Auteur
Associé, Respect de la vie privée et gestion de l'information, Toronto
Les organisations ont été confrontées à une spirale de questions complexes en matière de protection des renseignements personnels et de gouvernance des données au cours de 2019, une autre année riche en événements dans ce domaine du droit.
La notification obligatoire en cas d’atteinte après une année
Novembre 2019 a marqué la première année complète de notification obligatoire en cas d’atteinte aux termes de la Loi sur la protection des renseignements personnels et des documents numériques (LPRPDE).
Le Commissariat à la protection de la vie privée du Canada (CPVP), l’organisme chargé de l’application des lois sur la protection de la vie privée, a indiqué sur son blogue que les violations de données qui lui ont été signalées au cours des 12 derniers mois ont augmenté d’environ 600 %. Selon le CPVP, plus de 28 millions de Canadiens ont été touchés par ces atteintes à la protection des données signalées, dont 58 % découlaient d’un accès non autorisé et le quart impliquait des attaques d’ingénierie sociale.
Ces statistiques correspondent certainement à une tendance que nous avons constatée avec nos clients. De nombreuses grandes sociétés canadiennes ont cherché de l’aide après avoir vécu des expériences extrêmement pénibles liées à des rançongiciels et à des tentatives d’extorsion de données qui menaçaient leur réputation, sans parler de leurs activités. De nombreuses autres organisations ont demandé de l’aide de façon proactive afin de créer des plans d’intervention dynamiques en cas d’atteinte et d’être ainsi bien préparées à des attaques de ce genre, au besoin.
Transferts de données à des tiers
L’agitation entourant les règles applicables aux transferts de données à des tiers aux fins de traitement s’est finalement calmée après une année tumultueuse. Ce branle-bas a été déclenché par un changement dans la position de principe de longue date du CPVP lorsqu’il a constaté, à l’occasion d’une enquête sur une affaire de violation de données, qu’Equifax Canada aurait dû obtenir le consentement de ses clients avant d’envoyer leurs données à sa société mère américaine aux fins de traitement de leurs demandes à l’égard de certains produits offerts directement au consommateur.
Le CPVP a par la suite lancé des consultations afin de recueillir les commentaires d’un plus grand nombre d’intervenants sur la question de savoir si cette exigence de consentement devrait être généralisée. Le CPVP a reçu 87 commentaires d’intervenants (voir les observations d’Osler sur AccessPrivacy ici). La grande majorité d’entre eux étaient d’avis que la loi actuelle n’exige pas de consentement pour les transferts aux fins de traitement et qu’une telle exigence entrainerait d’« énormes défis » pour les processus opérationnels des organisations.
Visiblement influencé par tous les contre-arguments convaincants qu’il a reçus, le CPVP a décidé d’adopter une approche souple et pragmatique reposant sur le bon sens, et a rétabli ses lignes directrices antérieures de 2009, Transfert transfrontalier de renseignements personnels, qui n’exigeaient pas de consentement aux fins de traitement. Toujours d’avis que les mesures existantes de protection de la vie privée sont manifestement insuffisantes, le CPVP s’est engagé à formuler des recommandations pour renforcer ces protections dans le contexte de la réforme de la LPRPDE.
La réforme de la LPRPDE
En ce qui concerne la réforme de la LPRPDE, une application plus stricte, une responsabilité accrue et des exceptions possibles au consentement faisaient partie des points suscitant beaucoup d’intérêt. Conjointement au dévoilement de la Charte numérique, Innovation, Sciences et Développement économique (comme dénommé alors) a publié son livre blanc intitulé « Renforcer la protection de la vie privée dans l’ère numérique » (livre blanc sur la LPRPDE), comprenant un certain nombre de propositions pour moderniser la LPRPDE. Parallèlement, Justice Canada a publié une autre série de documents de consultation proposant également une « révision » en profondeur de la loi sur la protection de la vie privée du secteur public du Canada.
Toutefois, dans les semaines qui ont précédé les élections fédérales d’octobre 2019, toutes les consultations ont été suspendues par respect pour la convention de transition. Fait intéressant, l’élection fédérale de 2019 a elle-même accru la nature pressante des questions de protection de la vie privée et de sécurité des données dans l’esprit des Canadiens. Pour la première fois, la protection des renseignements personnels des Canadiens a fait son entrée explicite dans les plateformes électorales de tous les grands partis.
Une résolution unanime des commissaires fédéraux, provinciaux et territoriaux du Canada réclamant une réforme des lois sur la protection de la vie privée et l’accès est susceptible de raviver le sentiment d’urgence sous le nouveau gouvernement minoritaire, alors que ce dossier est en concurrence avec de nombreuses autres priorités pour recevoir de l’attention. Dans le discours du Trône 2019, le gouvernement s’est engagé à faire progresser « le développement et l’utilisation éthique de l’intelligence artificielle » et à revoir « les règles qui encadrent le nouvel environnement numérique de manière qu’elles soient équitables pour tous ». Il reste à voir quels compromis devront être faits et avec quels autres partis, dans les mois à venir. Les premières déclarations du ministre de l’Innovation, des Sciences et de l’Industrie indiquent que le gouvernement est résolument engagé à faire avancer la réforme de la loi sur la protection des renseignements personnels. Si une proposition législative doit effectivement être déposée au cours de la prochaine session parlementaire, des dispositions d’exécution plus strictes feront immanquablement partie de l’ensemble des modifications.
