Nous générons de plus en plus de données chaque jour et nous souhaitons évidemment que les entreprises utilisent ces données pour concevoir de meilleurs produits et services. Mais il faut tout de même des règles bien définies.
Partout dans le monde, la protection des données est règlementée et nous sommes bombardés de demandes d’accès, d’utilisation et de partage de nos renseignements personnels. Il y a trop souvent des fuites de données et les récents chiffres de Risk Based Security ont révélé que l’année 2020 a été la pire concernant la fuite de données : 36 millions de fuites ont été rapportées publiquement. Avec les nouvelles technologies comme l’intelligence artificielle et les logiciels de reconnaissance faciale, peu d’entre nous connaissent la façon dont leurs renseignements personnels sont utilisés.
Depuis 20 ans, la protection des données personnelles collectées par le secteur privé est régie par la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) au Canada. Cette loi a été créée en 2000 afin d’augmenter la confiance des consommateurs envers ce qui était à l’époque le nouveau commerce électronique. Un ensemble de règles (qui est par la suite devenu la LPRPDE) a donc été créé rapidement et ajouté au Code type sur la protection des renseignements personnels de l’Association canadienne de normalisation. Cependant, il s’agit d’une règlementation improvisée sans vraie substance ou applicabilité.
Partout dans le monde, les législateurs travaillent à changer la règlementation relative à la protection des renseignements personnels. L’Europe a pris les devants en 2016 avec le Règlement général sur la protection des données (RGPD) et la Californie a suivi avec le California Consumer Privacy Act en 2018. Le Québec et le Canada y travaillent également.
Le 12 juin 2020, le Québec a présenté le projet de loi 64, une « Loi modernisant des dispositions législatives en matière de protection des renseignements personnels ». Le 17 novembre 2020, le gouvernement canadien a présenté le projet de loi C-11, la « Loi de 2020 sur la mise en œuvre de la Charte du numérique », afin de moderniser le cadre de la protection des renseignements personnels dans le secteur privé et ainsi augmenter la confiance des citoyens.
Cette règlementation contient d’importantes mesures afin d’assurer la protection des Canadiens au fur et à mesure que la technologie évolue. Quelques éléments importants :
Consentement éclairé : la règlementation fournit des directives sur ce qui est considéré comme un consentement valide et éclairé lors de la collecte de renseignements personnels.
Contrôle et transparence : la loi permet aux individus de demander comment leurs renseignements personnels ont été obtenus et sont utilisés.
Mobilité des données : la loi permet la portabilité des données et la liberté de transférer les renseignements d’une organisation à une autre si c’est fait de façon sécurisée.
Pénalités : la loi prévoit les amendes les plus élevées du G7 relativement au droit relatif à la protection de la vie privée, celles-ci peuvent aller jusqu’à 5 % des revenus ou 25 millions $ (le plus élevé des deux) pour les infractions graves.
Les représentants du gouvernement canadien ont indiqué qu’il y aurait une période de grâce afin que les entreprises puissent se préparer pour la nouvelle règlementation. Pour le moment, aucune date d’entrée en vigueur n’a été planifiée pour le projet de loi C-11. Cependant, il n’est jamais trop tôt pour déterminer quelles problématiques pourraient empêcher votre entreprise de se conformer à la nouvelle règlementation.