[ANALYSE] Les données personnelles sont-elles mieux protégées au Canada, aux États-Unis ou en Europe ?

[ANALYSE] Les données personnelles sont-elles mieux protégées au Canada, aux États-Unis ou en Europe ?

On se souvient des fuites de données de chez Capital One et Desjardins au début de la pandémie, des fraudes et cyberattaques qui ont suivi et, plus récemment, de l’employé d’Hydro-Québec accusé d’espionnage industriel.  Ayant l’effet d’un électrochoc, ces événements nous ont rappelé qu’à tout moment, nous pouvions être victimes d’un vol d’identité, de propriété intellectuelle ou de données sensibles pouvant parfois mener à d’énormes pertes financières. Mais où se situe le Canada par rapport aux Américains et aux Européens ? En d’autres mots, nos données sont-elles plus en sécurité que les leurs ? Ou, au contraire, sont-elles plus vulnérables ? Pour répondre à ces questions, CScience vous propose une analyse comparative, soutenue par les avis d’experts.

« Ça s’équivaut un peu partout. Là où ça change, c’est lorsqu’il y a un renforcement du respect de la loi », pense Michel Bourque, dirigeant de CYBERDEFENSE AI, une entreprise basée à Montréal qui offre des solutions de cybersécurité assistée par l’intelligence artificielle. « Le Québec s’est récemment démarqué en la matière. L’Europe est en avance sur certains plans, tandis que sur d’autres, les Américains sont le modèle à suivre. » Et si l’on regardait le portrait de plus près ?

« Au Canada, près de 98% des solutions en cybersécurité sont conçues à l’étranger et le Canada est le troisième pays le plus attaqué. »

– Michel Bourque, dirigeant de CYBERDEFENSE AI

Le Canada, plus vulnérable aux menaces étrangères

Au Canada, par exemple, c’est le Québec qui se démarque depuis l’adoption de la loi 25, sanctionnée par l’Assemblée nationale le 22 septembre 2021. « Maintenant, le Québec a une vision avant-gardiste. Il existe une loi depuis longtemps au Canada, mais elle est sans dents, en ce que la sanction qu’elle prévoit en réponse au manquement lié à la cyberéscurité est risible », pointe M. Bourque, faisant référence à la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE), à laquelle sont assujetties les organisations du secteur privé. Mais le projet de loi fédérale C-26, récemment déposé, devrait pousser les entreprises clés des secteurs des banques et des télécommunications à renforcer leur cybersécurité et à signaler les attaques numériques, sous peine de sanctions.

Le Québec en avance

Au Québec, depuis le 22 septembre 2022, toute entreprise doit ainsi respecter trois obligations, conformément à la première étape en vigueur de la loi 25 :

  1. Obligation de nommer celui ou celle ayant le plus haut niveau d’autorité dans l’entreprise comme Responsable de la protection des renseignements personnels ou de déléguer cette fonction par écrit à une autre personne;
  2. Obligation d’avoir un plan pour gérer les incidents de confidentialité et de tenir un registre les regroupant, qu’il s’agisse de l’accès à des renseignements personnels, de l’utilisation ou la communication interdite par la loi de ceux-ci, de leur perte ou de toute autre atteinte à la protection de tels renseignements;
  3. Obligation de divulguer tout incident mettant en péril la confidentialité de données personnelles et d’aviser toutes les personnes et organisations touchées ainsi que la Commission d’accès à l’information si l’incident comporte un risque de préjudice sérieux.

    Michel Bourque

Avec cette loi, le Québec se rapproche du système européen, dont le Règlement général sur la protection des données [RGPD] est un peu l’homologue.

En tant que l’un des pays au monde qui investissent le plus d’efforts en matière de lutte contre les cyberattaques, si le Canada a souvent été classé premier au palmarès des pays les mieux préparés pour y faire face, il reste malgré tout une cible importante pour l’espionnage industriel, dont les tentatives d’acquisition de données sont en hausse depuis les dernières années.

La menace externe

« Au Canada, près de 98% des solutions en cybersécurité sont conçues à l’étranger et le Canada est le troisième pays le plus attaqué », amène le dirigeant de CYBERDEFENSE AI.

