Depuis l’entrée en vigueur de la Loi 25* au Québec, les systèmes d’information procédant à la collecte de données doivent obligatoirement faire l’évaluation des facteurs relatifs à la vie privée (EFVP). Décryptage des enjeux et marche à suivre avec les invités de notre webinaire du 27 octobre 2022 sur l’éthique et la collecte de données, animé par Camille Grange, professeure agrégée au Département de technologies de l’information de HEC Montréal.
Camille Grange
Antoine Guilmain
François Senécal
Que l’on parle d’intelligence artificielle, de chaîne de blocs ou de réalité virtuelle, un grand nombre d’innovations numériques reposent sur des technologies qui utilisent dans leur fonctionnement même les données personnelles des utilisateurs et utilisatrices. Alors que s’impose l’obligation de mieux protéger la vie privée, nous recueillons les conseils et les éclairages de François Senécal, directeur principal service-conseil en cybersécurité et protection des renseignements personnels chez KPMG, et Antoine Guilmain, avocat-conseil au cabinet Gowling WLG, au sein duquel il codirige la pratique nationale de cybersécurité et de protection des données.
Quelques caractéristiques de la loi 25
« À l’intérieur des organisations, la loi s’insère dans la stratégie de gestion du risque, indique François Senécal. Désormais il faut donc concevoir la protection des renseignements personnels comme un objet de risque, qu’on doit gérer de telle façon. Cela implique notamment un meilleur contrôle du consentement au traitement des renseignements personnels, et le respect de principes clairs de limitation de la collecte, de l’utilisation et de la communication de ces renseignements. On conseille aux organisations d’adhérer globalement à ce qu’on appelle le principe de minimisation, qui consiste à tout faire pour minimiser les atteintes en matière de vie privée, par des mécanismes prudents de conservation des données, sinon par la destruction ou l’anonymisation des données. À l’heure actuelle, il y a encore énormément de travail à faire pour instaurer ce principe dans toutes les organisations ! »
Autre point à souligner : en imposant l’EFVP (privacy impact assessment, en anglais) pour tout projet de système d’information, de prestation électronique ou de services, la Loi 25 est plus exigeante que la loi européenne homologue, qui ne ratisse pas aussi large. « La Loi 25 s’appuie sur un principe de proportionnalité en permettant un processus d’EFVP plus court dans certains cas, souligne Antoine Guilmain. Néanmoins, presque aucun produit numérique n’est complètement exempté de l’obligation. Cela risque de poser problème. Pour de nombreuses PME, il ne sera pas viable de procéder à une telle évaluation pour chaque projet technologique, même si elle est très courte. Il faudra suivre l’évolution de la situation; des changements à la loi s’imposeront peut-être. »
Le processus d’EFVP par le biais d’un cas de figure
En s’appuyant à la fois sur les directives émises par la Commission d’accès à l’information du Québec et sur les modèles proposés par d’autres régulateurs dans le monde, François Senécal et Antoine Guilmain proposent une marche à suivre en quelques étapes pour réaliser le processus d’EFVP.
Pour illustrer cette marche à suivre, les experts décrivent une entreprise fictive nommée Biométrix, qui offre une solution d’authentification biométrique à l’aide de la reconnaissance faciale et vocale. Plusieurs types de données biométriques entrent en jeu dans ce produit : des données de type morphologique (par exemple la forme du visage), des données biométriques comportementales, comme la voix, et des données biométriques biologiques, comme l’ADN.
Les étapes préalables
On procédera à toutes les étapes préalables de l’EFVP en gardant en tête le cadre légal approprié ainsi que les attentes du régulateur québécois et celles du commissariat fédéral, qui interviennent dans plusieurs situations. Dans notre cas de figure, cela implique par exemple la loi concernant le cadre juridique des technologies de l’information et les attentes de la Commission d’accès à l’information. « Ces attentes sont élevées en matière de données biométriques lorsqu’il s’agit de données relatives à des mineurs. Elles le sont un peu moins lorsqu’il s’agit de coordonnées d’affaires ou d’informations dans un contexte B2B », précise Antoine Guilmain. Des lois plus générales, notamment issues du Code civil du Québec, ou des dispositions sur la protection de la vie privée tirées de la Charte des droits et libertés de la personne, seront aussi à considérer.
