Auteur(s) :
Adam Kardash
Le 18 décembre 2018
Les vastes fuites de données survenues un peu partout dans le monde ont retenu l’attention des conseils d’administration. Les conseils d’administration sont de plus en plus saisis par ce problème et commencent à poser des questions de plus en plus précises à la haute direction de leur organisation sur l’état de la sécurité et de la confidentialité au sein de celle-ci. Les organismes de réglementation ont vu leur mission renforcée pour assurer la protection des données et coordonnent leurs efforts à ceux des organismes de protection des consommateurs, de la concurrence et des droits de la personne pour contrer les géants mondiaux de l’Internet et prémunir contre les risques d’atteinte à la vie privée que présentent les modèles d’affaires nouveaux et émergents. Les parlementaires se préoccupent également de l’efficacité des lois canadiennes face à la croissance des cyberrisques menaçant la vie privée, l’infrastructure critique et même la démocratie. Comité après comité, rapport après rapport et recommandation après recommandation, on réclame un resserrement des lois sur la protection de la vie privée et l’octroi de pouvoirs et de ressources supplémentaires au Commissaire fédéral à la protection de la vie privée. Les particuliers sont de plus en plus furieux d’apprendre par les médias ce qu’il advient de leurs données personnelles en arrière-scène. Ils commencent à riposter en signant des pétitions, en déposant des plaintes et en ayant recours au boycottage.
En 2018, les enjeux en matière de vie privée et de sécurité se sont accrus dans tous les domaines, secteurs d’activité et pays, en raison des violations de données, et le Règlement général sur la protection des données (le RGPD) de l’Union européenne ainsi que l’éthique numérique ont attiré les projecteurs de l’actualité.
Le nouveau régime de déclaration obligatoire des atteintes aux données est maintenant en vigueur
Après des années de préparation, le nouveau régime de déclaration obligatoire des atteintes aux données en vertu de la LPRPDE, soit la loi fédérale du Canada qui régit la protection des renseignements personnels dans le secteur privé et les règlements qui s’y rattachent, est entré en vigueur en novembre 2018. Ces modifications comprennent l’obligation des entreprises de signaler au Commissaire à la vie privée les atteintes aux données dépassant un certain seuil. Pour aider à atténuer tout risque supplémentaire de préjudice, les personnes concernées doivent également être informées, de même que les organisations intéressées, comme la police et les sociétés de surveillance du crédit. Les entreprises doivent également conserver des dossiers à l’égard de toutes les atteintes à la vie privée, peu importe leur gravité, et doivent être en mesure de produire ces dossiers à la demande des organismes de réglementation.
À l’appui de ces nouvelles obligations, la LPRPDE a de nouveau été modifiée pour imposer des amendes potentiellement substantielles en cas de non-conformité. L’imposition d’amendes et de pénalités d’importance devrait assurément inciter les entreprises à se donner comme priorité d’adopter un plan de préparation et d’intervention en cas d’incident de violation de données. Au cours de la dernière année, Osler a aidé de nombreuses entreprises à élaborer ou à consolider un plan de ce genre.
Incidence mondiale du RGPD de l’Union européenne
Aucune revue de l’année 2018 portant sur la protection de la vie privée ne serait complète sans mentionner l’entrée en vigueur du RGPD de l’Union européenne (l’UE) en mai dernier. Le RGPD a eu un écho retentissant bien au-delà des frontières de l’UE. Pour satisfaire les exigences plus rigoureuses de l’UE, de nombreuses entreprises mondiales ont dû revoir les politiques sur la protection de la vie privée de l’ensemble de leurs sociétés apparentées et de leurs filiales, à des fins de normalisation et d’uniformité. Même les entreprises canadiennes qui n’ont pas d’établissements en UE ont dû se conformer aux exigences du RGPD dans la mesure où elles sont assujetties à la portée extraterritoriale de ses dispositions. Plus précisément, le RGPD s’applique aux entreprises qui offrent des biens ou des services à des personnes dont les données sont assujetties aux exigences de l’UE ou surveillent le comportement de ces personnes en UE, y compris au moyen de la publicité comportementale en ligne.