Application accrue à l’échelle internationale
L’application accrue de la loi a assurément été un thème majeur à l’échelle internationale. Les autorités internationales de protection des données se sont fermement engagées à collaborer plus étroitement sur les mesures d’application de la loi et à faciliter la coopération avec les organismes de réglementation dans les domaines connexes de la concurrence et de la protection du consommateur, dans le but d’établir des normes de protection des données plus cohérentes à l’ère de l’économie numérique.
La Conférence internationale des commissaires à la protection des données et de la vie privée (CICPDVP) s’est tenue à Tirana, en Albanie, en octobre 2019. La CICPDVP a adopté un certain nombre de résolutions internationales reflétant sa perspective convergente à l’égard de certaines des questions les plus pressantes de l’heure en matière de protection des données. Les commissaires ont invité les intervenants concernés à répondre à la nécessité d’implanter des mesures de protection appropriées pour réduire le rôle de l’erreur humaine dans les violations de données, et ont exhorté les fournisseurs de médias sociaux à prendre des mesures pour arrêter la diffusion de contenu extrémiste en ligne à l’aide de leurs plateformes, tout en continuant de protéger la liberté d’expression.
Plus intéressant encore, une résolution parrainée par le CPVP a enjoint aux gouvernements partout dans le monde de réaffirmer leur engagement ferme à l’égard de la protection de la vie privée en tant que droit fondamental, vital à la protection d’autres droits démocratiques. Les entreprises ont été appelées à prouver leur responsabilité en respectant activement la vie privée et les autres droits de la personne comme un élément essentiel de la conformité juridique, de la responsabilité sociale d’entreprise et d’une approche éthique en affaires.
Règlement général sur la protection des données de l’UE
Toujours sur la scène internationale, le Règlement général sur la protection des données (RGPD) de l’UE en est à sa deuxième année d’existence. De nombreuses sociétés mondiales ont affiné leurs cadres de conformité en matière de protection de la vie privée alors que les autorités européennes chargées de la protection des données ont pris de l’assurance dans leur rôle d’application en imposant de lourdes amendes contre les sociétés non conformes.
Nouvelles mesures de protection de la vie privée en Californie
L’engouement à l’égard du RGPD a donné lieu cette année à la California Consumer Protection Act (CCPA). Devant entrer en vigueur le 1er janvier 2020, la CCPA a volé la vedette sur la scène internationale en 2019 non seulement à cause de son contenu en tant que tel, mais également en raison de sa forte influence sur un grand nombre d’autres États américains qui emboîtent le pas à la Californie en adoptant ou en proposant des lois étatiques semblables. Ce mouvement a suscité de fortes activités de lobbyisme de la part de certains géants d’Internet concernant l’adoption d’une loi fédérale américaine sur la protection de la vie privée plus cohérente et unifiée.
Nouvelles initiatives d’autoréglementation
Enfin, au cours de la dernière année, un nombre croissant d’intervenants ont pris eux-mêmes des mesures proactives en l’absence de réforme de la loi afin de trouver des moyens plus novateurs de protéger les données. Certains ont accepté l’invitation des organismes de réglementation à participer aux bacs à sable réglementaires, tandis que d’autres ont élaboré des cadres éthiques pour l’utilisation de l’intelligence artificielle et des technologies novatrices d’amélioration de la protection de la vie privée.
Notons par exemple le lancement officiel du Canadian Anonymization Network (CANON), une société sans but lucratif enregistrée cofondée par AccessPrivacy et plusieurs autres organisations de premier plan dans les secteurs public, privé et de la santé. CANON appuie la mission commune de promouvoir l’anonymisation comme moyen d’exploiter, dans le respect de la vie privée, des données en vue d’en tirer des avantages sociaux et économiques.
Parmi ses premiers livrables, CANON a répondu à la demande de commentaires de l’ISDE sur les questions de désidentification et les possibilités soulevées dans son livre blanc sur la LPRPDE. Dans ses observations (en anglais), CANON a recommandé d’uniformiser les normes et les définitions. CANON a également recommandé un cadre législatif équilibré qui reconnaît les aspects contextuels de l’anonymisation, qui adopte une approche davantage axée sur les risques, qui clarifie le rôle du consentement et qui laisse place à des codes de pratique de l’industrie qui permettent d’utiliser les données de façon flexible, novatrice et favorable, tout en offrant une protection raisonnable contre les risques prévisibles à l’égard de la vie privée.
Si la protection de la vie privée était dans l’œil du public en 2019, elle promet d’être une question encore plus criante en 2020 alors que le Canada cherche à moderniser ses lois en matière de protection de la vie privée et que le reste du monde augmente la pression.