Le projet de loi 64, dont l’objectif est de moderniser la législation en matière des renseignements personnels, inquiète certains acteurs du monde des affaires. Ceux-ci craignent qu’une réglementation trop sévère nuise à l’essor des entreprises en numérique d’ici, incluant celles dans le domaine de l’intelligence artificielle (IA).
En effet, pour plusieurs compagnies se spécialisant dans les algorithmes d’apprentissage profond et la gestion des jeux de données, les informations contenues dans les bases de données de tiers partis représentent « l’or noir » sur lequel leur modèle d’affaires repose. Celles-ci sont aussi primordiales à la recherche, surtout dans le milieu de la santé.
Or, un mémoire présenté par la Fédération des chambres du commerce du Québec (FCCQ) en septembre dernier soulève un nombre de questions relatives au projet de loi.
« Si le « bâton » est trop fort, plusieurs entreprises craindront de donner accès à leurs données. [ … ] L’enjeu principal pour les parlementaires est de trouver le bon équilibre entre d’un côté la protection des données personnelles et de l’autre côté l’innovation et le développement économique », affirme la FCCQ.
À qui en revient la responsabilité?
La question de la responsabilité face à une potentielle fuite de données est centrale au dossier, note-t-on.
En effet, le projet de loi 64 prévoit des amendes pouvant aller jusqu’à 25 millions de dollars pour les entreprises qui ne protégeraient pas adéquatement les informations personnelles qui leur sont confiées.
« [L]a définition des données personnelles peut porter à confusion. Qui est réellement responsable? Si une entreprise collecte la donnée, est-ce elle qui est responsable, ou est-ce celle qui l’héberge, ou celui qui sécurise par contrat ? », questionne la FCCQ.
De plus, l’organisation redoute le fait qu’une loi votée unilatéralement du côté provincial risquerait de nuire aux entreprises québécoises qui font affaire ailleurs au Canada et dans le monde.
«Au-delà de la menace d’une amende salée, on donne surtout un peu de mordant aux lois, et il était temps, car celles-ci étaient désuètes en cette matière» – Jean-Philippe Décarie-Mathieu
Aussi, la capacité des PME à intégrer des mesures de sécurité de haut niveau, telles que vues dans les grandes multinationales comme Google et Facebook, est limitée, indique la Fédération.
Il ne faudrait pas punir les petits joueurs qui ne peuvent pas se munir de tels systèmes, insiste-t-on.
« Il serait malheureux que les dispositions viennent ralentir la recherche et le développement de ces technologies d’intelligence artificielle dans nos institutions et entreprises », conclut la FCCQ.
Pas de risque sur le rendement des entreprises en IA
Pour Jean-Philippe Décarie-Mathieu, co-fondateur de Crypto.Québec et chef de la cybersécurité aux Commissionnaires du Québec, les dispositions du projet de Loi 64 ne devraient pas entrer en conflit avec le modèle d’affaires des entreprises québécoises en IA.
« L’esprit de la loi, son but premier, c’est que les entreprises fassent leur devoir. On leur impose une certaine imputabilité par rapport à la protection des données. Au-delà de la menace d’une amende salée, on donne surtout un peu de mordant aux lois, et il était temps, car celles-ci étaient désuètes en cette matière », souligne-t-il.
Aussi, même si aucun système de sécurité n’est parfait, M. Décarie-Mathieu croit que plusieurs PME d’ici démontrent déjà une capacité à prendre cet enjeu au sérieux et prouvent qu’il est possible d’éviter la fuite de renseignements personnels même avec des ressources plus limitées que celles des multinationales.
«La Loi 64 dans son état actuel n’est pas aussi féroce que le Règlement général sur la protection de données, de l’Union européenne. On pourrait encore aller plus loin» – Jonathan Durand Folco
Par ailleurs, l’intrusion dans la base de données de la société d’évaluation de crédit Equifax rapportée en 2017 prouve que même les grandes entreprises ne sont pas à l’abri de tels cafouillages.
« Les fuites sont souvent le résultat d’un échec de gouvernance. Si la personne responsable de la sécurité n’a pas d’expérience ou d’intérêt dans la protection des données, vous êtes à risque, peu importe les ressources de votre organisation », dit-il.
L’expert espère que la modernisation des lois poussera les entreprises à créer des postes dédiés à la sauvegarde des renseignements personnels.
Pour une utilisation juste et équitable des données
De son côté, Jonathan Durand Folco, professeur à l’École de l’innovation sociale de l’Université Saint-Paul à Ottawa, le projet de loi 64 n’est qu’on point de départ à partir duquel un questionnement éthique et social devra se développer.
« La Loi 64 dans son état actuel n’est pas aussi féroce que le Règlement général sur la protection de données, de l’Union européenne. On pourrait encore aller plus loin », souligne celui-ci.
Le document législatif, adopté par le Parlement européen en 2016, prévoit entre autres un droit à l’effacement des données individuelles en lignes à la demande de la personne concernée et un accès au contenu des informations collectées par les plateformes.
Vendues à prix fort, les bases de données pourraient aussi être placées dans des fiducies, afin de profiter à la population québécoise, qui ne tire pas un sou de l’exploitation des données personnelles, note le professeur.
« Cela pourrait être considéré comme un bien commun, dont l’utilisation par les entreprises exigerait un frais retourné aux Québécois sous forme de ristourne », envisage M. Durand Falco.
Crédit photo : Pexels – Kevin Ku
![[Émission C+Clair] Maladies rares : comment optimiser les efforts de la recherche ?](https://www.cscience.ca/wp-content/uploads/2024/04/emission-maladies-rares3-480x362.jpg)
