Après des années d’attente et le premier décès de feuilleton télévisé, Ottawa a finalement déposé sa loi sur la protection des renseignements personnels à la mi-juin. Des amendes allant jusqu’à 25 millions pour les entreprises coupables, le droit de contrôler les données des citoyens ordinaires et l’encadrement de l’intelligence artificielle ne sont que les lames de cette loi complexe. La Presse a demandé à deux experts d’en faire la promotion.
Posté à 7h00
Presse Karim Benesai
En résumé
Le titre de 46 mots du projet de loi C-27, qui compte 147 pages, est renversant. Le “Consumer Privacy Act Enactment Act”, en bref, adopte l’essentiel du premier projet de loi, C-11, déposé en novembre 2020. Comme à ce moment-là, nous encourons des amendes pouvant aller jusqu’à 25 millions ou 5% des revenus, selon le cas. plus grand. Nous rencontrons toujours le concept de “consentement valide” avec des politiques de confidentialité claires, la possibilité de transférer ses données d’une organisation à une autre, de les détruire lorsqu’elles ne sont plus nécessaires et de mettre les pieds devant un tribunal spécial.
Bonne écoute
Mais la nouvelle loi va plus loin dès novembre 2020, se réjouit Chantal Bernier, qui a été adjointe puis commissaire par intérim à la Commission de la protection de la vie privée du Canada de 2008 à 2014. Elle est aujourd’hui conseillère juridique en cybersécurité et vie privée chez Dentons.
PHOTO AVEC L’AUTORISATION DE DENTONS
Chantal Bernier, conseillère en cybersécurité et confidentialité chez Dentons
« Je suis immédiatement frappé par la volonté du gouvernement de combiner des intérêts concurrents, de protéger, d’une part, les informations personnelles et, d’autre part, de promouvoir l’économie numérique qui dépend de ces informations. »
Dès le préambule, note-t-elle, la loi établit que la protection du droit des citoyens à la vie privée est « essentielle à leur autonomie et à leur dignité ainsi qu’au plein exercice des droits et libertés fondamentaux au Canada ». « Cela lui donne une importance quasi constitutionnelle. »
L’autre partie, s’excuse-t-elle, “peut sembler technique, mais elle est essentielle”. En résumé, la loi fait la distinction entre les données « dépersonnalisées », protégées, et les données « anonymisées », qui ne peuvent pas être liées à un individu mais peuvent être utilisées.
“Pour les entreprises, cela fait la différence dans leur capacité à faire de la recherche”, dit-elle.
enfin des dents
“Les vacances sont terminées. Comme moi Bernier, Eloise Gratton, avocate en protection de la vie privée chez BLG, utilise cette expression pour décrire une mesure importante qui ne fait pas la manchette. Essentiellement, les entreprises qui traitent des données personnelles ont l’obligation de désigner un responsable du traitement et de développer, par exemple, un “code de pratique” et des “programmes de certification” pour le protéger. La différence est que le commissaire à la protection de la vie privée aura désormais le pouvoir d’enquêter, de recommander et de sanctionner.
PHOTO AVEC L’AUTORISATION D’ÉLOÏSE GRATTON
Eloise Gratton, avocate en protection de la vie privée chez BLG
De nombreuses petites organisations ne se conforment pas encore à ces exigences, souligne Me Gratton. “Je pense que cela motivera les entreprises à investir dans la sécurité de l’information et la protection des informations personnelles. »
Apprivoiser l’IA
L’autre aspect important de la nouvelle loi est sa volonté d’empêcher l’utilisation “imprudente” de l’intelligence artificielle (IA) en s’assurant, par exemple, qu’elle n’est pas conçue avec un parti pris discriminatoire. Le commissaire à l’IA et aux données aura le pouvoir d’auditer les entreprises à ce sujet.
“Je le vois très positivement”, résume Me Bernier. On a déjà des exemples, notamment dans l’embauche de salariés aux méthodes biaisées. Cependant, de nombreux éléments restent à définir dans ce domaine, notamment définir ce qui constitue un parti pris et comment établir la gravité d’un préjudice.
Pouvoirs et responsabilités
Le fait que ces nouvelles exigences entraînent une augmentation de la charge administrative pour les entreprises est incontestable. Me Gratton croit que c’est inévitable. « Il s’agit d’un fardeau à la mesure des pouvoirs des organisations à gérer les renseignements personnels, y compris les risques d’intrusion dans la vie privée. » Elle a paraphrasé pour l’occasion, en riant, la devise de Spider-Man : « Ce pouvoir qui augmente génère plus de responsabilités. »
Eloïse Gratton, elle, a rappelé que ce projet de loi fédéral fait suite à trois autres lois provinciales votées en Alberta, en Colombie-Britannique et surtout au Québec. « Avec le gouvernement fédéral, c’est juste de la continuité. […] Il est maintenant clair qu’il y a une évolution parmi les entreprises dans la façon dont les politiques de confidentialité sont écrites : on va les préparer par couches, avec des résumés, et si la personne veut plus d’informations, elle y a accès. »
Add Comment