De plus, les législateurs dans divers pays, y compris le Canada, ont dû réexaminer l’état de leurs lois en matière de protection de la vie privée et de sécurité nationale s’ils voulaient obtenir (ou préserver, dans le cas du Canada) leur statut de conformité en vertu du RGPD. La préservation du statut de conformité est importante pour continuer de transférer facilement des données personnelles de part et d’autre de l’Atlantique lors d’échanges commerciaux entre le Canada et l’Europe.
Aux États-Unis, les lois étatiques pourraient inspirer des initiatives fédérales américaines
La situation au sud de la frontière a également été pleine de rebondissements en 2018. Après des années, voire des décennies de discours non suivis d’actions, le législateur s’est empressé d’adopter la California Consumer Privacy Act (la CCPA) dans un effort stratégique et ultime pour éviter la mise en place d’un régime de protection de la vie privée encore plus rigoureux qui devait être soumis à un référendum à l’échelle de l’État.
Promulguée le 23 septembre 2018, la CCPA devrait entrer en vigueur le 1er juillet 2020, compte tenu de modifications de fond qui devraient être examinées en 2019. Bien qu’elle soit toujours une cible en mouvement, la CCPA a pour effet indirect d’alimenter un solide lobby pour l’adoption d’une loi fédérale sur la protection de la vie privée aux États-Unis. Une telle mesure est vue comme une façon de dissuader de nombreux États à emboîter le pas à la Californie en adoptant leurs propres lois — ce qui risquerait de créer une mosaïque de normes inégales à l’échelle du pays et de présenter des problèmes pour les entreprises.
Le fait que le chef de la direction d’Apple, le vice-président principal de Google et le chef mondial de la protection de la vie privée de Facebook ont tous répondu par un « oui » retentissant à la question de savoir s’ils appuieraient une loi fédérale américaine sur la protection de la vie privée, lors de la 40e Conférence internationale des commissaires à la protection des données et de la vie privée qui s’est tenue en octobre dernier, est significatif.
L’éthique numérique se profile avec la venue de l’intelligence artificielle
L’éthique numérique a été le thème de cette 40e Conférence internationale. Les organismes de réglementation partout dans le monde commencent à explorer des façons de compléter les lois sur la protection de la vie privée par des cadres de gouvernance éthique pour répondre aux questions sociétales et morales découlant de l’utilisation de l’intelligence artificielle et de l’apprentissage automatique. Les autorités internationales de protection des données ont adopté à l’unanimité une Déclaration sur l’éthique et la protection des données dans le secteur de l’intelligence artificielle. La Déclaration est composée d’une série de principes directeurs incluant l’impartialité, la transparence des algorithmes, l’absence de discrimination, de réels processus de gouvernance, la nécessité de mettre en place des comités d’éthique indépendants et une approche d’éthique intégrée – dont toutes les entreprises entendront parler lors de l’adoption de futures mesures réglementaires.
Bien que le discours nous parvient de Bruxelles, il est particulièrement pertinent pour le Canada alors que celui-ci se positionne de façon stratégique pour devenir un chef de file mondial de l’intelligence artificielle (l’IA) et de l’apprentissage automatique. Au moment de la rédaction du présent article, le gouvernement canadien venait tout juste d’annoncer d’importants nouveaux investissements en IA, sous forme de financement consenti à six entreprises de développement de ce secteur.
Conclusion
Un certain nombre de nouveautés réglementaires sont entrées en vigueur en 2018. Parallèlement, le rythme accéléré de l’innovation technologique, y compris de l’IA, soulève de nouveaux risques complexes en matière de protection de la vie privée. D’importantes initiatives comme le Sidewalk Labs de Toronto et la « course » pour la sécurité routière des véhicules connectés et autonomes, ainsi que le maintien de notre avantage concurrentiel dans le domaine des produits pharmaceutiques personnalisés devraient offrir d’importants avantages économiques et sociaux pour les Canadiens, à la condition que nous puissions traiter les risques associés à la protection de la vie privée et les préoccupations éthiques que ces activités soulèvent et intégrer les mesures de protection nécessaires pour assurer leur déploiement de façon respectueuse et responsable.