L'essor de l'Internet des objets (IdO) constitue une formidable occasion d'affaires pour les entreprises canadiennes. Les gains potentiels s'accompagnent toutefois de risques importants. Comment s'y préparer?
Si votre téléphone vous signale qu’il est temps d’acheter de la mayonnaise, vous pouvez remercier l’IdO. Grâce à ce réseau d’appareils connectés, il devient facile d’accomplir de plus en plus de tâches, qu’il s’agisse d’écouter vos pièces musicales préférées, de régler le thermostat ou de savoir qu’il est temps de regarnir le garde-manger.
Au fil de ces interactions, les appareils intelligents recueillent toutefois des quantités toujours croissantes de données sur nous. La manière dont ces données sont protégées et utilisées est l’une des questions de politique publique les plus pressantes de notre époque.
Qu’est-ce qui rend un frigo intelligent?
Si la machinerie branchée à Internet révolutionne le secteur manufacturier, c’est dans nos maisons que la plupart d’entre nous interagissons avec l’IdO. Les réfrigérateurs intelligents sont dotés d’un écran semblable à celui d’une tablette, que l’on peut commander à distance par l’intermédiaire d’un téléphone. Grâce aux codes à barres et aux étiquettes d’identification par radiofréquence, le frigo intelligent surveille les dates de péremption et passe automatiquement une commande au supermarché quand les provisions s’amenuisent. Il suggère même des recettes en fonction de ce qu’il contient.
Les consommateurs sont de plus en plus conscients de la valeur des données et de la façon dont elles peuvent être manipulées. Et dans la foulée de récents vols de données très médiatisés, ils se demandent si les fabricants des appareils intelligents en font assez pour protéger leur vie privée.
L’évolution de la réglementation
La Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) est la loi fédérale qui régit la façon dont les organisations canadiennes du secteur privé peuvent recueillir, utiliser et communiquer les renseignements personnels. Promulguée en avril 2000, soit sept ans avant l’avènement de l’iPhone, la LPRPDE n’a pas autant de mordant que certains règlements adoptés plus récemment en Europe.
Ainsi, le Règlement général sur la protection des données (RGPD), entré en vigueur au sein de l’Union européenne (UE) en mai 2018, vise à redonner aux consommateurs le contrôle de leurs renseignements personnels. Comme les médias canadiens ont amplement parlé du RGPD et de son approche plus restrictive, les consommateurs s’attendent désormais à ce que les entreprises et les organisations canadiennes offrent une meilleure protection de leurs renseignements personnels. Les scandales touchant la vie privée récemment mis au jour les ont également sensibilisés davantage quant à leurs droits à cet égard.
Une entreprise qui enfreint le RGPD est passible d’une amende pouvant atteindre 20 000 000 € ou 4 % de son chiffre d’affaires de l’année précédant l’infraction.
Ce n’est pas tout : le RGPD interdit aux organisations européennes de communiquer des renseignements personnels à des États non membres de l’UE dont les lois protégeant la vie privée sont moins rigoureuses. Dans ce contexte, les législateurs canadiens s’emploient à renforcer la LPRPDE. Ainsi, dans sa version originale, la loi s’appliquait sur dépôt d’une plainte, mais les choses ont changé depuis le 1er novembre 2018, alors que sont entrées en vigueur de nouvelles obligations visant les avis à donner en cas d’atteinte aux renseignements personnels et la tenue de registres connexes, qui sont assorties d’amendes pouvant atteindre 100 000 $. On s’attend à ce que le gouvernement du Canada fasse encore plus, d’ici 2020, pour amener la protection garantie par la LPRPDEau niveau de celle qu’assure le RGPD.
La question du consentement
Dans sa version actuelle, la loi canadienne sur la protection des renseignements personnels exige des entreprises qu’elles obtiennent de manière transparente le consentement éclairé des particuliers avant d’utiliser leurs renseignements personnels. Or, les lignes directrices publiées récemment par le Commissariat à la vie privée du Canada laissent croire que même si elle a obtenu le consentement d’une personne conformément aux règles, une entreprise pourrait se retrouver en mauvaise posture si l’utilisation qu’elle fait des données ne satisfait pas aux attentes raisonnables des Canadiens et aux normes sociales qui ont cours au Canada. Il pourrait s’agir là d’un obstacle important pour le secteur émergent de l’IdO.
À première vue, il semble assez simple d’obtenir le consentement d’une personne. Mais lorsque l’Internet des objets entre en ligne de compte, les choses se corsent. Votre réfrigérateur intelligent recueille en continu des données sur vos habitudes de consommation, données qui pourraient être communiquées à des détaillants ou autres fournisseurs de services. Si ces derniers les utilisent pour vous envoyer des publicités personnalisées, respectent-ils vos attentes raisonnables et les normes de la société canadienne?
Les véhicules intelligents soulèvent des préoccupations encore plus grandes quant à la protection de la vie privée : les compagnies d’assurance pourraient utiliser les données qu’une voiture enregistre sur son conducteur pour adapter le montant de la prime au risque qu’il présente, par exemple. Toutefois, la collecte de ces données sans le consentement éclairé du conducteur serait vraisemblablement une atteinte à ses droits en matière de protection des renseignements personnels. Poussons le scénario plus loin : que penser de l’assureur qui voudrait augmenter la prime d’un client si celui-ci refusait de communiquer les données concernant sa conduite? Voilà le genre de territoire inconnu dans lequel un conseiller juridique peut servir d’éclaireur aux assureurs et aux autres organisations qui recueillent des renseignements personnels.
Multiplication des actions collectives
Comparativement à ce qu’on observe aux États-Unis, le Canada n’a jamais été un terreau fertile pour les actions collectives, mais la situation tend à changer, notamment dans le domaine des renseignements personnels : plus de 80 actions collectives en la matière sont actuellement en instance ou autorisées au Canada.
Au terme d’une affaire récente, le gouvernement fédéral a accepté de verser 17,5 M$1 à 583 000 bénéficiaires du programme de prêts d’études canadiens parce que Ressources humaines et Développement des compétences Canada (maintenant Emploi et Développement social Canada) avait perdu un disque dur externe contenant leurs renseignements personnels. Toute entreprise active dans le domaine de l’IdO a intérêt à suivre avec attention l’évolution du droit.
Prochaines étapes pour les entreprises canadiennes
À l’heure où l’Internet des objets gagne du terrain et où les Canadiens s’intéressent plus que jamais à la protection de leurs renseignements personnels, les entreprises responsables devront redoubler d’efforts en ce sens. S’assurer de respecter les nouvelles Lignes directrices pour l’obtention d’un consentement valable, en vigueur le 1er janvier 2019, est un excellent point de départ.
1 CBC, "Liberals agree to settle class action lawsuit over student loan privacy breach," Décembre 2017 (en anglais).