en
en
5 min.
La question légale de l’utilisation des données
1L’art de la gestion de projet2Un projet à succès commence par une bonne gouvernance3Cascade, agilité, demandes de changement?

La question légale de l’utilisation des données

Stéphanie Gélinas
Plus sur l'auteur
  • Niveau Technique
  • 04 févr. 2021
Apéros

L’invitée de l’apéro : Éloïse Gratton. Éloïse est avocate, plus précisément Partner and National Co-Leader, Privacy and Data Protection Practice Group chez Borden Ladner. Elle a également déjà enseigné à HEC et à l’Université de Montréal. Aujourd’hui, elle donne des conférences et est sollicitée pour son avis d’experte dans les projets de loi de protection de la vie privée. 

Jean-François ne tarit pas d’éloges à son endroit, la qualifiant de…

Généreuse, le fun, pas endormante et connaît énormément son sujet!

Comme on dit, ça promet.

Dans cet apéro, Jean-François et Éloïse discutent de :

  • L’histoire de la protection des données chez nous
  • La loi 64 provinciale (au Québec)
  • La loi C-11 fédérale (au Canada)
  • Les entreprises – Suivront-elles vraiment ces lois?
  • Ce que les organisations devraient faire aujourd’hui pour le respect de la vie privée

Et puisque le sujet est plutôt costaud, ne perdons pas de temps, let’s go!

(Si vous devez vous mettre à jour sur la protection des données et l’apocalypse des cookies, rendez-vous sur notre blogue). 

Un peu d’histoire

Au Québec, nous sommes la première juridiction au Canada à avoir déposé une loi, début 1990, en matière de protection des renseignements personnels. Même si les grands principes demeurent, la loi est maintenant un peu désuète. En effet, la réalité sur le web a énormément évolué, et donc, la mise à jour s’impose avec la loi 64 au Québec.

Au Canada, c’est la loi fédérale C-11 qui prévaut, à moins d’être au Québec, ou encore en Alberta ou en Colombie-Britannique. Cela signifie que, par exemple, une entreprise québécoise faisant des affaires partout au Canada doit se conformer 1. aux règles québécoises au Québec, 2. aux règles britanno-colombiennes en Colombie-Britannique, 3. aux règles albertaines en Alberta et 4. aux règles canadiennes ailleurs au pays. Compliqué? À peine…!

Et comment se situent les lois canadiennes par rapport aux États-Unis et à l’Europe? Nous sommes entre les deux. En Europe, la protection de la vie privée est beaucoup plus sévère, et de grandes pénalités s’appliquent. Disons que l’Europe donne du fil à retordre aux GAFAM. 

Aux États-Unis, la vision est très différente. Il y a peu d’interventions, à part la Californie qui a mis en place une loi similaire au Canada. 

Au Canada, nos lois sont plus alignées à l’Europe, mais sans grandes pénalités. Toutefois, cela devrait changer avec tout ce qui s’en vient. 

Qu’est-ce que la loi 64?

Comme expliqué plus haut, le gouvernement québécois espère se mettre à jour afin de s’adapter au contexte actuel, et donc, de mieux protéger la vie privée des Québécois. Ces mises à jour touchent notamment :

  • La sécurité
  • La gouvernance
  • L’accès à l’information
  • L’âge du consentement, qui passe de 13 à 14 ans
  • L’utilisation des données en recherche (aujourd’hui facilitée) 
  • Les pénalités (les récalcitrants seraient passibles d’amendes pouvant aller jusqu’à 10 millions ou 10 % de leur chiffre d’affaires)

La grande différence avec la loi des années 90? Le consentement explicite. Parce qu’à l’époque, on devait déjà expliquer, dans ses termes et conditions, la manière dont seront utilisées les données. Aujourd’hui, c’est pareil, mais l’utilisateur doit maintenant cocher si oui ou non il accepte les termes et conditions, d’où la notion de consentement explicite.

Une autre différence : on demande aux entreprises d’utiliser un langage clair et non un jargon légal incompris de tous. Est-ce que cela sous-entend qu’on peut écrire des centaines de pages de termes et conditions en langage clair, mais que personne ne lira parce que c’est trop long? Ici, la loi reste encore floue.

Au Québec, la loi stipule que l’on doit demander un consentement pour… absolument tout. Éloïse n’est pas d’accord avec cette position, parce qu’on donne le fardeau aux individus, et non aux entreprises. Elle espère que le Québec utilise son « gros bon sens » afin d’aller chercher le consentement quand ça compte vraiment (exemple plus bas). 

Quelles sont les différences avec la loi C-11?

Les deux lois ne sont pas nécessairement complètement différentes, mais la C-11 est un peu plus souple par rapport au consentement. On admet (comme en Europe) que cela ne fait pas de sens d’utiliser le consentement à toutes les sauces. 

