Près d’une personne sur trois estime avoir été victime d’une fraude, selon un sondage réalisé auprès de la population canadienne pour le compte d’Option consommateurs. Une triste réalité qui rappelle l’importance de la protection des renseignements personnels.
Protéger les renseignements personnels, c’est justement l’objectif de la loi 25, adoptée en 2021, mais dont la majorité des dispositions législatives sont entrées en vigueur en septembre 2023.
« On voit avec le numérique, l’Internet et la prolifération des données dans l’environnement Web, il y a eu un besoin de mettre à jour, de moderniser notre cadre juridique existant », soutient Me Simon Du Perron, au micro de l’émission Angle droit à l’antenne de CIBL 101,5.
Avocat au cabinet Borden Ladner Gervais (BLG) et spécialiste en cybersécurité, respect de la vie privée et protection des renseignements personnels, Me Du Perron explique qu’il y avait déjà au pays des lois en matière de protection des renseignements personnels. Or, cette mise à jour dans le secteur public et privé permet de renforcer ces protections et d’imposer des sanctions « pour que les lois aient du mordant ».
Cela améliore également « autant que possible » le contrôle des citoyennes et citoyens sur leurs renseignements personnels, ajoute l’avocat.
Un exemple européen
La loi 25 serait « désormais LE modèle pour l’Amérique du Nord au grand complet », peut-on lire sur le site Avenues.ca. Sa source d’inspiration? La législation européenne.
« Au niveau de la protection des données, [l’Union Européenne a été la première] à adopter ce qui est considéré comme loi moderne en matière de protection des renseignements personnels, relate Me Du Perron. Une loi qui est adoptée à l’époque d’Internet, à l’époque des technologies qu’on connaît. Donc, c’est devenu rapidement l’étalon de mesures en matière de protection des données. »
Compte tenu de l’ampleur de la réforme, l’application de cette modernisation législative s’est faite de manière progressive depuis son adoption en 2021, « pour prioriser les éléments les plus importants », explique Me Du Perron.
La notification et la déclaration obligatoires des incidents de confidentialités sont les premières dispositions de la loi à être entrée en vigueur en septembre 2022. Ainsi, lorsqu’il y a un accès ou une utilisation non autorisée des renseignements personnels d’un individu, soient par un hacker ou une personne à l’interne d’une organisation, cette dernière a l’obligation « d’aviser les individus concernés [et] de notifier la commission d’accès à l’information [du Québec] qui est le régulateur qui a la responsabilité d’appliquer la loi », soutient Me Du Perron.
« Ça permet de la transparence, d’améliorer les mesures de sécurité, que les individus soient informés et de pouvoir être plus vigilants », précise-t-il.
Bannières de consentement et droit à la désindexation
La présence de plus en plus grande des bannières de consentement sur les sites Web découle également de la loi 25. « La loi 25 oblige d’obtenir une activation proactive quand on utilise des technologies dites de profilages ou de localisation », indique l’avocat.
Un autre exemple? Le droit à la désindexation, autrement dit, le droit d’une personne de faire retirer de certains moteurs de recherche des hyperliens associés à son nom.
Selon Me Du Perron, il est difficile de suivre législativement le rythme des technologies, et cela demeure imparfait, « puisque dans le monde connecté plusieurs modèles d’affaire et modèles de service sont axés sur la collecte de données et ça peut être difficile de s’en passer ».
Malgré cela, « c’est un excellent pas en avant pour responsabiliser davantage les organisations » conclut l’avocat.