L’invitée de l’apéro : Éloïse Gratton. Éloïse est avocate, plus précisément Partner and National Co-Leader, Privacy and Data Protection Practice Group chez Borden Ladner. Elle a également déjà enseigné à HEC et à l’Université de Montréal. Aujourd’hui, elle donne des conférences et est sollicitée pour son avis d’experte dans les projets de loi de protection de la vie privée.
Jean-François ne tarit pas d’éloges à son endroit, la qualifiant de…
Généreuse, le fun, pas endormante et connaît énormément son sujet!
Comme on dit, ça promet.
Dans cet apéro, Jean-François et Éloïse discutent de :
Et puisque le sujet est plutôt costaud, ne perdons pas de temps, let’s go!
(Si vous devez vous mettre à jour sur la protection des données et l’apocalypse des cookies, rendez-vous sur notre blogue).
Au Québec, nous sommes la première juridiction au Canada à avoir déposé une loi, début 1990, en matière de protection des renseignements personnels. Même si les grands principes demeurent, la loi est maintenant un peu désuète. En effet, la réalité sur le web a énormément évolué, et donc, la mise à jour s’impose avec la loi 64 au Québec.
Au Canada, c’est la loi fédérale C-11 qui prévaut, à moins d’être au Québec, ou encore en Alberta ou en Colombie-Britannique. Cela signifie que, par exemple, une entreprise québécoise faisant des affaires partout au Canada doit se conformer 1. aux règles québécoises au Québec, 2. aux règles britanno-colombiennes en Colombie-Britannique, 3. aux règles albertaines en Alberta et 4. aux règles canadiennes ailleurs au pays. Compliqué? À peine…!
Et comment se situent les lois canadiennes par rapport aux États-Unis et à l’Europe? Nous sommes entre les deux. En Europe, la protection de la vie privée est beaucoup plus sévère, et de grandes pénalités s’appliquent. Disons que l’Europe donne du fil à retordre aux GAFAM.
Aux États-Unis, la vision est très différente. Il y a peu d’interventions, à part la Californie qui a mis en place une loi similaire au Canada.
Au Canada, nos lois sont plus alignées à l’Europe, mais sans grandes pénalités. Toutefois, cela devrait changer avec tout ce qui s’en vient.
Comme expliqué plus haut, le gouvernement québécois espère se mettre à jour afin de s’adapter au contexte actuel, et donc, de mieux protéger la vie privée des Québécois. Ces mises à jour touchent notamment :
La grande différence avec la loi des années 90? Le consentement explicite. Parce qu’à l’époque, on devait déjà expliquer, dans ses termes et conditions, la manière dont seront utilisées les données. Aujourd’hui, c’est pareil, mais l’utilisateur doit maintenant cocher si oui ou non il accepte les termes et conditions, d’où la notion de consentement explicite.
Une autre différence : on demande aux entreprises d’utiliser un langage clair et non un jargon légal incompris de tous. Est-ce que cela sous-entend qu’on peut écrire des centaines de pages de termes et conditions en langage clair, mais que personne ne lira parce que c’est trop long? Ici, la loi reste encore floue.
Au Québec, la loi stipule que l’on doit demander un consentement pour… absolument tout. Éloïse n’est pas d’accord avec cette position, parce qu’on donne le fardeau aux individus, et non aux entreprises. Elle espère que le Québec utilise son « gros bon sens » afin d’aller chercher le consentement quand ça compte vraiment (exemple plus bas).
Les deux lois ne sont pas nécessairement complètement différentes, mais la C-11 est un peu plus souple par rapport au consentement. On admet (comme en Europe) que cela ne fait pas de sens d’utiliser le consentement à toutes les sauces.
On a donc créé des exceptions pour des pratiques d’affaires usuelles, qui ne sont pas contraires aux attentes du consommateur. Par exemple, nul besoin d’avoir le consentement de son client pour lui envoyer sa facture (parce que c’est juste… normal de le faire!). Mais au Québec, on doit avoir le consentement systématiquement.
Le projet de loi du Québec est plus sévère qu’au Canada. À certains égards (comme le consentement systématique), il va plus loin qu’en Europe.
Cela dit, le projet de loi n’est pas encore terminé, il est actuellement négocié clause par clause. Le fédéral l’a déjà déposé… Peut-être que le Québec réalisera qu’il est préférable de s’arrimer un peu plus avec le Canada… À suivre.
Est-ce une stratégie politique du Québec pour gagner des votes? Pas nécessairement. Il y a aussi beaucoup de bonnes choses dans le projet, par rapport à la recherche ou encore aux incidents en matière de sécurité. Cela dit, le marketing est souvent le mal aimé par les commissaires (avec ses ciblages, son profilage…).
Selon Jean-François, cela va parfois trop loin, par exemple avec cet article de LaPresse accusant MétéoMédia (Pelmorex) de géolocaliser ses utilisateurs, alors qu’ils les géolocalisent pour leur donner la météo…! C’est dommage de s’attaquer à une entreprise canadienne, pendant que, juste à côté, les GAFAM vont bien plus loin.