Plus le Canada se démarque pour ses ressources et son innovation (vaccins, technologies de pointe, intelligence artificielle), plus il devient une cible d’intérêt pour l’espionnage industriel étranger, tout comme les États-Unis, l’Allemagne et d’autres pays d’Europe. Très en vue pour ses innovations et ses richesses énergétiques, le Québec est bien souvent dans la mire des espions.

Les inquiétudes qui mènent à l’interdiction et au bannissement de certaines applications mobiles ou fournisseurs de services de télécommunication, soupçonnés de cumuler les données voire d’écouter les conversations, vont donc au-delà du risque de fuite et vente de données personnelles à des fins de marketing. Il en va aussi de la protection de la propriété intellectuelle des innovations et de la recherche issues des milieux académique et des entreprises de pointe. C’est notamment ce qui a mené à l’interdiction de l’utilisation des composants de Huawei et de ZTE dans les systèmes de télécommunications 5G au Canada.

L’approche américaine : 2 tendances

L’informaticien et lanceur d’alerte américano-russe, Edward Joseph Snowden.

Les centres de données souverains

Aux États-Unis, de nombreuses lois renforcent un certain contrôle des données, notamment quant aux centres de data, « dont le gouvernement peut réquisitionner les données stockées à même les installations des entreprises sous pavillon américain, dits ‘souverains’ », nous rappelle M. Bourque.

On y compte effectivement bon nombre de lois fédérales sur la protection des données personnelles. Pensons au Fair Credit Reporting Act de 1970 (FCRA), au Health Insurance Portability, à l’Accountability Act de 1996 (HIPAA), au Gramm-Leach-Bliley Act de 1999 (GLBA), au Children’s Online Privacy Protection Act de 1998 (COPPA), et à celui dont on parle le plus souvent, le Privacy Act de 1974.

Un contrôle à double-tranchant

Ce corpus de lois s’appliquant en parallèle des lois de juridiction étatique, il arrive qu’elles génèrent des incohérences quant à l’imputabilité et aux obligations relevant de la cybersécurité et de la confidentialité des données personnelles, dans des secteurs comme celui de la santé, par exemple, tel que nous l’indique le Cabinet S. Grynwajc, qui accompagne les entrepreneurs, startups et PME français dans leurs projets d’implantation et/ou de développement en Angleterre, aux États-Unis et au Canada.

« Par exemple, le California Consumer Privacy Act (CCPA) de 2018 exclut de son champ d’application les données personnelles régies par le FCRA, le GLBA ou l’HIPAA, mais exige que les entités couvertes par l’HIPAA se conforment également au CCPA en ce qui concerne les données personnelles ou les données de santé qui ne correspondent pas à la définition de donnée de santé (Personal Health Information) de l’HIPAA. »

« Les récents événements mondiaux, telles la menace du terrorisme (particulièrement depuis le 11 septembre 2001), l’adoption consécutive du USA PATRIOT Act et les révélations de Snowden, ont convaincu les citoyens américains que la vie privée doit, avant tout, être protégée d’une intrusion du gouvernement ‘Big Brother’. »

– Cabinet S. Grynwajc.

Par ailleurs, l’ampleur des mesures d’ingérence gouvernementales, dont ont témoigné plusieurs événements au cours de l’histoire du pays, ont suscité l’indignation et l’inquiétude des Américains, qui valorisent d’autant plus la protection de leurs données personnelles et de leur vie privée.

« Les Américains préfèrent traditionnellement que leur gouvernement intervienne le moins possible dans leur vie privée. Les récents événements mondiaux, telles la menace du terrorisme (particulièrement depuis le 11 septembre 2001), l’adoption consécutive du USA PATRIOT Act et les révélations de Snowden, ont convaincu les citoyens américains que la vie privée doit, avant tout, être protégée d’une intrusion du gouvernement ‘Big Brother’ », nous explique le Cabinet S. Grynwajc.

