Entrée en vigueur de la majorité des dispositions de la Loi 25 visant à moderniser le cadre juridique applicable au Québec en matière de protection des renseignements personnels

 22 septembre 2023 - Entrée en vigueur de la majorité des dispositions de la Loi 25 visant à moderniser le cadre juridique applicable au Québec en matière de protection des renseignements personnels (RP) tant à l’égard des organismes publics, des entreprises que des ordres professionnels.

Parmi les dispositions qui entrent en vigueur aujourd’hui, on retrouve entre autres:

- les évaluations de facteurs relatifs à la vie privée (EFVP) à réaliser, notamment, pour tout projet d’acquisition, de développement ou de refonte d’un système d’’information ou de prestation électronique de services impliquant des RP ou encore avant toute communication de RP à l’extérieur du Québec. 

D’ailleurs, la Commission d’accès à l’information vient de publier une nouvelle version de son Guide d’accompagnement - Réaliser une évaluation des facteurs relatifs à la vie privée et propose un modèle générique de rapport permettant de rendre compte des résultats d’une EFVP;

- les notions de renseignements personnels sensibles, dépersonnalisés et anonymisés, en plus de la nouvelle définition de ce qu’est un RP;

- les informations à fournir, par exemple, lors de la collecte de RP, lors du recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne ou encore lorsqu’une décision fondée exclusivement sur un traitement automatisé est rendue à l’endroit d’une personne;

- les nouveaux critères de validité du consentement, incluant à l’égard des RP sensibles et des mineurs;

- l’adoption de règles encadrant la gouvernance des RP, incluant la publication d’une politique de confidentialité;

- les paramètres de confidentialité des produits ou services technologiques offerts au public qui, par défaut, doivent offrir le plus haut niveau de confidentialité;

- la dépersonnalisation des RP lorsque ceux-ci sont utilisés à des fins d’étude, de recherche ou de production de statistiques;

- les nouveaux droits offerts aux personnes concernées, dont la cessation de la diffusion d’un RP, la désindexation de tout hyperlien rattaché à un nom ou encore la communication de RP d’une personne décédée; 

- le nouveau montant des amendes qui peuvent être prononcées, mais aussi le fait que la CAI peut imposer des sanctions administratives pécuniaires à l’égard d’une personne ou d’une entreprise en cas de manquement à la loi.

Biométrie - Guide de l'ICO ouvert à la consultation

 Si vous vous intéressez à la 𝗯𝗶𝗼𝗺𝗲́𝘁𝗿𝗶𝗲, voici un guide produit par l'Information Commissioner's Office (Royaume-Uni). Ce guide fait l’objet d’une phase de consultation jusqu’au 20 octobre 2023.

Au Québec, vous devez tenir compte de la 𝘓𝘰𝘪 𝘤𝘰𝘯𝘤𝘦𝘳𝘯𝘢𝘯𝘵 𝘭𝘦 𝘤𝘢𝘥𝘳𝘦 𝘫𝘶𝘳𝘪𝘥𝘪𝘲𝘶𝘦 𝘥𝘦𝘴 𝘵𝘦𝘤𝘩𝘯𝘰𝘭𝘰𝘨𝘪𝘦𝘴 𝘥𝘦 𝘭’𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯 (art. 44 et 45), si vous avez l’intention:

• de vérifier ou de confirmer l’identité d’une personne au moyen d’un procédé permettant de saisir des caractéristiques ou des mesures biométriques; 
• de constituer une banque de caractéristiques ou de mesures biométriques.

Vous devez également tenir compte, selon si vous êtes un organisme public ou une entreprise, de la 𝘓𝘰𝘪 𝘴𝘶𝘳 𝘭’𝘢𝘤𝘤𝘦̀𝘴 𝘢𝘶𝘹 𝘥𝘰𝘤𝘶𝘮𝘦𝘯𝘵𝘴 𝘥𝘦𝘴 𝘰𝘳𝘨𝘢𝘯𝘪𝘴𝘮𝘦𝘴 𝘱𝘶𝘣𝘭𝘪𝘤𝘴 𝘦𝘵 𝘴𝘶𝘳 𝘭𝘢 𝘱𝘳𝘰𝘵𝘦𝘤𝘵𝘪𝘰𝘯 𝘥𝘦𝘴 𝘳𝘦𝘯𝘴𝘦𝘪𝘨𝘯𝘦𝘮𝘦𝘯𝘵𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘯𝘦𝘭𝘴 ou de la 𝘓𝘰𝘪 𝘴𝘶𝘳 𝘭𝘢 𝘱𝘳𝘰𝘵𝘦𝘤𝘵𝘪𝘰𝘯 𝘥𝘦𝘴 𝘳𝘦𝘯𝘴𝘦𝘪𝘨𝘯𝘦𝘮𝘦𝘯𝘵𝘴 𝘱𝘦𝘳𝘴𝘰𝘯𝘯𝘦𝘭𝘴 𝘥𝘢𝘯𝘴 𝘭𝘦 𝘴𝘦𝘤𝘵𝘦𝘶𝘳 𝘱𝘳𝘪𝘷𝘦́.

