1 janvier 2024

Protection des renseignements personnels, de gouvernance des données, d’intelligence artificielle ou encore de cybersécurité

Au Québec, l’année 2023 a été placée sous le signe de la modernisation du cadre juridique applicable à la protection des renseignements personnels. La majeure partie des dispositions issues de la Loi 25 sont entrées en vigueur tant à l’égard des ministères et organismes publics, des entreprises, des ordres professionnels que des partis politiques. Cette modernisation commencée en 2022 se termine en 2024. 

En 2023, ces entités devaient notamment se doter d’un cadre de gouvernance, d’une politique de confidentialité, de mécanismes pour réaliser des évaluations de facteurs relatifs à la vie privée et réviser le consentement à la lumière des nouveaux critères de validité.

Pour les accompagner, la Commission d’accès à l’information du Québec et le Secrétariat à la réforme des institutions démocratiques, à l’accès à l’information et à la laïcité proposent différents outils, par exemple : 

  • Gouvernance

Le SRIDAIL propose un guide d’application, un résumé de la démarche et un outil d’analyse pour la planification de l’élaboration de ces règles 

  • Politique de confidentialité

La CAI propose un guide explicatif pour les entreprises. 

Le SRIDAIL propose un document relatif à l’application du Règlement sur les politiques de confidentialité des organismes publics recueillant des renseignements personnels par un moyen technologique ainsi qu’un outil d’aide à la rédaction et une liste de vérification

  • Consentement

La CAI a publié des lignes directrices présentant les critères de validité en la matière et le SRIDAIL propose une infographie sur les nouveautés liées au consentement.

  • Évaluation des facteurs relatifs à la vie privée

La CAI a mis à jour son guide d’accompagnement et propose un modèle générique de rapport permettant de rendre compte des résultats d’une EFVP. 
 
Rappelons que le responsable de la protection des renseignements personnels ou le comité sur l’accès à l’information et la protection des renseignements personnels, a un rôle à jouer dans le développement et la mise en application de ces exigences, tout comme en matière d’incidents de confidentialité depuis septembre 2022.
 
En plus de ces outils, le Gouvernement du Québec vient de publier un projet de règlement relatif à l’anonymisation des renseignements personnels. Ce projet s’il est adopté entrera en vigueur en 2024, tout comme le droit à la portabilité.
 
2023 a aussi été marqué par l’adoption du projet de loi 3 – Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives ou encore le projet de loi 38 – Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d’autres dispositions législatives pour ne citer que ceux-ci.
 
À l’extérieur du Québec, l’année 2023 a aussi été riche en matière de protection des renseignements personnels. Il suffit de penser, entre autres, aux débats entourant : 

  • Canada – Fédéral : le projet de loi C-27 qui vise à édicter la Loi sur la protection de la vie privée des consommateurs (abrogeant la Loi sur la protection des renseignements personnels et les documents électroniques), mais aussi la Loi sur l’intelligence artificielle et les données.
  •  Europe :
  1. la Règlement sur la gouvernance des données (ou Data Governance Act - DGA) qui « vise à accroître la confiance dans le partage des données, à renforcer les mécanismes permettant d’accroître la disponibilité des données et à surmonter les obstacles techniques à la réutilisation des données ». Entrée en vigueur en mai 2022, la réglementation est applicable depuis le 24 septembre 2023; 
  2. le Règlement concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données (ou Data Act), 
  3. la Loi sur l’intelligence artificielle (AI Act) pour laquelle un accord est intervenu le 9 décembre 2023 et dont une FAQ a été publiée quelques jours après;
  4. le Cyber Resilience Act sur lequel un accord est intervenu le 30 novembre 2023 et qui introduit des exigences en matière de cybersécurité pour la conception, le développement, la production et la mise à disposition sur le marché européen de produits comportant des éléments numériques; 
  5. le Cyber Solidarity Act qui « vise à renforcer les capacités de cyberrésilience de l’UE afin de détecter et de répondre aux menaces et incidents cybernétiques à grande échelle en établissant une « cyberréserve » de fournisseurs de confiance certifiés pour mener des activités de prévention et de réponse » (Voir notamment: https://www.euractiv.fr/section/cybersecurite/news/cyber-solidarity-act-le-dossier-progresse-au-parlement-europeen/), 
  6. la (nouvelle) décision d’adéquation concernant le cadre de protection des données Europe - États-Unis; 
  7. ou encore la directive NIS2 (Network and Information Security) visant « à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union » et dont les exigences doivent être transposées en droit national au plus tard à la mi-octobre 2024. 

