La législation sur la protection des renseignements personnels ne cesse d’évoluer. Si vous fondez votre modèle d’entreprise sur la technologie des véhicules autonomes et comptez utiliser ne serait-ce qu’une infime partie des renseignements personnels obtenus des VA, il vous faudra tenir compte des dernières modifications apportées en la matière sur le plan juridique. Dans cet article, nous vous présentons certains aspects de la législation canadienne sur la protection des renseignements personnels et les faits nouveaux que vous devriez connaître et prendre en considération avant de mettre au point votre modèle d’entreprise.
Tour d’horizon de la législation sur la protection des renseignements personnels au Canada
Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE ») établit les règles de base régissant les méthodes utilisées par les organismes du secteur privé et toutes les entreprises fédérales afin de recueillir, d’utiliser ou de communiquer des renseignements personnels concernant un individu identifiable (« renseignements personnels »), à moins que de telles activités ne soient réglementées par une loi provinciale réputée essentiellement similaire à la LPRPDE. C’est le cas en Colombie-Britannique, en Alberta et au Québec, où des lois générales sur la protection des renseignements personnels jugées essentiellement similaires à la LPRPDE ont été promulguées et remplacent donc la législation fédérale pour ce qui touche les questions intraprovinciales. En revanche, dans l’éventualité où les renseignements personnels seraient partagés au-delà des frontières provinciales ou nationales, c’est la LPRPDE qui s’applique.
Ainsi, votre entreprise peut être assujettie à une ou plusieurs de ces lois, selon l’endroit où vous menez vos activités et votre mode d’exploitation au Canada. Compte tenu de la grande mobilité du principal générateur de renseignements personnels pour ce qui touche les VA, les sociétés de ce secteur seront, selon toute vraisemblance, assujetties à la LPRPDE. Dans cet article, nous nous intéresserons à la LPRPDE ainsi qu’aux interprétations et aux lignes directrices connexes offertes par le Commissariat à la protection de la vie privée (le « Commissariat »).
Transferts transfrontaliers de renseignements personnels
La position du Commissariat concernant le transfert de renseignements personnels entre organisations situées dans différents pays est en train de changer.
Auparavant, le Commissariat affirmait que le transfert de données à un tiers chargé du traitement de renseignements personnels pour le compte d’une organisation (y compris, sans s’y limiter, dans le cadre de contrats de sous-traitance, visant par exemple l’hébergement de données par un fournisseur de services infonuagiques) ne nécessitait pas le consentement des intéressés.
Le 9 avril 2019, le Commissariat a publié un document intitulé « Consultation sur la circulation transfrontalière des données » établissant sa nouvelle position selon laquelle il convient d’obtenir le consentement des intéressés pour tout transfert de renseignements personnels entre organisations situées dans différents pays (p. ex., entre une société canadienne et son hébergeur Web implanté aux États-Unis), quand bien même il serait effectué aux fins de traitement uniquement.
Cet important revirement de la part du Commissariat pourrait avoir des conséquences notables sur toute entreprise du secteur des VA qui entend confier à un tiers fournisseur de services le traitement de renseignements personnels.
Cependant, compte tenu de l’annonce d’une nouvelle charte numérique par le gouvernement fédéral et de la réforme prochaine de la LPRPDE qui abordera, entre autres, la circulation transfrontalière des données, le Commissariat a suspendu sa consultation dans sa forme actuelle, tout en laissant la porte ouverte à sa reprise. En attendant, il n’est pas revenu sur sa nouvelle position exposée dans le document de consultation et n’a pas non plus indiqué s’il enquêterait sur les plaintes en se fondant sur la position précédente.
Nous aborderons ces questions dans un prochain article. Pour le moment, les sociétés du secteur des VA devraient surveiller de près l’évolution de la situation.
Obtention d’un consentement valable de la part des clients
En janvier 2019, les Lignes directrices pour l’obtention d’un consentement valable du Commissariat (les « lignes directrices ») sont entrées en vigueur.
