La croissance du marché de l’Internet des objets (IdO) a fait couler beaucoup d’encre. La pandémie mondiale pourrait fort bien avoir cimenté les avantages des solutions d’IdO et favorisé la numérisation globale dans bien des secteurs, des communautés, des villes et des pays.
Il n’y a pour le moment aucune loi au Canada qui vise l’IdO en particulier. Toutefois, le 20 août 2020, le Commissariat à la protection de la vie privée du Canada a publié un document d’orientation sur la protection de la vie privée à l’intention des fabricants d’appareils de l’IdO. Le document a été élaboré à la lumière de nombreuses enquêtes menées par le Commissariat et indique aux fabricants ce qu’ils doivent faire et ce qu’ils devraient faire. Même s’il s’adresse directement aux fabricants d’appareils, toute autre partie prenante de l’industrie qui utilise, recueille ou communique des renseignements personnels dans le cadre du déploiement de solutions de l’IdO devrait le lire attentivement.
Points à retenir
- Conformité aux lois existantes : Les renseignements recueillis par des appareils d’IdO doivent être examinés avec soin. Si on peut définir les « renseignements personnels » sur les plans technique et juridique, le Commissariat indique que les métadonnées peuvent être considérées comme des renseignements personnels et que, par conséquent, le traitement de telles données par une entreprise peut être assujetti à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), ou aux lois provinciales lorsque la législation fédérale sur la protection de la vie privée ne s’applique pas. Le Commissariat attire également l’attention des fabricants de produits de consommation sur les obligations légales que leur impose la Loi canadienne sur la sécurité des produits de consommation (LCSPC). Par exemple, les interdictions de la LCSPC visent à la fois les fabricants et les importateurs lorsqu’il est question de la fabrication, de l’importation, de la promotion ou de la vente d’un produit de consommation si celui-ci « présente » ou si le fabricant ou l’importateur « sait » qu’il présente un « danger pour la santé ou la sécurité humaines ».
- Responsabilisation : Le Commissariat souligne l’importance de mettre en place un programme de gestion de la protection de la vie privée pour assurer la surveillance des renseignements personnels et le respect, au minimum, des lois applicables, notamment en prévoyant une obligation de signaler toute atteinte aux mesures de sécurité. Il rappelle aussi aux fabricants que leur responsabilité à l’égard des données recueillies se poursuit après la vente de l’appareil tant et aussi longtemps qu’ils utilisent, recueillent, communiquent ou conservent les renseignements. Dans cette optique, le Commissariat recommande, à titre de pratique exemplaire, d’intégrer une évaluation des facteurs relatifs à la vie privée au processus de développement du produit.
- Traitement ciblé des renseignements : Avant de traiter des renseignements, il faut déterminer les fins de la collecte et limiter l’utilisation, la collecte et la communication à ces fins. Celles-ci doivent correspondre aux attentes d’une personne raisonnable dans les circonstances et au consentement qui a été obtenu de la part des personnes visées par la collecte. Le Commissariat indique clairement que la personne qui donne son consentement doit, pour que celui-ci soit valable, bien comprendre ce à quoi elle consent. En attirant l’attention sur le cas particulier de l’utilisation des renseignements personnels d’enfants dans le contexte des jouets intelligents et des produits éducatifs (y compris les plateformes d’apprentissage en ligne), le Commissariat confirme sa position selon laquelle il faut au moins obtenir le consentement des parents ou des tuteurs.
- Accès, exactitude et protection : Le Commissariat mentionne que les consommateurs ont le droit d’accéder à leurs renseignements pour s’assurer qu’ils sont exacts et de les corriger ou de les modifier. Il recommande, à titre de pratique exemplaire, que les fabricants offrent aux consommateurs une façon « conviviale » de « supprimer définitivement » leurs renseignements, et qu’ils les informent de la marche à suivre. Il rappelle également aux fabricants de l’IdO l’importance de protéger non seulement les renseignements qu’ils recueillent et qu’ils stockent, mais aussi les renseignements que leurs partenaires recueillent et stockent (y compris lors d’une transmission). Il souligne l’obligation des fabricants de mettre en place des mesures technologiques pour protéger les renseignements personnels (ex. : chiffrement). Le Commissariat leur recommande d’offrir aux utilisateurs un moyen de « corriger ou mettre à jour le micrologiciel », en application d’un programme de surveillance des produits qui vise à assurer un suivi adéquat de l’appareil d’IdO tout au long de son cycle de vie.
Le document d’orientation du CPVPC sert à rappeler aux acteurs de l’industrie que, même s’il n’y a pas de loi visant particulièrement l’IdO au Canada, le cadre réglementaire existant concernant la protection de la vie privée et la responsabilité du fait du produit doit être examiné attentivement pour assurer la conformité de la fabrication, de la vente et de la promotion des solutions d’IdO au Canada. Le document, outre ses directives concernant les produits offerts directement aux consommateurs, rappelle aux institutions qui se procurent des solutions d’IdO de protéger soigneusement les renseignements personnels qu’elles peuvent recueillir, utiliser ou communiquer au fil de la numérisation de leur industrie.