Et ce ne sont que quelques exemples ...

22 septembre 2023

Entrée en vigueur de la majorité des dispositions de la Loi 25 visant à moderniser le cadre juridique applicable au Québec en matière de protection des renseignements personnels

 22 septembre 2023 - Entrée en vigueur de la majorité des dispositions de la Loi 25 visant à moderniser le cadre juridique applicable au Québec en matière de protection des renseignements personnels (RP) tant à l’égard des organismes publics, des entreprises que des ordres professionnels.

Parmi les dispositions qui entrent en vigueur aujourd’hui, on retrouve entre autres:

- les évaluations de facteurs relatifs à la vie privée (EFVP) à réaliser, notamment, pour tout projet d’acquisition, de développement ou de refonte d’un système d’’information ou de prestation électronique de services impliquant des RP ou encore avant toute communication de RP à l’extérieur du Québec. 

D’ailleurs, la Commission d’accès à l’information vient de publier une nouvelle version de son Guide d’accompagnement - Réaliser une évaluation des facteurs relatifs à la vie privée et propose un modèle générique de rapport permettant de rendre compte des résultats d’une EFVP;

- les notions de renseignements personnels sensibles, dépersonnalisés et anonymisés, en plus de la nouvelle définition de ce qu’est un RP;

- les informations à fournir, par exemple, lors de la collecte de RP, lors du recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne ou encore lorsqu’une décision fondée exclusivement sur un traitement automatisé est rendue à l’endroit d’une personne;

- les nouveaux critères de validité du consentement, incluant à l’égard des RP sensibles et des mineurs;

- l’adoption de règles encadrant la gouvernance des RP, incluant la publication d’une politique de confidentialité;

- les paramètres de confidentialité des produits ou services technologiques offerts au public qui, par défaut, doivent offrir le plus haut niveau de confidentialité;

- la dépersonnalisation des RP lorsque ceux-ci sont utilisés à des fins d’étude, de recherche ou de production de statistiques;

- les nouveaux droits offerts aux personnes concernées, dont la cessation de la diffusion d’un RP, la désindexation de tout hyperlien rattaché à un nom ou encore la communication de RP d’une personne décédée; 

- le nouveau montant des amendes qui peuvent être prononcées, mais aussi le fait que la CAI peut imposer des sanctions administratives pécuniaires à l’égard d’une personne ou d’une entreprise en cas de manquement à la loi.


19 août 2023

Biométrie - Guide de l'ICO ouvert à la consultation

 Si vous vous intéressez à la 𝗯𝗶𝗼𝗺𝗲́𝘁𝗿𝗶𝗲, voici un guide produit par l'Information Commissioner's Office (Royaume-Uni). Ce guide fait l’objet d’une phase de consultation jusqu’au 20 octobre 2023.

Au Québec, vous devez tenir compte de la 𝘓𝘰𝘪 𝘤𝘰𝘯𝘤𝘦𝘳𝘯𝘢𝘯𝘵 𝘭𝘦 𝘤𝘢𝘥𝘳𝘦 𝘫𝘶𝘳𝘪𝘥𝘪𝘲𝘶𝘦 𝘥𝘦𝘴 𝘵𝘦𝘤𝘩𝘯𝘰𝘭𝘰𝘨𝘪𝘦𝘴 𝘥𝘦 𝘭’𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯 (art. 44 et 45), si vous avez l’intention:

  • de vérifier ou de confirmer l’identité d’une personne au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques; 
  • de constituer une banque de caractéristiques ou de mesures biométriques.

