Ce que 2020 nous réserve en matière de protection des renseignements personnels

This content is not available in the selected language.

Ecrit par Simon Du Perron, auxiliaire de recherche au Laboratoire de cyberjustice – Hiver 2020

2019 fut sans conteste l’année où la question de la protection des données s’est véritablement incrustée dans le débat public.  

En juin, le Québec a connu la plus importante fuite de données de son histoire, touchant tous les 4,2 millions de membres particuliers du Mouvement Desjardins. Un mois plus tard, la grande banque américaine Capital One a annoncé avoir fait l’objet d’un vol de données affectant 106 millions de ses clients, dont 6 millions de Canadiens. À ce jour, pas moins de 28 millions de personnes ont été touchées par des fuites, selon le plus récent rapport du Commissariat à la protection de la vie privée du Canada.  

Il semblerait que l’année 2019 ait servi d’électrochoc poussant le législateur provincial et fédéral à moderniser les lois censées protéger la vie privée et les renseignements personnels des citoyens canadiens. Coup d’œil sur les principales réformes auxquelles on peut s’attendre cette année. 

Au Québec : identité numérique et modernisation de la législation 

L’affaire Desjardins a mis en lumière les risques importants en termes de fraude d’identité que pose la dépendance des institutions financières aux renseignements personnels comme le numéro d’assurance sociale ou la date de naissance afin d’identifier les individus. Les citoyens fournissent ces informations à une foule d’organisations tout au long de leur vie (pour décrocher un emploi, pour étudier à l’université, etc.) et il ne suffit que d’un seul vol de données pour qu’un individu soit potentiellement victime de vol d’identité.  

En réponse à cette problématique, le ministre délégué à la Transformation numérique gouvernementale, Éric Caire, a annoncé en décembre dernier le projet de création d’une identité numérique pour chaque citoyen québécois d’ici 2021.

L’idée consiste à intégrer les identifiants classiques comme le permis de conduire et la carte d’assurance maladie en un identifiant unique qui sera protégé par un système de cryptographie asymétrique aussi connu sous le nom de chiffrement à clés publiques. Cette technologie est utilisée depuis de nombreuses années dans le domaine de la signature électronique et dans celui de la messagerie sécurisée. 

Avec un tel système de chiffrement, chaque citoyen se verra attribuer deux clés numériques : une clé privée (qui permet le déchiffrement de l’information) et une clé publique (qui permet le chiffrement de l’information). Tandis que la clé privée est secrète et peut être sécurisée par divers moyens comme une carte à puce avec NIP ou encore par des marqueurs biométriques ; la clé publique est partagée à toutes les institutions qui ont besoin d’identifier les citoyens. L’identité numérique est donc chiffrée par défaut et les institutions ne peuvent la « déchiffrer » (et par conséquent identifier leur interlocuteur) uniquement lorsqu’un citoyen présente sa clé privée.   

Les avantages d’un tel système sont nombreux : une seule méthode d’identification pour accéder à un vaste panier de services en ligne (gouvernementaux et non gouvernementaux) et en cas de perte ou de vol du support de l’identité numérique, par exemple une carte à puce, il ne suffit que de la faire annuler et de la remplacer.  

Toutefois, le recours à la biométrie n’est pas sans risque considérant le haut degré de sensibilité des données biométriques. En effet, si on peut facilement remplacer un permis de conduire perdu ou volé, on ne peut faire de même pour un marqueur biométrique intrinsèquement lié à la personne. C’est pourquoi la Loi concernant le cadre juridique des technologies de l’information (LCCJTI) oblige le consentement exprès de la personne pour toute vérification de son identité au moyen de mesures biométriques. La LCCJTI prévoit également que la Commission d’accès à l’information exerce un certain pouvoir de contrôle sur les banques de données biométriques.  

Si l’idée de faire du Québec la prochaine Estonie d’Amérique du Nord a de quoi ravir les techno-enthousiastes, son impact demeurera assez limité dans la mesure où les identifiants jugés les plus crédibles – le numéro d’assurance sociale et le passeport – sont de compétence fédérale. Dès lors, une collaboration entre Ottawa et Québec semble indispensable pour mener à terme ce projet.  