De plus, vous devez déclarer votre banque de caractéristiques ou de mesures biométriques à la Commission d'accès à l'information - pour plus de détails, voir: https://www.cai.gouv.qc.ca/biometrie/.

Mise à jour du référentiel sur les règles d’entreprise contraignantes « responsable de traitement » par le Comité européen de la protection des données.

Mise à jour du référentiel sur les règles d’entreprise contraignantes « responsable de traitement » par le Comité européen de la protection des données. 

 

En vertu du Règlement général sur la protection des renseignements personnels, en l’absence d’une décision de la Commission européenne assurant qu’un pays tiers assure un niveau de protection adéquat (art. 45), le responsable du traitement ou le sous-traitant ne peut transférer des données à caractère personnel vers un pays tiers que s’il est prévu des garanties appropriées (art. 46).

Parmi ces garanties, on retrouve les règles d’entreprise contraignantes  (art. 47) (ou binding corporate rules ou BCR), soit 

« un outil qui peut être utilisé par un groupe d’entreprise ou de sociétés, engagées dans une activité économique commune, pour transférer des données personnelles en dehors de l’Espace économique européen entre responsable de traitement ou sous-traitants, au sein du même groupe. Elles amènent les sociétés adhérentes d’un même groupe à déployer un schéma de gouvernance commun qui permet d’établir un niveau de protection des données essentiellement équivalent à celui prévu par le RGPD. Les BCR créent également des droits pour les personnes concernées en tant que tiers bénéficiaires ».

(CNIL, « Glossaire »)  

Pour aller plus loin: 

• European Data Protection Board, Recommandations 1/2022 on the Application for Approval and on the elements and principles to be found in Controller Binding Corporate Rule (Art. 47 GDPR), 20 juin 2023;
• Commission nationale de l’informatique et des libertés, « Le CEDP adopte la version définitive du référentiel BCR « responsable de traitement »», 7 août 2023.

CNIL-LINC - Privacy Research Day - Synthèse des panels

 Le Laboratoire d’Innovation Numérique de la Commission nationale Informatique et Libertés (CNIL) publie la synthèse des panels de la 2e édition du Privacy Research Day de juin dernier.

Ces panels portaient sur :

• Les effets du Règlement général sur la protection des données (RGPD) 5 ans après son entrée en vigueur;
• Les attaques par inférence et (ré)identification;
• - Le point de vue des utilisateurs quant à la réglementation du RGPD au quotidien;
• - Peut-on faire confiance aux technologies améliorant la confidentialité (TAC ou PETS, pour Privacy Enhancing Technologies);
• - L’intelligence artificielle en pratique.

Applications mobiles - Consultation de la CNIL sur son projet de recommandation

 La Commission nationale de l'informatique et des libertés (CNIL) lance une consultation publique sur son projet de recommandation au sujet des applications mobiles. Cette consultation se termine le 8 octobre 2023.

Le projet de recommandation vise principalement à:  

• clarifier et encadrer le rôle de chacun des acteurs intervenants dans cet écosystème à savoir: les éditeurs, les développeurs, les fournisseurs de kits de développement logiciel, les fournisseurs de systèmes d’exploitation et les fournisseur de magasins d’application; 
• assurer une information et un recueil du consentement respectueux des utilisateurs; et
• favoriser les bonnes pratiques au bénéfice des utilisateurs.

Cette consultation s’inscrit dans le cadre du plan d’action de la CNIL à ce sujet présenté en novembre 2022.

Un appel à contributions a eu lieu en janvier 2023 afin de mieux appréhender l’écosystème en termes de modèles d’affaires et d’incitations économiques.

La synthèse des contributions est publiée dans le document « Collecte des données dans les applications mobiles: les enjeux économiques ».