Vous devez également tenir compte, selon si vous êtes un organisme public ou une entreprise, de la 𝘓𝘰𝘪 𝘴𝘶𝘳 𝘭’𝘢𝘤𝘤𝘦̀𝘴 𝘢𝘶𝘹 𝘥𝘰𝘤𝘶𝘮𝘦𝘯𝘵𝘴 𝘥𝘦𝘴 𝘰𝘳𝘨𝘢𝘯𝘪𝘴𝘮𝘦𝘴 𝘱𝘶𝘣𝘭𝘪𝘤𝘴 𝘦𝘵 𝘴𝘶𝘳 𝘭𝘢 𝘱𝘳𝘰𝘵𝘦𝘤𝘵𝘪𝘰𝘯 𝘥𝘦𝘴 𝘳𝘦𝘯𝘴𝘦𝘪𝘨𝘯𝘦𝘮𝘦𝘯𝘵𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘯𝘦𝘭𝘴 ou de la 𝘓𝘰𝘪 𝘴𝘶𝘳 𝘭𝘢 𝘱𝘳𝘰𝘵𝘦𝘤𝘵𝘪𝘰𝘯 𝘥𝘦𝘴 𝘳𝘦𝘯𝘴𝘦𝘪𝘨𝘯𝘦𝘮𝘦𝘯𝘵𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘯𝘦𝘭𝘴 𝘥𝘢𝘯𝘴 𝘭𝘦 𝘴𝘦𝘤𝘵𝘦𝘶𝘳 𝘱𝘳𝘪𝘷𝘦́.

De plus, vous devez déclarer votre banque de caractéristiques ou de mesures biométriques à la Commission d'accès à l'information - pour plus de détails, voir: https://www.cai.gouv.qc.ca/biometrie/.

10 août 2023

Mise à jour du référentiel sur les règles d’entreprise contraignantes « responsable de traitement » par le Comité européen de la protection des données.

Mise à jour du référentiel sur les règles d’entreprise contraignantes « responsable de traitement » par le Comité européen de la protection des données. 
 
En vertu du Règlement général sur la protection des renseignements personnels, en l’absence d’une décision de la Commission européenne assurant qu’un pays tiers assure un niveau de protection adéquat (art. 45), le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que s’il est prévu des garanties appropriées (art. 46).

Parmi ces garanties, on retrouve les règles d’entreprise contraignantes  (art. 47) (ou binding corporate rules ou BCR), soit 

« un outil qui peut être utilisé par un groupe d’entreprise ou de sociétés, engagées dans une activité économique commune, pour transférer des données personnelles en dehors de l’Espace économique européen entre responsable de traitement ou sous-traitants, au sein du même groupe. Elles amènent les sociétés adhérentes d’un même groupe à déployer un schéma de gouvernance commun qui permet d’établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD. Les BCR créent également des droits pour les personnes concernées en tant que tiers bénéficiaires ».

(CNIL, « Glossaire »)  

Pour aller plus loin: 



27 juillet 2023

CNIL-LINC - Privacy Research Day - Synthèse des panels

 Le Laboratoire d’Innovation Numérique de la Commission nationale Informatique et Libertés (CNIL) publie la synthèse des panels de la 2e édition du Privacy Research Day de juin dernier.

Ces panels portaient sur :

21 juillet 2023

Applications mobiles - Consultation de la CNIL sur son projet de recommandation

 La Commission nationale de l'informatique et des libertés (CNIL) lance une consultation publique sur son projet de recommandation au sujet des applications mobiles. Cette consultation se termine le 8 octobre 2023.

Le projet de recommandation vise principalement à:  

  • clarifier et encadrer le rôle de chacun des acteurs intervenants dans cet écosystème à savoir: les éditeurs, les développeurs, les fournisseurs de kits de développement logiciel, les fournisseurs de systèmes d’exploitation et les fournisseur de magasins d’application; 
  • assurer une information et un recueil du consentement respectueux des utilisateurs; et
  • favoriser les bonnes pratiques au bénéfice des utilisateurs.


Cette consultation s’inscrit dans le cadre du plan d’action de la CNIL à ce sujet présenté en novembre 2022.

Un appel à contributions a eu lieu en janvier 2023 afin de mieux appréhender l’écosystème en termes de modèles d’affaires et d’incitations économiques.

La synthèse des contributions est publiée dans le document « Collecte des données dans les applications mobiles: les enjeux économiques ».

9 juillet 2023

API, Protection des données et de l’environnement, Applications mobiles, Menaces informatiques

Parmi les lectures de ces derniers jours:

1. Recommandation de la CNIL sur l’utilisation des interfaces de programmation applicatives (API)

Observant « une augmentation soutenue des partages de données à caractère personnel entre organismes, qu’ils soient publics ou privés » et « l’intérêt croissant dans la réutilisation des données pour diverses finalités », la CNIL publie une recommandation qui « vise à identifier les cas dans lesquels l’utilisation d’une API est préconisée afin de partager de manière sécurisée des données à caractère personnel ou des informations issues de leur anonymisation, et à diffuser certaines bonnes pratiques concernant leur mise en oeuvre et leur utilisation ».