On a donc créé des exceptions pour des pratiques d’affaires usuelles, qui ne sont pas contraires aux attentes du consommateur. Par exemple, nul besoin d’avoir le consentement de son client pour lui envoyer sa facture (parce que c’est juste… normal de le faire!). Mais au Québec, on doit avoir le consentement systématiquement.

Est-ce que le Québec va trop loin?

Le projet de loi du Québec est plus sévère qu’au Canada. À certains égards (comme le consentement systématique), il va plus loin qu’en Europe. 

Cela dit, le projet de loi n’est pas encore terminé, il est actuellement négocié clause par clause. Le fédéral l’a déjà déposé… Peut-être que le Québec réalisera qu’il est préférable de s’arrimer un peu plus avec le Canada… À suivre.

Est-ce une stratégie politique du Québec pour gagner des votes? Pas nécessairement. Il y a aussi beaucoup de bonnes choses dans le projet, par rapport à la recherche ou encore aux incidents en matière de sécurité. Cela dit, le marketing est souvent le mal aimé par les commissaires (avec ses ciblages, son profilage…).

Selon Jean-François, cela va parfois trop loin, par exemple avec cet article de LaPresse accusant MétéoMédia (Pelmorex) de géolocaliser ses utilisateurs, alors qu’ils les géolocalisent pour leur donner la météo…! C’est dommage de s’attaquer à une entreprise canadienne, pendant que, juste à côté, les GAFAM vont bien plus loin.

Qu’en est-il des données stockées dans des serveurs étrangers?

Même si les données d’une entreprise québécoise sont stockées ailleurs, elle doit se conformer aux lois québécoises pour ses opérations ici. Mais pour Éloïse, la vraie question est : une fois que les renseignements personnels sont hébergés à l’étranger, est-ce qu’ils sont assujettis à d’autres règles? La réponse, c’est oui. Si des données sont hébergées en Chine, et que le gouvernement chinois décide d’y avoir accès, ce sont les lois chinoises qui prévalent. Et encore faut-il savoir où nos données sont hébergées, parce que parfois, on ne le sait même pas… 

Héberger à l’étranger est toujours un risque d’affaires pour les entreprises. Mais actuellement, ce n’est pas interdit de le faire, il faut seulement être transparent. Par contre, dans le projet de loi 64, il devient plus compliqué d’entreposer à l’étranger. Il faut regarder quels pays sont admissibles et s’ils ont des lois semblables. Il faut avoir un contrat, faire une évaluation des risques… Bref, c’est très lourd. Cela dit, Éloïse ne croit pas que ces exigences vont rester, parce qu’elles sont irréalistes.

Est-ce qu’en B2B, les mêmes lois s’appliquent?

Il y a maintenant une exception pour les contacts d’affaires. Donc aujourd’hui, une adresse courriel professionnelle est un renseignement personnel, mais il y aurait une exclusion à venir. Nous n’aurions donc pas besoin d’avoir le consentement explicite pour utiliser cette donnée-là. Cela dit, avec la loi anti-spam qui s’applique (C-28) on ne peut pas faire n’importe quoi (comme envoyer un courriel sans consentement). Et en publicité? Encore beaucoup de zones grises.

Pour Éloïse, la loi C-28 allait déjà trop loin. Il faut faire une différence entre l’impact qu’à la personnalisation de la publicité et la sécurité des données… Cette loi nous donne des désavantages concurrentiels par rapport à d’autres marchés qui, comme aux États-Unis, fonctionnent encore avec un régime opt-out.

Est-ce qu’il y a une date de péremption des données? 

Non. Mais il y a un principe comme quoi on ne garde pas une donnée si elle n’est plus nécessaire à son produit ou service. Les entreprises doivent donc faire une réflexion là-dessus et avoir une politique en matière de rétention ; combien de temps souhaite-t-on conserver nos données?

Ceci dit, se débarrasser de données va à l’encontre des nouveaux outils d’IA; plus on a de données, plus on peut s’amuser, comprendre les tendances, faire des trouvailles étonnantes.

Alors, comment fait-on pour être clair sur l’utilisation des données, quand tous les usages ne sont pas encore connus par les entreprises utilisant l’IA? Eh bien, reste à voir si cette nouvelle utilisation est compatible avec la collecte initiale. 

Et pour les plateformes ou services gratuits?

Si on offre des services gratuits, est-ce que le courriel devient un consentement? Avec le nouveau projet de loi, c’est encore une zone grise. Par exemple, chez Facebook en 2009, on a conclu que les renseignements personnels sont le prix à payer pour l’utilisation gratuite de la plateforme. Est-ce que ce raisonnement serait le même au Québec? On ne le sait pas encore. 