API, Protection des données et de l’environnement, Applications mobiles, Menaces informatiques

Parmi les lectures de ces derniers jours:

1. Recommandation de la CNIL sur l’utilisation des interfaces de programmation applicatives (API)

Observant « une augmentation soutenue des partages de données à caractère personnel entre organismes, qu’ils soient publics ou privés » et « l’intérêt croissant dans la réutilisation des données pour diverses finalités », la CNIL publie une recommandation qui « vise à identifier les cas dans lesquels l’utilisation d’une API est préconisée afin de partager de manière sécurisée des données à caractère personnel ou des informations issues de leur anonymisation, et à diffuser certaines bonnes pratiques concernant leur mise en oeuvre et leur utilisation ».

Ainsi en plus de mettre l’accent sur le rôle du détenteur des données, du gestionnaire d’API et du réutilsateur, la CNIL mentionne « qu’une analyse au cas par cas est indispensable pour définir la qualification juridique des acteurs, et ainsi déterminer sur quel(s) acteur(s), à quel titre et dans quelle mesure, pèse la responsabilité de tenir compte des recommandations [générales et spécifiques exposées].

Elle précise aussi que

• « le partage par le biais d’une API permet une meilleur supervision du partage des données, d’une part en contrôlant les accès, le degré de précision des données transmises et, le cas échéant, les finalités d’utilisation des données et, d’autre part, grâce à la mise en place d’une interface d’échange standardisée entre détenteur, gestionnaire et réutilisation, en permettant la transmission sécurisée d’informations associées à l’échange de données (durée de conservation, gestion de l’exercice des droits et notamment du droit à la portabilité, etc.) »;
• « les objectifs suivants devraient être considérés comme prioritaires lors de la mise en oeuvre de mesures visant à réduire les risques: la minimisation des données échangées; l’exactitude des données sources; la traçabilité des accès; le gouvernance et le respect des droits; [et] la sécurité. [Ces objectifs] sont à considérer dans le contexte du partage de données, selon la vraisemblance et la gravité des risques associés »;
• « les organismes impliqués dans le partage de données devraient se coordonner pour fournir une information claire et complète aux personnes concernant le traitement de mise à disposition de leurs données à caractère personnel » et ce, en insistant notamment sur les mesures de traçabilité, la journalisation des accès et des actions, description détaillée des données partagées, fréquence d’échantillonage ou encore les opérations réalisées en amont (i.e pseudonymisation, anonymisation);
• « lorsqu’une personne concernée par le partage retire son consentement, exerce sont droit d’opposition ou à la limitation, l’API devrait intégrer un dispositif technique permettant d’exclure automatiquement du champ du partage les données concernées », et « l’API devrait également intégrer un dispositif spécifique permettant au détenteur de données d’informer chaque réutilisateur auquel les données ont été communiquées, de toute rectification, effacement de données ou limitation de traitement faisant suite à l’exercice des droits par les personnes concernées […] ». 

Pour plus de détails: Commission nationale de l’informatique et des libertés, « La CNIL publie une recommandation technique relative au partage de données par API », Actualité, 7 juillet 2023 (https://www.cnil.fr/fr/la-cnil-publie-une-recommandation-technique-relative-au-partage-de-donnees-par-api)

2. 9e Cahier Innovation & Prospective du Laboratoire d’innovation numérique de la CNIL: « Données, empreinte et libertés » 

Après avoir fait un état des lieux entre autres en ce qui concerne l’empreinte numérique, les centres de données (data centers), l’intelligence artificielle, les chaines de bloc (blockchain), la réalité virtuelle et augmentée, la publicité ciblée, le chiffrement ou encore le reconditionnement, la CNIL donne des pistes pour rapprocher la protection des données et de l’environnement: 

• Promouvoir une informatique sobre et frugale;
• Renforcer, documenter et rendre interopérables les bonnes pratiques sectorielles;
• Engager un débat sur les libertés et la transparence;
• Fournir les moyen d’un partage vertueux des données environnementales;
• Poursuivre l’engagement de la CNIL dans sa transition environnementale

Pour plus de détails: Commission nationale de l’informatique et des libertés, « Données, empreinte et libertés : la CNIL présente son nouveau cahier Innovation & Prospective », Actualité, 4 juillet 2023 (https://www.cnil.fr/fr/donnees-empreinte-et-libertes-la-cnil-presente-son-nouveau-cahier-innovation-prospective)

3. Blogue du Commissariat à la protection de la vie privée du Canada afin de promouvoir les pratiques exemplaires relatives aux applications mobiles … Pour plus de détails: https://www.priv.gc.ca/fr/nouvelles-du-commissariat/nouvelles-et-annonces/2023/an_230629/

4. Agence nationale de la sécurité des systèmes d’information, État de la menace informatique contre les cabinets d’avocats, 27 juin 2023, https://www.cert.ssi.gouv.fr/uploads/CERTFR-2023-CTI-004.pdf

Intelligence artificielle - Déclaration des autorités des protection des données et de la vie privée du G7

 Lors de la réunion des autorités de protection des données et de la vie privée du G7 qui a eu lieu les 20 et 21 juin 2023 à Tokyo, une Déclaration commune, un Plan d'action et un Communiqué ont été adopté.