Ainsi en plus de mettre l’accent sur le rôle du détenteur des données, du gestionnaire d’API et du réutilsateur, la CNIL mentionne « qu’une analyse au cas par cas est indispensable pour définir la qualification juridique des acteurs, et ainsi déterminer sur quel(s) acteur(s), à quel titre et dans quelle mesure, pèse la responsabilité de tenir compte des recommandations [générales et spécifiques exposées].

Elle précise aussi que

  • « le partage par le biais d’une API permet une meilleur supervision du partage des données, d’une part en contrôlant les accès, le degré de précision des données transmises et, le cas échéant, les finalités d’utilisation des données et, d’autre part, grâce à la mise en place d’une interface d’échange standardisée entre détenteur, gestionnaire et réutilisation, en permettant la transmission sécurisée d’informations associées à l’échange de données (durée de conservation, gestion de l’exercice des droits et notamment du droit à la portabilité, etc.) »;
  • « les objectifs suivants devraient être considérés comme prioritaires lors de la mise en oeuvre de mesures visant à réduire les risques: la minimisation des données échangées; l’exactitude des données sources; la traçabilité des accès; le gouvernance et le respect des droits; [et] la sécurité. [Ces objectifs] sont à considérer dans le contexte du partage de données, selon la vraisemblance et la gravité des risques associés »;
  • « les organismes impliqués dans le partage de données devraient se coordonner pour fournir une information claire et complète aux personnes concernant le traitement de mise à disposition de leurs données à caractère personnel » et ce, en insistant notamment sur les mesures de traçabilité, la journalisation des accès et des actions, description détaillée des données partagées, fréquence d’échantillonage ou encore les opérations réalisées en amont (i.e pseudonymisation, anonymisation);
  • « lorsqu’une personne concernée par le partage retire son consentement, exerce sont droit d’opposition ou à la limitation, l’API devrait intégrer un dispositif technique permettant d’exclure automatiquement du champ du partage les données concernées », et « l’API devrait également intégrer un dispositif spécifique permettant au détenteur de données d’informer chaque réutilisateur auquel les données ont été communiquées, de toute rectification, effacement de données ou limitation de traitement faisant suite à l’exercice des droits par les personnes concernées […] ». 

Pour plus de détails: Commission nationale de l’informatique et des libertés, « La CNIL publie une recommandation technique relative au partage de données par API », Actualité, 7 juillet 2023 (https://www.cnil.fr/fr/la-cnil-publie-une-recommandation-technique-relative-au-partage-de-donnees-par-api)

2. 9e Cahier Innovation & Prospective du Laboratoire d’innovation numérique de la CNIL: « Données, empreinte et libertés » 

Après avoir fait un état des lieux entre autres en ce qui concerne l’empreinte numérique, les centres de données (data centers), l’intelligence artificielle, les chaines de bloc (blockchain), la réalité virtuelle et augmentée, la publicité ciblée, le chiffrement ou encore le reconditionnement, la CNIL donne des pistes pour rapprocher la protection des données et de l’environnement: 

  • Promouvoir une informatique sobre et frugale;
  • Renforcer, documenter et rendre interopérables les bonnes pratiques sectorielles;
  • Engager un débat sur les libertés et la transparence;
  • Fournir les moyen d’un partage vertueux des données environnementales;
  • Poursuivre l’engagement de la CNIL dans sa transition environnementale

Pour plus de détails: Commission nationale de l’informatique et des libertés, « Données, empreinte et libertés : la CNIL présente son nouveau cahier Innovation & Prospective », Actualité, 4 juillet 2023 (https://www.cnil.fr/fr/donnees-empreinte-et-libertes-la-cnil-presente-son-nouveau-cahier-innovation-prospective)

3. Blogue du Commissariat à la protection de la vie privée du Canada afin de promouvoir les pratiques exemplaires relatives aux applications mobiles … Pour plus de détails: https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2023/an_230629/

4. Agence nationale de la sécurité des systèmes d’information, État de la menace informatique contre les cabinets d’avocats, 27 juin 2023, https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-004.pdf

25 juin 2023

Intelligence artificielle - Déclaration des autorités des protection des données et de la vie privée du G7

 Lors de la réunion des autorités de protection des données et de la vie privée du G7 qui a eu lieu les 20 et 21 juin 2023 à Tokyo, une Déclaration commune, un Plan d'action et un Communiqué ont été adopté.