Est-ce utopique de penser que les entreprises suivront les lois? Ou que de vraies pénalités seront données? 

Aujourd’hui, oui, c’est utopique. Mais avec les lois et pénalités à venir au Québec (jusqu’à 10 millions), on imagine que cela deviendra assez dissuasif. Au Canada, c’est différent, la loi donne moins de pouvoir au Commissariat à la protection de la vie privée. 

Ceci dit, les mêmes pénalités étaient prévues avec la loi C-28; on parlait d’une trentaine d’inspecteurs à temps plein au Canada… Et pourtant, peu d’amendes ont été données. C’est vrai, mais selon Éloïse, cette loi est très mal rédigée, elle comporte plusieurs exceptions, et donc, elle est difficile à appliquer. 

Sachez cependant que les décisions des commissaires surprennent parfois. Par exemple, celle de l’automne dernier sur les panneaux publicitaires intelligents d’un centre d’achat. Ces panneaux recueillaient des données générales sur l’heure et le type de profil fréquentant l’endroit (ex.: sexe et âge). Mais parce qu’un numéro unique était assigné à chaque passant, on a décrété que la donnée pouvait être sensible… 

Mais comment avoir le consentement explicite dans ce contexte? C’est presque impossible… Par contre, il faudrait minimalement informer le visiteur (même si cela demeure non explicite), et s’assurer qu’aucune information sensible ne soit recueillie (comme le numéro unique). Qu’est-ce qu’une donnée sensible exactement? Encore une zone grise!

Pourquoi y a-t-il encore trop de zones grises?

C’est vrai, cela apporte énormément d’incertitude. Mais cela apporte aussi une flexibilité intéressante pour des entreprises qui innovent, et qui ont envie de lancer de nouvelles pratiques. Par exemple, la notion de donnée sensible n’est pas claire, mais mieux vaut voir comment les choses évoluent avant de se fixer. En Europe, la liste des renseignements sensibles est déjà déterminée (religion, orientation sexuelle, données financières…).

Qu’est-ce que les entreprises devraient faire aujourd’hui pour le respect de la vie privée?

1. Rédiger une section termes et conditions de qualité

  • Accès clair aux différentes sections (par exemple, avec une table des matières automatisée).
  • Prioriser l’information qui intéresse vraiment le lecteur au tout début du document.
  • Écrire en langage clair et non en jargon légal.
  • Être le plus transparent possible sur l’utilisation des données, incluant des exemples concrets; il ne suffit pas de mentionner que les données pourraient être partagées à des tiers – il faut des exemples de ces plateformes tierces.

2. Créer un groupe pilote (ou focus group) avec de tester la raisonnabilité (soit l’attente raisonnable du consommateur moyen)

  • Par exemple, est-ce que l’utilisation des données X est raisonnable et non intrusive? Est-elle comprise? 
  • Puisqu’il y a beaucoup de zones grises, documenter un tel processus peut nous backer, et nous aider à gérer le risque.

3. S’assurer d’avoir le consentement explicite pour l’utilisation des données

4. Respecter la volonté des clients

  • Certains de vos clients ne veulent plus recevoir votre infolettre? Eh bien, la moindre des choses, c’est de respecter leur volonté.

5. Avoir les moyens technologiques de nos ambitions

  • Vos bases de données sont-elles assez bien segmentées pour répondre à vos promesses d’utilisation?
  • Ou encore, vos systèmes sont-ils assez bien implantés pour utiliser vos données tel que promis?

Et pour terminer, serons-nous capables de suivre tous ces changements?

C’est un défi, mais l’un des principes fondamentaux, c’est que la loi doit être neutre d’un point de vue technologique. Ce qui veut dire que nous n’aurons pas à la modifier dans 6 mois ou 1 an. Ce qui veut aussi dire que nous disposons de lois plus flexibles, et donc, de zones grises.

En d’autres mots, nous devons faire de la gestion de risque, moins de conformité. Il est difficile de cocher des cases. Il faut arrêter de voir tout noir ou tout blanc. Il faut plutôt naviguer intelligemment et de façon responsable dans le risque, en tenant compte de la psychologie du consommateur.

Parce que n’oublions pas une chose : tous ces bouleversements sont pour le bien du consommateur. Si nous faisons les choses en ce sens, ça devrait bien aller. 

Stéphanie Gélinas

Nous joindre Contactez nos experts en gestion de projet 1 888-598-1881

PASSEZ AU PROCHAIN NIVEAU

1 888-598-1881

4388, rue Saint-Denis, Suite 300, Montréal, QC, H2J 2L1 Tous droits réservés - Adviso 2023