- 𝗗𝗲́𝗰𝗹𝗮𝗿𝗮𝘁𝗶𝗼𝗻 𝘀𝘂𝗿 𝗹’𝗶𝗻𝘁𝗲𝗹𝗹𝗶𝗴𝗲𝗻𝗰𝗲 𝗮𝗿𝘁𝗶𝗳𝗶𝗰𝗶𝗲𝗹𝗹𝗲 (𝗜𝗔) 𝗴𝗲́𝗻𝗲́𝗿𝗮𝘁𝗶𝘃𝗲
Cette déclaration met l’accent sur « les principaux domaines où il y a des préoccupations quant aux risques pour la protection de la vie privée et des données qui pourraient se présenter dans le contexte d’outils d’IA ».
Elle rappelle également que « les développeurs et les fournisseurs doivent intégrer la protection de la vie privée dans la conception, le fonctionnement et la gestion des nouveaux produits et services qui utilisent les technologies de l’IA générative, en se fondant sur le concept de « la vie privée dès la conception », et inscrire leurs choix et leurs analyses dans une évaluation des facteurs relatifs à la vie privée ».
https://lnkd.in/eW3kC9UC

- 𝗣𝗹𝗮𝗻 𝗱’𝗮𝗰𝘁𝗶𝗼𝗻
Ce plan insiste sur les éléments suivants: (1) libre circulation des données dans la confiance; (2) technologies émergentes, notamment l’intelligence artificielle, la reconnaissance faciale ou encore les technologies d’amélioration de la confidentialité et, (3) coopération en matière d’application de la loi.
https://lnkd.in/ecNAzYew

- 𝗖𝗼𝗺𝗺𝘂𝗻𝗶𝗾𝘂𝗲́: https://lnkd.in/eMT3TBtH

Pour plus d'informations, voir notamment:
- Commissariat à la protection de la vie privée du Canada/Office of the Privacy Commissioner of Canada, « Les autorités de protection des données et de la vie privée du G7 publient une déclaration commune sur l’IA générative à la suite de leur discussion sur les technologies émergentes », Annonce, 22 juin 2023 https://lnkd.in/e3p5JhbM
- CNIL (France), « IA générative: le G7 des autorités de protection des données adopte une déclaration commune », Actualités, 23 juin 2023 https://lnkd.in/ea-caKpS

Confiance et Identité numérique

Durant la fin de semaine, je me suis replongée dans un article que j’ai écrit en 2007 sur « la confiance, instrument de régulation des instruments électroniques » (https://lnkd.in/eECRKH2Y) après avoir pris connaissance de deux documents sur l’identité numérique :

- 𝘓𝘪𝘷𝘳𝘦 𝘣𝘭𝘢𝘯𝘤 𝘴𝘶𝘳 𝘭'𝘪𝘥𝘦𝘯𝘵𝘪𝘵𝘦́ 𝘯𝘶𝘮𝘦́𝘳𝘪𝘲𝘶𝘦 - 𝘝𝘪𝘷𝘳𝘦 𝘢̀ 𝘭'𝘦̀𝘳𝘦 𝘯𝘶𝘮𝘦́𝘳𝘪𝘲𝘶𝘦 𝘦𝘯 𝘵𝘰𝘶𝘵𝘦 𝘤𝘰𝘯𝘧𝘪𝘢𝘯𝘤𝘦 𝘤'𝘦𝘴𝘵 𝘱𝘰𝘴𝘴𝘪𝘣𝘭𝘦 (mai 2023) (https://lnkd.in/euNJNfkh) réalisé avec l’appui du Laboratoire d’identité numérique du Canada (IDLab)
- CNIL, 𝘓'𝘪𝘥𝘦𝘯𝘵𝘪𝘵𝘦́ 𝘯𝘶𝘮𝘦́𝘳𝘪𝘲𝘶𝘦, Dossier (mars 2023) (https://lnkd.in/epjXXF8S)