- 𝗗𝗲́𝗰𝗹𝗮𝗿𝗮𝘁𝗶𝗼𝗻 𝘀𝘂𝗿 𝗹’𝗶𝗻𝘁𝗲𝗹𝗹𝗶𝗴𝗲𝗻𝗰𝗲 𝗮𝗿𝘁𝗶𝗳𝗶𝗰𝗶𝗲𝗹𝗹𝗲 (𝗜𝗔) 𝗴𝗲́𝗻𝗲́𝗿𝗮𝘁𝗶𝘃𝗲
Cette déclaration met l’accent sur « les principaux domaines où il y a des préoccupations quant aux risques pour la protection de la vie privée et des données qui pourraient se présenter dans le contexte d’outils d’IA ».
Elle rappelle également que « les développeurs et les fournisseurs doivent intégrer la protection de la vie privée dans la conception, le fonctionnement et la gestion des nouveaux produits et services qui utilisent les technologies de l’IA générative, en se fondant sur le concept de « la vie privée dès la conception », et inscrire leurs choix et leurs analyses dans une évaluation des facteurs relatifs à la vie privée ».
https://lnkd.in/eW3kC9UC

- 𝗣𝗹𝗮𝗻 𝗱’𝗮𝗰𝘁𝗶𝗼𝗻
Ce plan insiste sur les éléments suivants: (1) libre circulation des données dans la confiance; (2) technologies émergentes, notamment l’intelligence artificielle, la reconnaissance faciale ou encore les technologies d’amélioration de la confidentialité et, (3) coopération en matière d’application de la loi.
https://lnkd.in/ecNAzYew

- 𝗖𝗼𝗺𝗺𝘂𝗻𝗶𝗾𝘂𝗲́: https://lnkd.in/eMT3TBtH

Pour plus d'informations, voir notamment:
- Commissariat à la protection de la vie privée du Canada/Office of the Privacy Commissioner of Canada, « Les autorités de protection des données et de la vie privée du G7 publient une déclaration commune sur l’IA générative à la suite de leur discussion sur les technologies émergentes », Annonce, 22 juin 2023 https://lnkd.in/e3p5JhbM
- CNIL (France), « IA générative: le G7 des autorités de protection des données adopte une déclaration commune », Actualités, 23 juin 2023 https://lnkd.in/ea-caKpS

18 juin 2023

Confiance et Identité numérique

Durant la fin de semaine, je me suis replongée dans un article que j’ai écrit en 2007 sur « la confiance, instrument de régulation des instruments électroniques » (https://lnkd.in/eECRKH2Y) après avoir pris connaissance de deux documents sur l’identité numérique :

- 𝘓𝘪𝘷𝘳𝘦 𝘣𝘭𝘢𝘯𝘤 𝘴𝘶𝘳 𝘭'𝘪𝘥𝘦𝘯𝘵𝘪𝘵𝘦́ 𝘯𝘶𝘮𝘦́𝘳𝘪𝘲𝘶𝘦 - 𝘝𝘪𝘷𝘳𝘦 𝘢̀ 𝘭'𝘦̀𝘳𝘦 𝘯𝘶𝘮𝘦́𝘳𝘪𝘲𝘶𝘦 𝘦𝘯 𝘵𝘰𝘶𝘵𝘦 𝘤𝘰𝘯𝘧𝘪𝘢𝘯𝘤𝘦 𝘤'𝘦𝘴𝘵 𝘱𝘰𝘴𝘴𝘪𝘣𝘭𝘦 (mai 2023) (https://lnkd.in/euNJNfkh) réalisé avec l’appui du Laboratoire d’identité numérique du Canada (IDLab)
- CNIL, 𝘓'𝘪𝘥𝘦𝘯𝘵𝘪𝘵𝘦́ 𝘯𝘶𝘮𝘦́𝘳𝘪𝘲𝘶𝘦, Dossier (mars 2023) (https://lnkd.in/epjXXF8S)