Selon ces dernières, le consentement devrait généralement être explicite. Néanmoins, un consentement implicite peut s’avérer suffisant dans des « circonstances strictement définies ». En règle générale, les organisations doivent obtenir un consentement explicite de l’intéressé lorsque les renseignements recueillis, utilisés ou communiqués sont sensibles ou bien si la collecte, l’utilisation ou la communication de l’information ne répond pas aux attentes raisonnables de l’intéressé ou crée un risque résiduel important de préjudice grave (notamment d’atteinte à la réputation) pour ce dernier.
Les renseignements personnels recueillis par les VA ou leur regroupement pouvant entrer dans une ou plusieurs de ces catégories, vous pourriez logiquement penser que votre organisation n’a besoin de préparer qu’une seule et même politique dans laquelle seraient énumérées toutes les utilisations et communications potentielles de façon à satisfaire à l’ensemble de vos obligations en matière de consentement explicite. Cette approche est justement critiquée dans les lignes directrices : « l’utilisation de longs énoncés légalistes des politiques de confidentialité [rend] trop souvent illusoires le contrôle et l’autonomie personnelle qui devraient être rendus possibles par le consentement ». Le Commissariat attend des organisations qu’elles réfléchissent à ce qu’elles comptent faire des renseignements personnels et comment elles comptent le faire, puis qu’elles examinent attentivement les formulations à utiliser de façon à éviter la surcharge d’information pour les « personnes qui ont peu de temps et d’énergie à consacrer à leur analyse ».
Pour en savoir plus, veuillez consulter notre récent article qui examine plus en en détail les nouvelles lignes directrices.
La proposition de réforme de la LPRPDE vise notamment la mise en place d’une nouvelle formule pour l’utilisation des renseignements personnels allant au-delà du consentement, y compris pour ce qui touche les « activités normales de l’entreprise ». Nous traiterons la question dans un prochain article.
Obligations en matière de déclaration des atteintes aux données
Depuis novembre 2018, la LPRPDE exige que les organisations qui ont la « gestion » de renseignements personnels conservent un registre de toutes les atteintes aux mesures de sécurité concernant des renseignements personnels, les déclarent au Commissariat et en avisent les intéressés s’il est raisonnable de penser qu’il existe un « risque réel de préjudice grave ».
Du fait de la grande variété de systèmes et de moyens de communication qu’ils peuvent employer, les VA présentent une très vaste « surface d’attaque ». En outre, plus les systèmes sont élaborés, plus il existe de vulnérabilités potentielles à exploiter, ce qui multiplie le risque d’atteinte aux mesures de sécurité concernant des renseignements personnels.
De plus, il convient aussi de tenir compte des atteintes subies par les fournisseurs de services, comme les systèmes d’infonuagique ou de stockage et les tiers chargés du traitement des données. Lorsqu’une organisation a transféré des renseignements personnels à un tiers aux fins de traitement et qu’une atteinte survient pendant que ceux-ci se trouvent entre les mains du responsable du traitement, en vertu de la LPRPDE, l’obligation de déclarer l’atteinte revient à l’organisation principale, soit à celle qui a la « gestion » des renseignements personnels.
Pour en savoir plus, veuillez consulter notre récent commentaire sur la déclaration des atteintes aux données.
Document d’orientation du Commissariat à venir sur l’Internet des objets
Le Commissariat a annoncé qu’il publierait sous peu un nouveau document d’orientation sur l’Internet des objets à l’intention des fabricants de produits. Étant donné que ce document s’appliquera au secteur des VA, les entreprises concernées devraient rester à l’affût.
Conclusion
La législation sur la protection des renseignements personnels ne cesse d’évoluer. Compte tenu de la dynamique mouvante entre l’utilisation des renseignements, l’économie et la société, il faut s’attendre en réponse à une adaptation des cadres juridiques visant à assurer le respect de la vie privée et la protection des données. Les modèles d’entreprise qui ne tiennent pas compte de ces évolutions pourraient être voués à l’échec.