Après avoir précisé ce qu’il convient d’entendre par « identité numérique », soit:
- une « représentation numérique d’une personne lui permettant de prouver son identité afin d’effectuer des interactions avec des organisations et d’accéder de façon simple et sécuritaire à des services », ce qui nécessite de recréer un triangle de confiance car « l’identité numérique n’est donc pas un identifiant unique comme un numéro d’assurance sociale numérique, mais un ensemble d’attestations vérifiables propres à une personne [...] contenues dans le portefeuille numérique de la personne et sous le contrôle exclusif de celle-ci » (Livre blanc, pp. 6 et 9);
- le fait que les attributs d’une personne, par ex. les nom, prénom ou encore lieu de naissance « sont enregistrés sous forme numérique, et utilisables en ligne notamment pour interagir avec des systèmes d’information », que cela « repose sur [...] un élément matériel et/ou immatériel contenant des données d’identification personnelle et utilisé pour s’authentifier à un service en ligne », ce qui fait en sorte que cela « permet de créer un certain niveau de confiance numérique pour l’identification (…), l’authentification (…), la preuve d’attributs d’identité (…) » (CNIL, p. 4);
les auteurs mettent l’emphase sur le fait que cette identité permettra de renforcer la protection des renseignements personnels, de bâtir la confiance numérique (Livre blanc, pp. 10-13), mais aussi à lutter contre la fraude (Livre blanc, pp. 22-23), tout en insistant sur les enjeux de sécurité et de respect des droits fondamentaux (CNIL, pp. 10-15).

Dans mon article, je concluais en disant notamment que la confiance s’établit au fil des expériences avant de s’installer, qu’elle doit s’entretenir mais surtout que la défiance, la méfiance, la mauvaise publicité, la désaffectation sont au nombre des conséquences d’un bris de confiance … cette conclusion, après la lecture de ces deux documents sur l’identité numérique, trouve encore application.

Protection des renseignements personnels : plus que 6 mois avant l’entrée en vigueur de la majorité des dispositions de la Loi 25.

Dans 6 mois, soit le 22 septembre 2023, la majorité des dispositions de la Loi 25 venant moderniser le cadre juridique applicable aux renseignements personnels au Québec tant à l’égard des organismes publics que des entreprises seront en vigueur.
 
Ainsi, à partir de cette date, les organismes publics et les entreprises devront tenir comptes des nouvelles exigences en lien, notamment, avec :

• les règles encadrant la gouvernance des renseignements personnels;
• le consentement, surtout lorsqu’il est question de renseignements personnels sensibles;
• les évaluations de facteurs relatifs à la vie privée (EFVP) à réaliser, entre autres, pour tout projet d’acquisition, de développement ou de refonte d’un système d’’information ou de prestation électronique de services impliquant des renseignements personnels ou encore avant toute communication de renseignements personnels à l’extérieur du Québec;
• les informations à fournir, par exemple, lors du recours à une technologie comprenant des fonctions permettant d’identifier, de localiser ou d’effectuer le profilage d’une personne ou encore lorsqu’une décision fondée exclusivement sur un traitement automatisé est rendue à l’endroit d’une personne;
• les paramètres de confidentialité des produits ou services technologiques offerts au public qui, par défaut, doivent offrir le plus haut niveau de confidentialité;
• la dépersonnalisation, l’anonymisation, la cessation de la diffusion ou la désindexation d’un lien hypertexte.

Ces exigences viennent s’ajouter à celles qui sont entrées en vigueur le 22 septembre 2022, à savoir la désignation d’un responsable de la protection des renseignements personnels pour les entreprises, la constitution d’un comité sur l’accès à l’information et la protection des renseignements personnels pour les organismes publics, la déclaration des incidents de confidentialité ou encore le délai pour divulguer à la Commission d’accès à l’information la création d’une banque de caractéristiques ou de mesures biométriques.

Même s’il reste encore quelques mois, il ne faut surtout pas sous-estimer l’ampleur de la tâche d’autant, qu’à partir, du 22 septembre 2023, le montant des amendes pouvant être prononcées à l’égard d’un organisme public et d’une entreprise sera plus élevé qu’actuellement, tout comme celui des dommages-intérêts punitifs pouvant être accordés. De plus, la Commission aura également le pouvoir d’imposer des sanctions administratives pécuniaires à l’égard d’une personne ou d’une entreprise en cas de manquement à la loi.

#Loi25 #Québec #renseignementspersonnels #secteurpublic #entreprises #gouvernance #consentement #EFVP #consentement #incidentsdeconfidentialité #biométrie #ComitéAIPRP #confidentialité #anonymisation #dépersonnalisation #désindexation