Après avoir précisé ce qu’il convient d’entendre par « identité numérique », soit:
- une « représentation numérique d’une personne lui permettant de prouver son identité afin d’effectuer des interactions avec des organisations et d’accéder de façon simple et sécuritaire à des services », ce qui nécessite de recréer un triangle de confiance car « l’identité numérique n’est donc pas un identifiant unique comme un numéro d’assurance sociale numérique, mais un ensemble d’attestations vérifiables propres à une personne [...] contenues dans le portefeuille numérique de la personne et sous le contrôle exclusif de celle-ci » (Livre blanc, pp. 6 et 9);
- le fait que les attributs d’une personne, par ex. les nom, prénom ou encore lieu de naissance « sont enregistrés sous forme numérique, et utilisables en ligne notamment pour interagir avec des systèmes d’information », que cela « repose sur [...] un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier à un service en ligne », ce qui fait en sorte que cela « permet de créer un certain niveau de confiance numérique pour l’identification (…), l’authentification (…), la preuve d’attributs d’identité (…) » (CNIL, p. 4);
les auteurs mettent l’emphase sur le fait que cette identité permettra de renforcer la protection des renseignements personnels, de bâtir la confiance numérique (Livre blanc, pp. 10-13), mais aussi à lutter contre la fraude (Livre blanc, pp. 22-23), tout en insistant sur les enjeux de sécurité et de respect des droits fondamentaux (CNIL, pp. 10-15).

Dans mon article, je concluais en disant notamment que la confiance s’établit au fil des expériences avant de s’installer, qu’elle doit s’entretenir mais surtout que la défiance, la méfiance, la mauvaise publicité, la désaffectation sont au nombre des conséquences d’un bris de confiance … cette conclusion, après la lecture de ces deux documents sur l’identité numérique, trouve encore application.

22 mars 2023

Protection des renseignements personnels : plus que 6 mois avant l’entrée en vigueur de la majorité des dispositions de la Loi 25.

Dans 6 mois, soit le 22 septembre 2023, la majorité des dispositions de la Loi 25 venant moderniser le cadre juridique applicable aux renseignements personnels au Québec tant à l’égard des organismes publics que des entreprises seront en vigueur.
 
Ainsi, à partir de cette date, les organismes publics et les entreprises devront tenir comptes des nouvelles exigences en lien, notamment, avec :

  • les règles encadrant la gouvernance des renseignements personnels;
  • le consentement, surtout lorsqu’il est question de renseignements personnels sensibles;
  • les évaluations de facteurs relatifs à la vie privée (EFVP) à réaliser, entre autres, pour tout projet d’acquisition, de développement ou de refonte d’un système d’’information ou de prestation électronique de services impliquant des renseignements personnels ou encore avant toute communication de renseignements personnels à l’extérieur du Québec;
  • les informations à fournir, par exemple, lors du recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne ou encore lorsqu’une décision fondée exclusivement sur un traitement automatisé est rendue à l’endroit d’une personne;
  • les paramètres de confidentialité des produits ou services technologiques offerts au public qui, par défaut, doivent offrir le plus haut niveau de confidentialité;
  • la dépersonnalisation, l’anonymisation, la cessation de la diffusion ou la désindexation d’un lien hypertexte.

Ces exigences viennent s’ajouter à celles qui sont entrées en vigueur le 22 septembre 2022, à savoir la désignation d’un responsable de la protection des renseignements personnels pour les entreprises, la constitution d’un comité sur l’accès à l’information et la protection des renseignements personnels pour les organismes publics, la déclaration des incidents de confidentialité ou encore le délai pour divulguer à la Commission d’accès à l’information la création d’une banque de caractéristiques ou de mesures biométriques.

Même s’il reste encore quelques mois, il ne faut surtout pas sous-estimer l’ampleur de la tâche d’autant, qu’à partir, du 22 septembre 2023, le montant des amendes pouvant être prononcées à l’égard d’un organisme public et d’une entreprise sera plus élevé qu’actuellement, tout comme celui des dommages-intérêts punitifs pouvant être accordés. De plus, la Commission aura également le pouvoir d’imposer des sanctions administratives pécuniaires à l’égard d’une personne ou d’une entreprise en cas de manquement à la loi.


#Loi25 #Québec #renseignementspersonnels #secteurpublic #entreprises #gouvernance #consentement #EFVP #consentement #incidentsdeconfidentialité #biométrie #ComitéAIPRP #confidentialité #anonymisation #dépersonnalisation #désindexation

22 septembre 2022

Québec: Entrée en vigueur de nouvelles dispositions en matière de protection des renseignements personnels

Le 22 septembre 2022 marque l'entrée en vigueur de nouvelles dispositions en matière de renseignements personnels ("RP") au Québec. 

