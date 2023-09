Le gouvernement et l’industrie de la cybersécurité ont beaucoup insisté sur les similitudes entre la loi québécoise sur la protection des renseignements personnels en ligne et la loi européenne dont elle s’inspire. Certaines différences notoires subsistent tout de même, ce qui pourrait faire en sorte que le gouvernement ne respecte pas sa propre loi, selon un expert.

« L’Assemblée nationale du Québec a besoin de votre consentement pour que ce site Web puisse utiliser des témoins de connexion (cookies) », indique une fenêtre surgissante nouvellement installée à l’entrée du site Web du Parlement québécois. L’Assemblée nationale n’est pas la seule à avoir adopté cette approche. De nombreux sites Web l’ont fait pour se conformer à la deuxième des trois vagues de mesures prévues par le projet de loi 25, qui doit entre autres mieux encadrer la façon dont les sites Web récoltent des données sur leurs visiteurs. Ç’a débuté en septembre 2022 ; ce sera achevé l’an prochain.

La formulation privilégiée par l’Assemblée nationale se conforme en tout point à ce qu’exige le Règlement général sur la protection des données (RGPD), qui existe depuis cinq ans en Europe. Or, ce n’est pas tout à fait ce que la loi québécoise demande, note Stéphane Hamel, chargé de cours à la Faculté des sciences de l’administration de l’Université Laval et spécialiste du marketing numérique.

Plus que des cookies

« La bannière de l’Assemblée nationale parle de fichiers témoins plutôt que des renseignements personnels plus généraux », dit-il, ce qui aurait demandé plus de clarté sur ce qui est fait ensuite avec ces données. « Par exemple, il n’y a pas de déclaration que des renseignements personnels sont utilisés par des tiers situés à l’extérieur du Québec », explique l’expert. « Le site de l’Assemblée nationale est un cas, mais je vois les mêmes problèmes ailleurs. Le hic, c’est que les sites gouvernementaux devraient être l’exemple à suivre — et ils ne le sont pas, pour le moment. »

C’est encore plus embêtant pour Quebec.ca. Le site qui se veut la porte d’entrée vers les différents services du gouvernement québécois n’indique nulle part s’il fait la collecte de données personnelles, ni avec quels partenaires cette collecte se produit. Le site du gouvernement québécois recourt pourtant aux services de Google et de Microsoft, entre autres ; cela devrait être explicitement indiqué conformément à la nouvelle loi.

Le gouvernement n’est pas seul à ne pas se conformer à la loi. Stéphane Hamel a également noté des manquements sur les sites de plusieurs entreprises, dont les épiciers IGA et Metro, l’avionneur Bombardier et Tourisme Montréal.

Contactée à ce sujet, une porte-parole de l’Assemblée nationale a indiqué que les responsables du site Web étaient au fait de la situation. Une nouvelle mise à jour conforme à la nouvelle loi est promise pour janvier 2024.

Depuis vendredi dernier, Stéphane Hamel a analysé de nombreux sites autres que ceux du gouvernement. Il a découvert plusieurs lacunes assez fréquentes : « Il n’y a pas de liste des partenaires impliqués, il n’y a pas d’indication que des renseignements personnels seront envoyés hors du Québec… Et une fois le consentement accordé, il n’y a pas toujours possibilité de revenir changer nos préférences. Et peu importe le choix de l’utilisateur, des pisteurs sont tout de même déclenchés. »

Ces pisteurs sont généralement ceux de Google et Meta. Les deux géants américains ont couramment recours à un élément intégré à des millions de sites Web dans le monde qu’on appelle un « pixel espion ». Ce bout de code permet notamment à leur régie publicitaire de savoir qu’un internaute en particulier a visité des sites Web qui ne sont pas les leurs. On trouve aussi des pisteurs intégrés aux vidéos YouTube incrustées sur des sites Web.

Microsoft utilise de son côté un outil de pistage invisible pour les internautes qui permet aux gestionnaires de sites Web de retracer le parcours des visiteurs sur leurs sites. L’application d’analytique Web Microsoft Clarity dresse ce qu’on appelle une carte de densité des clics sur des sites où elle est intégrée. Cette carte permet de découvrir quels liens sont les plus populaires auprès des internautes. Pour y arriver, Clarity répertorie séparément chaque visiteur grâce à un code qui inclut l’adresse Internet (IP) unique à chacun de ces visiteurs.

Le ministre Jean-François Roberge, responsable de l’Accès à l’information et de la Protection des renseignements personnels, et de qui relève la nouvelle loi sur protection des renseignements personnels, renvoie la balle à la Commission de l’accès à l’information. « C’est la Commission qui a pour fonction de surveiller l’application de cette loi. Le cas échéant, celle-ci pourra procéder aux vérifications nécessaires », a indiqué au Devoir son attaché de presse, Thomas Verville.

Besoin de jurisprudence

S’il y a une similitude entre le cadre québécois sur la protection des renseignements personnels et le cadre européen, c’est que dans les deux cas, une bonne compréhension des nouvelles dispositions risque de prendre du temps… et même de nécessiter quelques poursuites judiciaires.

En Europe, il a fallu cinq ans pour arriver à une première inculpation relative au non-respect du RGPD. En mai dernier, Meta s’est vu imposer par l’Irlande une amende de 1,75 milliard de dollars, que le géant californien s’est empressé de porter en appel.

« Ce n’est donc pas fini », indiquait déjà au printemps dernier le p.-d.g. de la firme de consultation numérique française Didomi, Romain Gauthier. « Entre le moment où la loi est pensée, entre en vigueur et devient jurisprudence, il y a plusieurs années qui vont se passer. » Or, plus le temps passe, plus la loi risque de perdre de son mordant, notamment contre les multinationales aux poches profondes qui peuvent étirer sur plusieurs années les procédures judiciaires. « Même en Europe, avec l’avance, on n’arrive pas à créer l’impression que les entreprises sont devant une menace sérieuse. »

À moins que la portée réputationnelle d’une éventuelle pénalité ramène les organisations sur le droit chemin, nuance l’expert français.

Stéphane Hamel opine. « Bien protéger les données peut devenir pour une entreprise une valeur positive en marketing, mais ça va peut-être prendre quelques mauvais exemples pour faire réagir », dit-il. Ou quelques années, le temps de bien comprendre une loi québécoise fort complexe.