novembre aux organisations assujetties à la loi fédérale sur les renseignements personnels. Elles obligent à déclarer au Commissariat à la protection de la vie privée du Canada toute atteinte aux mesures de sécurité dès lors que cela a engendré un « risque réel de préjudice grave ». Les entreprises doivent aussi aviser les individus touchés par une telle atteinte lorsque cela crée un risque réel de préjudice grave. Elles doivent conserver un registre de toutes les atteintes aux mesures de sécurité qui touchent les renseignements personnels dont elles ont la gestion.

De telles mesures sont préconisées depuis longtemps par les spécialistes de la protection des renseignements personnels. Elles visent à inciter les entreprises à analyser proactivement leurs obligations en matière de protection des renseignements personnels et à renforcer les précautions pour prévenir les pertes de données.

Les entreprises québécoises

Le Québec accuse un grand retard dans la mise à niveau de ses règles encadrant les renseignements personnels. Pour l’heure, les entreprises relevant de la compétence du Québec peuvent notifier volontairement les incidents relatifs aux données personnelles auprès de la Commission d’accès à l’information (CAI), l’organisme québécois responsable de superviser l’application de la législation sur les renseignements personnels. Mais pour les obliger à le faire, il faudra que la loi soit modifiée.

Elle est loin l’époque où le Québec était à l’avant-garde dans la protection des renseignements personnels. C’est encore pire pour les obligations relatives aux données massives (big data) où l’on semble résigné à s’en remettre à la bonne volonté des multinationales.

Dans le secteur public, la protection des renseignements personnels est devenue un prétexte pour refuser de rendre des comptes sur les dysfonctionnements des services aux citoyens. Par exemple, lorsque les médias mettent au jour des déficiences des services publics qui concernent des individus en racontant les démêlés subis par de vraies personnes, il est de pratique fréquente pour les organismes publics de refuser de répondre aux questions en brandissant leurs obligations de protéger les renseignements personnels. Les individus ont beau avoir dénoncé les bavures à visage découvert, la protection de leur vie privée est servie comme un prétexte pour ne pas répondre aux questions embarrassantes !

Pour le secteur privé relevant du Québec, hormis quelques mesures ad hoc, le législateur québécois n’a rien fait pour mettre à niveau les protections de la vie privée afin de refléter les enjeux que posent désormais les environnements connectés.

Les réductions de ressources ont fait en sorte qu’il n’y a pratiquement personne au Québec qui se donne la peine de sensibiliser les entreprises aux enjeux pourtant cruciaux de la protection des données personnelles. On a droit tout au plus à un timide communiqué de mise en garde lorsqu’une crise éclate au sujet d’incidents mettant en péril la sécurité des données personnelles.

Intrant crucial

Les données personnelles sont pourtant un intrant crucial de la création de valeur dans les univers numériques. À quelles conditions des entités privées peuvent-elles s’approprier cette valeur ? Le Québec se veut un chef de file en intelligence artificielle ; on serait en droit d’attendre des politiques proactives encadrant les conditions dans lesquelles on collecte et utilise les données. On constate plutôt un troublant désintérêt des autorités québécoises pour un cadre juridique capable de procurer de réelles garanties contre les dérapages.

La société numérique requiert un cadre juridique qui garantit l’intégrité et la confiance au sein des univers connectés. Par exemple, à quelles conditions les renseignements personnels et autres données massives doivent-ils être collectés ? Comment doivent-ils être protégés ? Une loi modernisée sur la protection de la vie privée doit obliger les entreprises à de vraies précautions à l’égard des données portant sur les individus.

Dans la société numérique et connectée, les données sont une ressource aussi cruciale que l’eau et l’air. Pour assurer les équilibres, il faut un cadre juridique qui protège les données et assure le partage équitable de la valeur que celles-ci permettent de générer. Il ne suffit pas de s’en tenir aux couplets habituels sur l’importance de protéger la vie privée.