Du côté législatif, la ministre de la Justice, Sonia Lebel, s’est engagée à déposer un projet de loi visant à moderniser les lois en matière de protection des renseignements personnels tant dans le secteur public que privé. Il va sans dire qu’après avoir soufflé sa 25bougie en 2019, la Loi sur la protection des renseignements personnels dans le secteur privé est prête pour une mise à jour qui reflète l’évolution des pratiques commerciales sur l’espace numérique. Or, aucun détail n’a été partagé en ce qui concerne les contours de la réforme proposée par la ministre. Québec attend-il de voir la tangente que prendra le fédéral en matière de protection des données avant de se positionner ?    

Au Canada : vers une LPRPDÉ 2.0? 

En mai 2019, le gouvernement fédéral a adopté la Charte canadienne sur le numérique qui énonce une série de mesures visant à rétablir la confiance des citoyens à l’endroit de la sphère numérique. Celle-ci prévoit notamment des propositions de modifications à la Loi sur la protection des renseignements personnels et des documents électroniques (LPRPDÉ) afin d’accroître le contrôle des particuliers sur leurs données, rendre possible la mobilité des données, renforcer la capacité des individus à préserver leur réputation en ligne, permettre les fiducies de données et augmenter les pouvoirs du Commissaire à la protection de la vie privée.  

Dans ses trois lettres de mandat adressées au ministre de l’Innovation, des Sciences et de l’Industrie, au ministre de la Justice et au ministre du Patrimoine, le premier ministre Justin Trudeau leur demande de travailler en collaboration afin de mettre en œuvre la Charte canadienne du numérique, de rehausser les pouvoirs du Commissaire à la protection de la vie privée et d’établir un nouvel ensemble de droits incluant notamment  : 

  • la portabilité des données;  
  • la capacité de retirer, de supprimer et d’effacer des données personnelles d’une plateforme;  
  • la possibilité de connaître les façons dont les données personnelles sont utilisées, notamment grâce à un registre de publicité national ;  
  • la capacité de retirer son consentement à l’échange ou à la vente de données;  
  • la capacité d’examiner et de remettre en question la quantité de données personnelles recueillies par une entreprise ou un gouvernement;  
  • des exigences proactives en matière de la sécurité des données;  
  • le droit d’être informé des violations de données personnelles et de recevoir une indemnisation appropriée; et  
  • le droit d’être à l’abri de la discrimination en ligne, y compris les préjugés et le harcèlement. 

Le ministre Bains a d’ailleurs récemment confirmé son intention de démontrer très clairement aux entreprises qu’il y aura des sanctions importantes en cas de non-respect de la loi. 

L’adoption de ces mesures permettrait de faire de la LPRPDÉ une véritable « loi fondée sur les droits » (comme le réclame d’ailleurs le Commissaire à la protection de la vie privée) et d’ainsi joindre le palmarès des lois de prochaine génération en matière de protection de la vie privée telles que le Règlement général sur la protection des données (RGPD) de l’Union européenne et le California Consumer Privacy Act entré en vigueur le 1er janvier 2020.  

Cette réforme tombe à pic considérant que 2020 marque la révision de la décision d’adéquation de la LPRPDÉ face au RGPD. Ce statut, accordé en 2001 par la Commission européenne, permet le libre transfert de données personnelles de l’Union européenne vers les entreprises canadiennes assujetties à la LPRPDÉ. Il va sans dire qu’il n’est pas dans l’intérêt du gouvernement canadien et de l’économie canadienne en général de perdre cet avantage. 

Dans le plus récent épisode de l’excellent balado LawBytes, le professeur Micheal Geist est d’avis que nous ne sommes plus à débattre de la nécessité de protéger la vie privée des Canadiens, la question est plutôt de savoir quelles actions il faut prendre à ce sujet. Nous ne pouvons que souhaiter que l’année 2020 apporte des solutions concrètes à cet égard.  

This content has been updated on 05/04/2020 at 16 h 18 min.