Renseignements personnels: à la recherche d’une protection parfaite

Les données personnelles sont devenues une denrée commerciale dans l’économie numérique, avance Me Chantal Bernier.
Photo: Sébastien Thibault Les données personnelles sont devenues une denrée commerciale dans l’économie numérique, avance Me Chantal Bernier.

Quelques jours à peine après l’annonce du Mouvement Desjardins sur l’ampleur de sa fuite de données, les commissaires à la protection de la vie privée ont effectué leur propre sortie publique : une résolution commune demandant aux gouvernements rien de moins qu’une modernisation des lois sur l’accès à l’information et la protection des renseignements personnels. Une partie du travail a été faite, ont-ils reconnu, mais il en reste. Une inquiétude palpable, relayée par des autorités reconnues, sur une menace capable de frapper n’importe où et n’importe quand.

« Le public est de plus en plus préoccupé par l’utilisation et l’exploitation des renseignements personnels par les gouvernements et les entreprises privées, et en particulier par l’opacité des pratiques de traitement de l’information », ont laissé tomber les commissaires fédéral, provinciaux et territoriaux dans une résolution publiée le 6 novembre et adressée à leurs gouvernements respectifs.

« Les incidents de sécurité sont sans cesse plus fréquents et touchent des millions de citoyens. Bien qu’il soit important de reconnaître que des améliorations législatives ont été apportées par certaines administrations canadiennes, des travaux sont encore nécessaires pour parvenir à une modernisation cohérente des lois en cette matière, poursuivent les commissaires. La plupart des lois canadiennes sur l’accès à l’information et la protection de la vie privée n’ont pas été fondamentalement modifiées depuis leur adoption, certaines il y a plus de 35 ans. »

Des millions de victimes

Plus de 28 millions de Canadiens ont été, à un moment ou un autre, touchés par un incident de protection de données, selon un bilan produit par le Commissariat à la protection de la vie privée du Canada il y a dix jours, un an après une règle exigeant des organisations qu’elles divulguent obligatoirement les atteintes à la vie privée. En seulement 12 mois, le Commissariat a reçu 680 déclarations, six fois plus que l’année précédente. Sur ces 28 millions, on compte entre autres les membres de Desjardins, qui se chiffrent à 4,2 millions de particuliers, de même que 6 millions de victimes d’un vol survenu chez Capital One.

Devant des centaines de personnes réunies par la Chambre de commerce du Montréal métropolitain la semaine dernière, le président de Desjardins, Guy Cormier, lui-même touché par la fuite, a évoqué des efforts sur « l’identité numérique » déployés par d’autres gouvernements en précisant qu’il voulait lui-même « mettre de la pression » sur les autorités au Canada. En raison de l’innovation et d’une connectivité sans cesse plus grande, les « données sont les ressources de l’économie de demain, comme l’eau, comme l’énergie », a-t-il dit.

Pour l’instant, chaque cas de fuite de renseignements, qu’il s’agisse de celui de Desjardins ou d’un autre, « contribue à sensibiliser la population » à l’importance de la protection des données personnelles, dit Joni Brennan, présidentedu Digital ID and Authentification Council of Canada. Cette organisation sans but lucratif, née d’une initiativefédérale, réunit des acteurs du privé (le Mouvement Desjardins, Postes Canada, SecureKey, les banques CIBC et TD, etc.) et des représentants de divers gouvernements. Son mandat : élaborer un écosystème « d’identité et d’authentification numériques » de manière à ce que le « Canada puisse participer pleinement et d’une manière sécuritaire à l’économie mondiale ».

En hausse dans les priorités

Dans le grand tout des enjeux de sécurité — secteur aérien, alimentation, etc. —, la protection des renseignements a « monté en flèche », estime Me Chantal Bernier, avocate-conseil chez Dentons, où elle oeuvre depuis 2014 après avoir été commissaire par intérim et commissaire adjointe à la protection de la vie privée du Canada pendant plusieurs années. « J’ai été agréablement surprise de voir à quel point les plateformes électorales étaient étayées à ce sujet. C’est nouveau et je pense que ça révèle un grand intérêt et une grande priorité pour les gouvernements. »

Le rôle protecteur des gouvernements est important, dit Me Bernier, d’autant plus que ces industries ont une chose en commun. « C’est une asymétrie entre l’individu et l’organisation. Lorsqu’on prend l’avion, nous ne sommes pas en mesure d’assurer les risques. On ne sait pas si mécaniquement l’avion est prêt à voler, si le pilote est compétent, etc., dit-elle. Il y a toute une infrastructure de conformité qui, en notre nom, s’assure que notre consentement à monter dans l’avion et être amené à bon port de façon diligente est effectivement respecté. Cette infrastructure doit encore être créée, ou à tout le moins être renforcée en ce qui concerne les renseignements personnels. »

Selon un sondage réalisé en 2016 pour le Commissariat à la protection de la vie privée du Canada, 57 % des répondants étaient préoccupés ou très préoccupés par la protection de leur vie privée, en forte hausse par rapport à 42 % quatre ans plus tôt. En parallèle, 74 % des gens ont dit avoir l’impression que leurs renseignements sont moins bien protégés qu’en 2006.

Le resserrement d’Ottawa

Alors que le gouvernement Legault travaille sur un projet de loi, celui de Justin Trudeau a dévoilé au printemps dernier une « Charte numérique », mentionne Me Bernier. « Nous sommes dans une transition », dit-elle. Le modèle actuel des commissaires et de l’encadrement repose davantage sur celui d’un ombudsman. « Devant l’énorme conséquence et la fréquence d’atteintes à la sécurité des renseignements personnels, nous nous trouvons maintenant donc devant l’impératif de bonifier ce cadre juridique. Le gouvernement libéral ayant été réélu, on peut s’attendre à ce que ce qui a été annoncé pour bonifier ce cadre se réalise. »

Selon ce qu’a dévoilé Ottawa au mois de mai, il y aura désormais des « sanctions claires et sévères pour toute violation des lois et règlements ». Le ministre de l’Innovation, des Sciences et du Développement économique, Navdeep Bains, n’a cependant pas précisé l’ampleur des pénalités imposées aux entreprises fautives. Rappelons que l’Europe ne se gêne pas en matière de discipline : la chaîne hôtelière Mariott, par exemple, a reçu cet été une amende de 123 millions $US des autorités britanniques pour une fuite touchant 339 millions de clients en 2018. Dans la mesure où les données personnelles sont devenues une denrée commerciale dans l’économie numérique, avance Me Bernier, « la seule façon d’arriver à la discipline, à la conformité dans cette économie numérique, c’est de s’assurer que le manquement aux règles soit aussi coûteux que l’utilisation des données personnelles est profitable ».