• Tech Law McGill

Vos objets vous écoutent

Cet article a été écrit par Sandrine Charbonneau, 1L.


Le temps des fêtes est passé, avez-vous offert ou reçu un objet connecté, que ce soit un haut-parleur avec l'assistant vocal de Google, une montre intelligente d'Apple, ou même une serrure avec reconnaissance faciale d'Amazon ? Ces nouveaux produits, pouvant se montrer si pratiques (ou peut-être pas tant que cela), sont à la conquête de nos foyers et surtout, de nos données personnelles[1]. Émergents de toutes parts, ils sont en adoption croissante à travers la planète, certaines estimations évaluant jusqu'à 30 milliards leur nombre en circulation d'ici la fin de 2020[2]. Bien que les États tentent de légiférer sur les pratiques entourant les objets connectés, et plus généralement, les renseignements personnels, qu'en est-il des défis auxquels la législation québécoise doit composer face à la protection de ceux-ci ?


La grande réforme proposée par le PL 64

En juin dernier, le Gouvernement québécois a déposé le Projet de loi n˚64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels (« PL 64 »)[3]. Celui-ci semble s'inspirer du Règlement Général sur la Protection des Données (RGPD) européen[4], en accordant plus de contrôle aux individus sur leurs renseignements personnels face aux organismes publics et les entreprises privées. Le PL 64 exigerait notamment des entreprises et organismes un consentement plus clair des individus avant de collecter, utiliser et transmettre leurs renseignements personnels à des tiers. Les individus auraient également la possibilité (1) de révoquer leur consentement, (2) d'exiger la fin de la diffusion de leurs renseignements, (3) de recevoir les renseignements récoltés à leur sujet dans un format structuré et commun leur permettant de les lire, tout en ayant (4) le droit d'être informés de l'utilisation de leurs renseignements par des technologies de traitement automatisé[5]. Le PL 64 prévoit aussi sévir contre les entreprises et individus ne respectant pas la nouvelle loi, en imposant des amendes pouvant aller jusqu'à 10 000 000$ ou 2% du chiffre d'affaires mondial[6].


Les limites de la protection accordée aux renseignements personnels « sensibles »

Le concept au cœur du PL 64 est celui de renseignement personnel « sensible », qualification qu'il acquiert « de par sa nature ou en raison du contexte de son utilisation ou de sa communication », suscitant « un haut degré d’attente raisonnable en matière de vie privée »[7]. Pourtant, les renseignements en apparence banals, ou peu révélateurs pris isolément, peuvent poser autant sinon plus de risques pour la protection de la vie privée. Une des dimensions qui ne semble pas directement abordée par le PL 64 est l'effet possible de l'accumulation et de la compilation de multiples renseignements de sensibilités variables, propulsé par le développement des algorithmes d'intelligence artificielle[8].


Prenons un exemple offert par un récent rapport de la Commission de l'éthique en science et en technologie sur l'internet des objets à propos d'un véhicule connecté. Une personne pourrait consentir à la collecte de renseignements qui ne sont pas identificatoires, semblant complètement inoffensifs, comme le nombre d'occupants à bord, les trajets et les heures d'utilisation, et même le sexe des occupants (pouvant être inféré par le système d'assistant vocal). Les nombreuses données permettraient d'établir des tendances importantes, par exemple la présence d'un seul conducteur à tous les jours effectuant des trajets entre un lieu résidentiel et une banque. Les données pourraient aussi montrer que tous les vendredis, une deuxième occupante est présente après un trajet vers un bar, mais ce n'est jamais la même. En compilant ces données, il serait possible pour l'entreprise du véhicule d'avoir de bons indicateurs sur son emploi, certains loisirs et valeurs, son orientation sexuelle, bref, plusieurs indicateurs de son mode de vie[9]. Ces informations (précisons qu'elles ont une valeur probabiliste[10]) ne seraient pas protégées par le PL 64.


Cet exemple pourrait sembler invraisemblable pour certaines personnes ou de mauvais présage pour d'autres, mais est pourtant ce que plusieurs plateformes connectées tentent d'atteindre. Amazon connait vos habitudes d'achat, Facebook vos intérêts et cercle sociaux, Google vos milles et une questions académiques, pratiques et existentielles…


Remarques en conclusion

Le PL 64 n'a pas la prétention de couvrir les dangers que présentent l'accumulation et la compilation de nombreux renseignements d'apparence peu sensible. La modernisation proposée sur les renseignements personnels sensibles est déjà un bon pas dans la direction du futur de plus en plus connecté qui nous attend. Néanmoins, les enjeux émergeant des technologies d'intelligence artificielle pourraient inspirer nos législateurs et législatrices à l'intérêt d'avoir recours à une définition plus large des renseignements protégés que celle définie par le PL 64… ou encore à proposer un nouveau projet de loi couvrant spécifiquement ces enjeux de renseignements généraux. Alors, quelle est votre prochaine question pour Alexa?

[1] Voir Jonas Walter & Bettina Abendroth, « Losing a Private Sphere? A Glance on the User Perspective on Privacy in Connected Cars » dans Carolin Zachäus, Beate Müller & Gereon Meyer, dir, Advanced Microsystems for Automotive Applications 2017, Cham, Springer International Publishing, 2018. [2] Voir Eric Hittinger & Paulina Jaramillo, « Internet of Things: Energy boon or bane? » (2019) 364:6438 Science aux pp 326‑328. [3] Voir Québec, Assemblée nationale, Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels, 42-1, (2020). [4] Voir Julie Uzan-Naulin, « Bulletin #9 | Série spéciale - Projet de loi n° 64 et la réforme des lois québécoises sur la protection des renseignements personnels », (10 août 2020), En ligne: Fasken <https://www.fasken.com/fr/knowledge/projet-de-loi-64/2020/08/10-a-la-recherche-du-rgpd/> (Consulté le 23 décembre 2020). [5] Supra note 3 aux p 2-4. [6] Ibid. à l'art. 90.12 [7] Ibid. à l'art. 12(3) [8] Voir Cathy O’Neil, Weapons of math destruction: how big data increases inequality and threatens democracy, New York, Crown, 2016. [9] Voir Commission de l’éthique en science et en technologie, L’Internet des objets, la vie privée et la surveillance. Balises éthiques et recommandations, Québec, Commission de l’éthique en science et en technologie, 2020 à la p 10. [10] Voir Andreas Kaplan & Michael Haenlein, « Siri, Siri, in my hand: Who’s the fairest in the land? On the interpretations, illustrations, and implications of artificial intelligence » (2019) 62:1 Business Horizons aux pp 15‑25.

9 views0 comments