Skip to main content
Place À La Nouvelle Génération!
La Campagne pour Concordia
Université Concordia Concordia célèbre 50 ans !
Université Concordia Concordia célèbre 50 ans !

Actualités

Actualités

article

La Loi 25 sur la protection de la vie privée est nécessaire, mais imparfaite

6 janvier 2025
|
Par Meiling Fong

Source: The Conversation

La Loi 25 sur la protection de la vie privée est nécessaire, mais imparfaite

La Loi 25 tente de responsabiliser les entreprises en les obligeant à nommer un responsable de la protection de la vie privée et un comité de protection de la vie privée pour veiller à toutes les matières relatives à la protection de la vie privée au sein de l'organisation. (Shutterstock)
Meiling Fong, Concordia University

On estime que 87 % des Canadiens sont soucieux que les compagnies utilisent leurs données personnelles pour prendre des décisions à leur égard.

Cette statistique renforce l’idée que la protection de la vie privée demeure un enjeu de société.

Qui plus est, elle met en évidence les défis posés par les avancées technologiques et les lacunes actuelles dans la protection des données personnelles qui est offerte par nos lois actuelles, qui sont dépassées.

De nombreuses juridictions dans le monde révisent leur législation en matière de protection de la vie privée. De son côté, le Québec a adopté la Loi 25 sur la protection des renseignements personnels dans le secteur privé en septembre 2021.

Les changements décrits dans cette loi sont introduits progressivement depuis 2022 afin de laisser aux entreprises suffisamment de temps pour les mettre en œuvre.

Inspirée du Règlement général sur la protection des données (RGPD) de l’Union européenne, la Loi 25 représente une évolution importante dans la protection des données personnelles au Québec.

Bien qu’elle constitue un pas dans la bonne direction, elle est loin d’être suffisante.

Doctorante à l’Université Concordia, je m’intéresse aux effets sociaux de la technologie. Dans cet article, je tenterai d’apporter un éclairage sur les forces et les limites de la Loi 25.

Des mesures concrètes

Qu’est-ce que cette loi implique ?

D’une part, la Loi 25 tente de responsabiliser les entreprises en les obligeant à nommer un responsable de la protection de la vie privée et un comité de protection de la vie privée pour veiller à toutes les matières relatives à la protection de la vie privée au sein de l’organisation.

Les entreprises doivent également tenir un registre des violations de la vie privée et, en cas de violation grave, informer les personnes concernées. La Loi stipule que les entreprises doivent aussi prendre des mesures raisonnables pour s’assurer que cet incident ne se reproduise pas.

Déjà des milliers d’abonnés à l’infolettre de La Conversation. Et vous ? Abonnez-vous aujourd’hui à notre infolettre pour mieux comprendre les grands enjeux contemporains.

Pour assurer le respect de la loi, la Commission d’accès à l’information du Québec, soit l’organisme provincial qui veille à la protection de la vie privée, aura de nouveaux pouvoirs lui permettant de mener des enquêtes et de faire appliquer la Loi en imposant des amendes. Ces sanctions peuvent aller jusqu’à 2 % du chiffre d’affaires global ou 10 millions de dollars.

Contrairement à son homologue provincial, le Commissariat à la protection de la vie privée du Canada ne peut ouvrir une enquête qu’à la suite d’une plainte. Il transmet alors les cas au procureur général du Canada pour qu’il engage des poursuites.

Ces mesures de contrôle contribuent grandement à une responsabilisation réelle des entreprises et à la lutte contre les actions symboliques.

Pourquoi faire simple quand on peut faire compliqué

La loi est particulièrement stricte en ce qui concerne l’obligation pour les entreprises d’obtenir un consentement explicite et éclairé pour collecter des informations personnelles.

Les politiques de confidentialité et les conditions d’utilisation doivent être rédigées dans un langage clair et simple et publiées sur le site web de l’entreprise. Les coordonnées du responsable de la protection de la vie privée de l’entreprise doivent également être fournies.

Ces exigences contribuent largement à lutter contre la norme actuelle du secteur qui consiste à rédiger délibérément des politiques excessivement longues et complexes dans le but de décourager leur lecture.

En effet, ces pratiques empêchent les utilisateurs de donner leur consentement en connaissance de cause et permettent aux entreprises de collecter leurs informations. Bien plus que si les utilisateurs pouvaient donner leur consentement éclairé.

Malheureusement, la loi ne fournit pas de lignes directrices sur ce qui constitue un langage clair et simple, ce qui laisse la porte ouverte à l’interprétation.

Pas si anonyme que ça

Comme le RGPD de l’UE, la Loi 25 permet également aux personnes de demander aux entreprises de supprimer leurs informations personnelles. C’est ce qu’on appelle le droit à l’oubli.

Une entreprise doit aussi supprimer ou rendre anonymes les informations personnelles une fois qu’elles ont atteint l’objectif pour lequel elles ont été collectées. L’anonymisation des données consiste à supprimer certains identifiants afin qu’il soit impossible d’établir l’identité des personnes qui les ont créés.

En théorie, ces mesures devraient protéger la vie privée des individus. Mais des recherches ont démontré que dans les faits, il est très difficile d’anonymiser les données avec succès. En effet, seuls quelques points de données sont suffisants pour pouvoir réidentifier les individus.

Y a-t-il un pilote dans l’avion ?

La Loi 25 tente également de briser la « boîte noire » de la prise de décision algorithmique grâce à de nouvelles mesures de transparence.

En d’autres termes, les entreprises doivent avant tout informer leurs clients lorsqu’une décision est entièrement prise par des technologies de prise de décision automatisée. Mais elles doivent également fournir des détails sur les informations utilisées et sur la manière dont la décision a été prise.

À l’ère où plusieurs industries des secteurs des finances et des assurances cherchent de nouveaux outils pour augmenter la productivité et réduire les coûts, cette loi vise à protéger les consommateurs des biais potentiels de ces systèmes.

Les citoyens ont alors le droit de corriger toute information personnelle erronée et de demander une révision humaine de la décision. Cependant, malgré les recherches existantes qui montrent que les algorithmes sont fondamentalement biaisés, la loi ne fournit aucune orientation sur la manière dont ces technologies devraient être développées et utilisées en premier lieu. C’est donc l’individu qui se retrouve avec la responsabilité d’identifier et de contester les biais systémiques.

Un pas dans la bonne direction

Malgré ses lacunes, la Loi 25 offre une protection nettement supérieure à celle de son prédécesseur, la Loi sur la protection des renseignements personnels dans le secteur privé du Québec.

Comme nos recherches ont démontré un manque de connaissances en matière de protection de la vie privée au sein du grand public, il est urgent de lancer des initiatives éducatives à grande échelle afin de s’assurer que les citoyens sont pleinement conscients de leurs droits. Et, surtout, que les technologies numériques telles que l’intelligence artificielle et les systèmes algorithmiques deviennent de plus en plus répandues dans la société.

L’évolution rapide de ces technologies devrait également inciter les gouvernements à adopter des réglementations solides en matière de protection de la vie privée et de gouvernance technologique, ainsi que de procéder à des révisions régulières pour s’assurer qu’elles restent pertinentes et qu’elles protègent correctement les citoyens.The Conversation

Meiling Fong, PhD Student, Individualized Program, Concordia University

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.



 
Retour en haut de page
 
Retour en haut de page

© Université Concordia