La première étape préalable sera d’identifier les déclencheurs. « Il s’agira d’identifier les situations où l’on doit appliquer la protection de la vie privée », dit François Senécal. « On identifiera aussi en marge de cette étape les parties prenantes et responsables, qui auront un rôle précis à jouer dans le processus, ajoute Antoine Guilmain. Dans le cas de Biométrix, on impliquerait certainement des représentants du service de la sécurité de l’entreprise ainsi que le responsable de la protection des renseignements personnels, et peut-être les équipes produit. »
On effectuera ensuite une analyse d’applicabilité, qui permettra de déterminer le niveau de détails requis. « A-t-on besoin d’aller vers une méthodologie rehaussée, ou alors le risque est-il moindre et invite-t-il à utiliser une méthodologie plus simple ? »
Les étapes suivantes sont celles de l’identification et de la caractérisation des risques, puis celle de la définition des contrôles et mesures de mitigation, où l’on se demandera « quels renseignements personnels sont vraiment nécessaires pour arriver à nos fins ». On considérera alors les impératifs du projet, dans sa constitution même, et les objectifs d’affaires visés.
Pour réaliser cette étape, on se basera sur un questionnaire d’analyse des risques, qui pose notamment les questions suivantes : quelles situations pourraient créer un risque pour la vie privée des personnes concernées, et quels en seraient les impacts ? Y a-t-il un risque d’intrusion disproportionnée dans la vie privée des personnes ? un risque de non-validité du consentement ? un risque d’insuffisance des mesures de sécurité ? un risque d’anonymisation non irréversible ?
Antoine Guilmain illustre : « Dans le cas de Biométrix, par rapport à l’anonymisation, l’entreprise indique que, dans son processus d’authentification, la donnée est hachée. La donnée biométrique brute n’est ainsi jamais conservée. Autrement dit, si un individu malveillant avait accès à cette donnée hachée, il ne pourrait pas identifier l’individu duquel elle provient. »
Or, la question de l’anonymisation demeure infiniment complexe, ajoute l’avocat-conseil. Toute personne travaillant dans des environnements numériques sait que l’anonymisation totale est une utopie. « Dans les lois canadiennes, on parle plutôt de risque raisonnable d’identification des individus. En ce qui concerne la loi québécoise, on attend toujours des lignes directrices plus claires de la part de la Commission d’accès à l’information, mais nous savons que la notion d’anonymisation et que les degrés d’anonymisation requis varient beaucoup en fonction de l’industrie dans laquelle ils s’appliquent. »
Les étapes de mise en œuvre et de suivi
Le processus d’EFVP impose ensuite de faire l’inventaire des renseignements personnels impliqués et de définir le traitement qui leur sera réservé. « Dans le cas de Biométrix, on parle ici de données biométriques brutes et de données cachées, c’est-à-dire celles qui ne permettent pas d’identifier l’individu, précise Antoine Guilmain. On se demandera comment l’information sera collectée, auprès de qui, comment elle sera communiquée, qui y aura accès, et quelles règles de conservation seront applicables. Dans notre exemple, Biométrix prévoit que les informations seront conservées localement, uniquement sur l’appareil de l’employé. Ce qui est une mesure forte. »
Il faudra ensuite identifier les mesures de protection en place. Ce qui revient à se demander comment les principes de protection des renseignements personnels sont mis en application, à déterminer des objectifs de minimisation, à vérifier si les mécanismes d’obtention d’un consentement valide sont bel et bien en place, si les mesures de sécurité sont appropriées, si le cadre permet aux personnes concernées d’exercer tous leurs droits en matière de vie privée et ainsi de suite.
Le processus d’EFVP comprend finalement la rédaction d’un plan de mise en œuvre et une étape d’approbation. « Gardons toutefois en tête que l’approbation n’est jamais finale; c’est un document qui vit. Sur le plan opérationnel, il évoluera sans cesse », souligne Antoine Guilmain.
Même sans le concours de la Loi 25, les organisations répondent aujourd’hui à la pression sociale et sentent le besoin de développer une forte culture de respect de la vie privée dans les environnements numériques. La tendance est même à l’intégration du principe d’EFVP « dès la conception » d’un produit numérique. « Nous arrivons effectivement au stade où cette étape d’intégration de mécanismes de protection de la vie privée fait partie des fondements de tout projet de conception, d’acquisition ou de refonte des systèmes d’information », conclut François Senécal.
*Loi modernisant des dispositions législatives en matière de protection des renseignements personnels
Vous souhaitez implanter des pratique exemplaires en éthique dans votre organisation, ne manquez pas la prochaine cohorte de la certification en éthique et conformité pour vous hisser parmi les meilleurs.
Des questions? Prenez rendez-vous avec Joelle Zoghbi, chargée de programmes.
En collaboration avec
Membres fondateurs
Partenaires