Il existe également des lois et règlements relatifs à la protection des données personnelles visant à limiter l’activité du gouvernement en ce sens. L’Electronic Communications Privacy Act de 1986 (ECPA), par exemple, a permis d’étendre les restrictions sur les écoutes téléphoniques par le gouvernement, et les interdictions quant à l’accès aux communications électroniques stockées. Le Privacy Protection Act de 1980 protège les journalistes et les salles de nouvelles contre les perquisitions effectuées menées par les agents de l’État. Enfin, le Right to Financial Privacy Act de 1978 vise à protéger la confidentialité des fichiers financiers personnels, mais uniquement contre les intrusions gouvernementales.

« Bien que les lois américaines protègent le droit à la vie privée dans le secteur privé, elles n’adoptent pas l’objectif global des lois européennes sur la protection de la vie privée. Ainsi, c’est plutôt une approche sectorielle qui prévaut aux États-Unis (…) le cadre législatif fédéral américain est sectoriel ne parvient pas à articuler une théorie juridique globale en matière de la protection de la vie privée et, plus précisément, des données personnelles. »

L’approche européenne

En Europe, c’est le règlement général sur la protection des données (RGPD) qui prévaut depuis quelques années. Il pose un nouveau cadre juridique en matière de protection des données personnelles des citoyens européens visant à répondre aux évolutions du numérique.

Remplaçant la directive de 1995, qui est à l’origine de l’harmonisation des législations des pays de l’Union européenne (UE) sur le sujet, le RGPD a pour objectif d’uniformiser la protection des données personnelles dans l’UE, et de protéger le droit des individus sur leurs données.

« (…) le RGPD est une directive qui ne donne pas son nom. D’ailleurs, en France, on a jugé nécessaire de modifier la loi Informatique et Libertés pour y ‘transposer’ le RGPD. Cela veut tout dire. La conséquence de cette absence d’approche concrète est que les acteurs économiques sont en permanence confrontés à des problématiques d’interprétation et de mise en oeuvre pratique. »

– Jean-Guy de Ruffray, avocat associé spécialisé dans la protection des données personnelles

Un encadrement uniforme mais pas assez carré

Contrairement à la LPRPDE du Canada, qui ne s’applique qu’aux organisations privées, elle s’étend également au secteur public.

Si elle se veut offrir une uniformité, la RGPD est aussi critiquée pour sa trop grande généralité, tel que le mentionne, dans un article du magazine français lebigdata.fr, Jean-Guy de Ruffray, avocat associé spécialisé dans la protection des données personnelles :

« Un règlement est juridiquement d’application directe dans la législation de chaque État membre, et se doit donc d’être concret. Au final, le RGPD est une directive qui ne donne pas son nom. D’ailleurs, en France, on a jugé nécessaire de modifier la loi Informatique et Libertés pour y ‘transposer’ le RGPD. Cela veut tout dire. La conséquence de cette absence d’approche concrète est que les acteurs économiques sont en permanence confrontés à des problématiques d’interprétation et de mise en oeuvre pratique. »

« Au Québec, si nos données sont hébergées chez Amazon ou Google, il y a de fortes chances qu’elles aient laissé des traces aux États-Unis. »

– Michel Bourque, dirigeant de CYBERDEFENSE AI

À l’échelle de tout un chacun

Au chapitre des choix évidents que nous pouvons faire à l’image de nos valeurs, en tant que citoyens, consommateurs ou entrepreneurs, que nous soyons Canadiens, Américains ou Européens, ce sont les choix de nos partenaires commerciaux, des datacenters où nous hébergeons nos données, et des applications mobiles gratuites que nous téléchargeons qui présentent un haut risque de transmission de données. Car même avec les nouvelles réglementations dont s’est dotée notre province, « Au Québec, si nos données sont hébergées chez Amazon ou Google, il y a de fortes chances qu’elles aient laissé des traces aux États-Unis. Est-ce que ça aura des conséquences sur la vie des détenteurs initiaux de ces données ? On n’en sait rien. Si l’on n’a rien à se reprocher, bof… mais il y a une infinité de façons dont on peut être victimes et volés. Nous sommes souvent nous-mêmes en train de donner nos données, ne ce serait-ce que par notre usage des réseaux sociaux et de l’info qu’on y communique », complète Michel Bourque.

À voir :

[Émission C+clair] Cybersécurité : Enjeu ou opportunité pour les entreprises québécoises ?

Crédit Image à la Une : Dreamstime, Unsplash