En effet, la Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels mais aussi la Loi sur la protection des renseignements personnels dans le secteur privé ont fait l'objet d'une modernisation à la suite de l'adoption du projet de loi n°64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels en septembre 2021. Précisons que cette modernisation vise également 19 autres lois dont la Loi concernant le cadre juridique des technologies de l'informations

Les dispositions qui entrent en vigueur aujourd'hui visent aussi bien les organismes publics que les entreprises ("organisation"). Elles visent aussi les ordres professionnels et leurs membres. 

  • Responsabilité: une organisation est responsable des RP qu'elle détient et ce, même si elle en confie la gestion à un tiers. 
  • Responsable de la protection des renseignements personnels: une organisation doit désigner un responsable de la protection des renseignements personnels ("PRP"). 

Cette fonction revient à la personne ayant la plus haute autorité, elle peut néanmoins être déléguée, par écrit

  • à un membre du l'organisme public ou de son conseil d'administration, selon le cas, ou à un membre du personne de direction. Les titres et les coordonnées du responsable doivent être transmis à la Commission d'accès à l'information; 
  • à toute personne pour les entreprises.  Les titres et les coordonnées du responsable doivent être publiés sur le site Internet de l'entreprise ou, si elle n'en a pas, rendus accessibles par tout autre moyen approprié.  

  • Comité sur l'accès à l'information et la protection des renseignements personnels ("CAIRPR"): un organisme public, mais aussi les ordres professionnels, doivent constituer un tel comité. 

Ce comité est chargé de soutenir l'organisme public / l'ordre professionnel dans l'exercice de ses responsabilités et dans l'exécution de ses obligation. Il doit aussi approuver les règles encadrant la gouvernance à l'égard des renseignements personnels. 

  • Incident de confidentialité: une organisation doit déclarer à la CAI les incidents de confidentialité qui présente un risque qu'un préjudice sérieux soit causé aux personnes dont les renseignements personnels sont visés par l'incident. Elle doit aussi aviser les personnes concernées. Elle doit également tenir un registre des incidents de confidentialité.
  • Transaction commerciale: une entreprise partie à une telle transaction peut communiquer à l'autre partie, sans le consentement des personnes concernées, des renseignements personnels nécessaires aux fins de la conclusion de cette transaction. 

Une entente doit préalablement être conclue entre les parties. Et, si la transaction est conclue, la partie qui a reçu les RP doit aviser, dans un délai raisonnable, les personnes concernées qu'elle détient ses RP en raison de la transaction.  

  • Étude, recherche, production de statistiques: une organisation peut communiquer des renseignements personnels a de telles fins, sans le consentement des personnes concernées. 

Elle doit au préalable effectuer une évaluation des facteurs relatifs à la vie privée et conclure une entente avec la personne ou l'organisme à qui elle transmet les RP. Cette entente doit être transmise à la Commission d'accès à l'information et entre en vigueur 30 jours après sa réception par celle-ci. 

  • Biométrie: une organisation doit déclarer à la Commission d'accès à l'information la création et la mise en service de toute banque de caractéristiques ou de mesures biométriques. 

En vertu de la LCCJTI cette déclaration doit intervenir au plus tard 60 jours avant la mise en service de la banque. De plus, les personnes concernées doivent donner un consentement exprès et l'organisation doit être en mesure de proposer une méthode alternative.      

Ces changements ne sont pas les seuls prévus. En effet, le cadre juridique applicable à la protection des renseignements personnels au Québec connaîtra d'autres modifications au cours des prochains mois, de nouvelles dispositions entrant en vigueur en septembre 2023 et 2024. 

--- 

Sur une note plus personnelle, le 22 septembre 2022 marque aussi la reprise de mes billets sur cette plateforme. 