Même si les données d’une entreprise québécoise sont stockées ailleurs, elle doit se conformer aux lois québécoises pour ses opérations ici. Mais pour Éloïse, la vraie question est : une fois que les renseignements personnels sont hébergés à l’étranger, est-ce qu’ils sont assujettis à d’autres règles? La réponse, c’est oui. Si des données sont hébergées en Chine, et que le gouvernement chinois décide d’y avoir accès, ce sont les lois chinoises qui prévalent. Et encore faut-il savoir où nos données sont hébergées, parce que parfois, on ne le sait même pas…
Héberger à l’étranger est toujours un risque d’affaires pour les entreprises. Mais actuellement, ce n’est pas interdit de le faire, il faut seulement être transparent. Par contre, dans le projet de loi 64, il devient plus compliqué d’entreposer à l’étranger. Il faut regarder quels pays sont admissibles et s’ils ont des lois semblables. Il faut avoir un contrat, faire une évaluation des risques… Bref, c’est très lourd. Cela dit, Éloïse ne croit pas que ces exigences vont rester, parce qu’elles sont irréalistes.
Il y a maintenant une exception pour les contacts d’affaires. Donc aujourd’hui, une adresse courriel professionnelle est un renseignement personnel, mais il y aurait une exclusion à venir. Nous n’aurions donc pas besoin d’avoir le consentement explicite pour utiliser cette donnée-là. Cela dit, avec la loi anti-spam qui s’applique (C-28) on ne peut pas faire n’importe quoi (comme envoyer un courriel sans consentement). Et en publicité? Encore beaucoup de zones grises.
Pour Éloïse, la loi C-28 allait déjà trop loin. Il faut faire une différence entre l’impact qu’à la personnalisation de la publicité et la sécurité des données… Cette loi nous donne des désavantages concurrentiels par rapport à d’autres marchés qui, comme aux États-Unis, fonctionnent encore avec un régime opt-out.
Non. Mais il y a un principe comme quoi on ne garde pas une donnée si elle n’est plus nécessaire à son produit ou service. Les entreprises doivent donc faire une réflexion là-dessus et avoir une politique en matière de rétention ; combien de temps souhaite-t-on conserver nos données?
Ceci dit, se débarrasser de données va à l’encontre des nouveaux outils d’IA; plus on a de données, plus on peut s’amuser, comprendre les tendances, faire des trouvailles étonnantes.
Alors, comment fait-on pour être clair sur l’utilisation des données, quand tous les usages ne sont pas encore connus par les entreprises utilisant l’IA? Eh bien, reste à voir si cette nouvelle utilisation est compatible avec la collecte initiale.
Si on offre des services gratuits, est-ce que le courriel devient un consentement? Avec le nouveau projet de loi, c’est encore une zone grise. Par exemple, chez Facebook en 2009, on a conclu que les renseignements personnels sont le prix à payer pour l’utilisation gratuite de la plateforme. Est-ce que ce raisonnement serait le même au Québec? On ne le sait pas encore.
Aujourd’hui, oui, c’est utopique. Mais avec les lois et pénalités à venir au Québec (jusqu’à 10 millions), on imagine que cela deviendra assez dissuasif. Au Canada, c’est différent, la loi donne moins de pouvoir au Commissariat à la protection de la vie privée.
Ceci dit, les mêmes pénalités étaient prévues avec la loi C-28; on parlait d’une trentaine d’inspecteurs à temps plein au Canada… Et pourtant, peu d’amendes ont été données. C’est vrai, mais selon Éloïse, cette loi est très mal rédigée, elle comporte plusieurs exceptions, et donc, elle est difficile à appliquer.
Sachez cependant que les décisions des commissaires surprennent parfois. Par exemple, celle de l’automne dernier sur les panneaux publicitaires intelligents d’un centre d’achat. Ces panneaux recueillaient des données générales sur l’heure et le type de profil fréquentant l’endroit (ex.: sexe et âge). Mais parce qu’un numéro unique était assigné à chaque passant, on a décrété que la donnée pouvait être sensible…
Mais comment avoir le consentement explicite dans ce contexte? C’est presque impossible… Par contre, il faudrait minimalement informer le visiteur (même si cela demeure non explicite), et s’assurer qu’aucune information sensible ne soit recueillie (comme le numéro unique). Qu’est-ce qu’une donnée sensible exactement? Encore une zone grise!
C’est vrai, cela apporte énormément d’incertitude. Mais cela apporte aussi une flexibilité intéressante pour des entreprises qui innovent, et qui ont envie de lancer de nouvelles pratiques. Par exemple, la notion de donnée sensible n’est pas claire, mais mieux vaut voir comment les choses évoluent avant de se fixer. En Europe, la liste des renseignements sensibles est déjà déterminée (religion, orientation sexuelle, données financières…).
1. Rédiger une section termes et conditions de qualité
2. Créer un groupe pilote (ou focus group) avec de tester la raisonnabilité (soit l’attente raisonnable du consommateur moyen)
3. S’assurer d’avoir le consentement explicite pour l’utilisation des données
4. Respecter la volonté des clients
5. Avoir les moyens technologiques de nos ambitions
C’est un défi, mais l’un des principes fondamentaux, c’est que la loi doit être neutre d’un point de vue technologique. Ce qui veut dire que nous n’aurons pas à la modifier dans 6 mois ou 1 an. Ce qui veut aussi dire que nous disposons de lois plus flexibles, et donc, de zones grises.
En d’autres mots, nous devons faire de la gestion de risque, moins de conformité. Il est difficile de cocher des cases. Il faut arrêter de voir tout noir ou tout blanc. Il faut plutôt naviguer intelligemment et de façon responsable dans le risque, en tenant compte de la psychologie du consommateur.
Parce que n’oublions pas une chose : tous ces bouleversements sont pour le bien du consommateur. Si nous faisons les choses en ce sens, ça devrait bien aller.