16 novembre 2014

CNIL: données personnelles et mort numérique

Si vous vous intéressez aux enjeux inhérents à la protection des données personnelles après la mort, la Commission nationale de l'informatique et des libertés vient de publier les documents suivants: 

30 octobre 2014

Canada: déclaration sur les mesures de sécurité nationale et l'application des lois

Lors de l'assemblée annuelle des autorités fédérales, provinciales et territoriales qui s'est tenue à Ottawa (Ontario), les commissaires et ombudsmans ont adopté, le 29 octobre 2014, une déclaration relative aux mesures de sécurité nationale et à l'application des lois qui se lit comme suit: 
« Nous joignons notre voix à celle de milliers de Canadiens pour exprimer nos condoléances aux familles et aux amis éprouvés par le décès de ceux dont le devoir était de défendre nos droits et libertés.
Les jours, les semaines et les mois à venir seront cruciaux pour déterminer la ligne de conduite à adopter afin de s’assurer non seulement que le Canada demeure un pays sécuritaire, mais aussi que nos droits fondamentaux sont respectés. Des modifications législatives envisagées pourraient modifier les pouvoirs dévolus aux organismes de renseignement et d’application de la loi.
Nous reconnaissons que la sécurité est essentielle au maintien des droits démocratiques. Parallèlement, la réaction à ces événements doit être posée et proportionnelle, et conçue de manière à préserver nos valeurs démocratiques fondamentales.
À cette fin, les commissaires canadiens à l’information et à la protection de la vie privée exhortent le gouvernement fédéral :
- À adopter une démarche fondée sur des données factuelles quant au besoin de nouvelles mesures législatives qui accorderaient des pouvoirs supplémentaires aux organismes de renseignement et à ceux chargés de l’application de la loi;
- À engager un dialogue ouvert et transparent avec les Canadiens quant au besoin de nouvelles mesures, et, le cas échéant, quant à leur nature, leur portée et leur impact sur les droits et libertés;
- À s’assurer que toute loi accordant des pouvoirs additionnels à des organismes de renseignement ou chargés de l’application des lois soit assortie de mesures de contrôle efficaces.
Les Canadiens sont en droit de s’attendre à ce que leurs droits à la vie privée et à l’accès à l’information soient respectés au même titre que leur sécurité. Nous devons maintenir ces droits fondamentaux qui sont au coeur de la démocratie canadienne. »
(Source: Commission d'accès à l'information du Québec, la déclaration est également accessible sur les sites des commissaires et ombudsmans à l'information et à la protection des renseignements personnels)
 

27 octobre 2014

Maurice: résolutions adoptées lors de la 36° conférence internationale des commissaires à la protection des données et de la vie privée

Du 13 au 16 octobre 2014, les commissaires à la protection des données et de la vie privée se sont réunis à l'Ile Maurice pour la 36° Conférence internationale

Les résolutions adoptées par les commissaires portent notamment sur les big data, sur une entente mondiale de coopération transfrontière dans l'application des lois ou sur la vie privée à l'ère numérique. Ces résolutions sont accessibles sur le site de la Conférence.

12 octobre 2014

Google et le droit à l'oubli

En mai 2104, la Cour de justice de l'Union européenne (CJUE) a reconnu dans Google Spain SL et Google Inc c. Agencia Espanola de Proteccion de Datos (AEPD) et M. Costeja Gonzalez que "l’exploitant d’un moteur de recherche est obligé de supprimer de la liste de résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, des liens vers des pages web, publiées par des tiers et contenant des informations relatives à cette personne, également dans l’hypothèse où ce nom ou ces informations ne sont pas effacés préalablement ou simultanément de ces pages web, et ce, le cas échéant, même lorsque leur publication en elle-même sur lesdites pages est licite". (Billet)

Depuis cette décision, les internautes européens peuvent demander que les informations les concernant apparaissant dans les résultats d'un moteur de recherche soient effacées. Pour ce faire, les internautes peuvent s'adresser soit directement au site d'origine, soit aux moteurs de recherche. 
Dans son rapport Demandes de suppression de contenus liés à la vie privée dans les résultats de recherche dans l'Union européenne, publié le 10 octobre 2014, Google mentionne avoir reçu un total de 146 357 demandes ayant conduit à l'examen de 498 737 URL et à la suppression de 41,8% de ceux-ci. Ce rapport précise également le nombre de demandes par pays, des exemples de demandes et les sites les plus affectés par ces demandes. 
Si la décision de la CJUE vise les internautes européens, il convient de mentionner qu'"un tribunal japonais a condamné [...] Google à supprimer des informations associant le nom du plaignant à un crime qu'il n'a pas commis" comme le rapporte un article publié dans La Presse. 
Toutefois, dans un autre article publié dans Droit & Nouvelles Technologies, il est précisé que "le droit à l'oubli, c'est pas automatique !" comme l'illustre un jugement néerlandais du 18 septembre 2014. 

À suivre donc ...