La Privacy by Design est l’une des notions au cœur du RGPD, le règlement européen de 2019 encadrant la protection des données. Sommairement, c’est un concept qui consiste à intégrer les principes de protection des données personnelles dès la conception d’un projet ou d’un service, notamment aujourd’hui lorsqu’ un logiciel est appellé à manipuler ces données personnelles.
Le 20 janvier 2021, Tech for Good Canada a organisé une discussion (en anglais), modérée par notre directrice Caroline Isautier, conçue pour être une introduction pour les chefs d’entreprise, les investisseurs et les citoyens sur le pourquoi et le comment de la mise en œuvre de la protection des données et de la sécurité dans la gouvernance d’entreprise ou d’association.
Vous trouverez ci-dessous un récapitulatif détaillé des échanges, dont des pépites d’informations très utiles. Des extraits vidéo seront bientôt disponibles sur notre chaîne YouTube.
Cette discussion découle des préoccupations concernant la tendance à intégrer une surveillance par défaut dans de trop nombreuses solutions logicielles aujourd’hui, que ce soit pour notre usage professionnel ou personnel. Les modèles commerciaux basés sur la publicité que la Silicon Valley a favorisés, avec d’énormes gains initiaux, et l’éthique du “Go fast and break things” ont inculqué une culture du mépris du consentement de l’utilisateur/utilisatrice dans l’utilisation de ses données.
Cette ère touche à sa fin. L’augmentation des vols de données et l’indignation suscitée par le “data mining” sans consentement de certaines des plus grandes entreprises technologiques, à savoir Facebook, Google et Amazon, font que le respect de la vie privée est aujourd’hui aussi important que la sécurité dans le développement des solutions logicielles.
Les films, les séries, les vidéos YouTube et les sketches sur la surveillance dans la ‘Tech’ sont désormais monnaie courante. Le documentaire choc “The Social Dilemma” (“Derrière nos Ecrans de Fumée“), sorti en septembre 2020, suit “Black Mirror“, “Nothing to Hide ( Rien à Cacher) ” et “The Great Hack” (“L’affaire Cambridge Analytica“) comme exemples de culture populaire dénonçant la surveillance des citoyens. Pour un parfum canadien, regardez ci-dessous ou ici ce sketch de Baronness Von Sketch inspiré d’une visite dans un Apple store.
Les législateurs rattrapent peu à peu leur retard, avec le RGPD européenn (Reglement Genéral de Protection des Données), la loi californienne sur le droit à la vie privée (CCPA) et la LGPD brésilienne (Lei Geralde Proteçãode Dados).
Récemment, la province de Québec a proposé le projet de loi 64, tandis qu’une loi canadienne sur la protection de la vie privée (CPPA) actualisant la loi LPRDE (PIPEDA en anglais) existante est en cours d’élaboration. Ces lois exigent généralement que les entreprises dressent la liste des données qu’elles collectent et déclarent les violations de données. Elles imposent en outre de lourdes amendes à ceux qui n’obtiennent pas le consentement d’utiliser les données des personnes ou qui collectent ou utilisent ces données de manière excessive et déloyale. En outre, elles permettent aux citoyens de demander un rapport sur les informations qu’une entreprise recueille à leur sujet.
Pour aborder cette question émergente, assurément complexe, combinant gouvernance, aspects juridiques et techniques, nous avons réuni quatre perspectives complémentaires à la discussion animée par Caroline Isautier, notre directrice. Voir leur biographie à la fin de cet article.
Une Nouvelle Surveillance Privée non Réglementée nous Apparaît
Comme le dit Sal d’Agostino, un expert américain de haut niveau en matière de vidéosurveillance et d’identité numérique : ” la technologie publicitaire largement utilisée aujourd’hui est un autre type de surveillance, non pas pour la sécurité publique, mais pour maximiser les revenus “.
La plupart d’entre nous, professionnels et particuliers, ont accepté jusqu’à présent, d’abord parce qu’ils n’en avaient pas conscience, puis en échange de praticité et souvent, de gratuité.
Rien à Cacher ? Mieux Vaut ne Rien Avoir à Dire
De plus, nous n’avons “rien à cacher”, n’est-ce pas ? Abigail Dubiniecki a rappelé que la vie privée est un droit de l’homme fondamental. Lorsque nous sommes surveillés, nous perdons notre liberté d’action et commençons peu à peu à modifier notre comportement. Le danger auquel nous sommes confrontés aujourd’hui dans le monde des affaires est de considérer le respect de la vie privée comme une question juridique, une série de cases à cocher, sans apprécier à quel point la vie privée est fondamentale pour notre vie quotidienne.
Le Respect de la Vie Privée est-il l’Affaire de Juristes? C’est une Question de Gouvernance à l’Echelle de l’Entreprise
Comme l’a indiqué Cat Coode, l’idée de la “privacy by design” est littéralement celle de concevoir vos pratiques commerciales de manière à faire passer la vie privée des clients et des employés en priorité.
Par conséquent, la protection de la vie privée pour les entreprises, même si elle est désormais prescrite par la loi, n’est pas censée être un simple exercice juridique. Elle est censée être un investissement utile pour réduire le risque d’infractions, d’amendes et de poursuites judiciaires. Ses principes se traduisent nécessairement par des mises en œuvre techniques, certaines internes, d’autres externes, dans le cas d’outils tiers.
“BOLTS” (écrous en anglais) est l’acronyme que Sal d’Agostino utilise pour : “Business, Operations, Legal, Technical and Social aspects”, soit, les aspects commerciaux, opérationnels, juridiques, techniques et sociaux d’un véritable effort de respect de la vie privée.
Malheureusement, l’accent a été mis dans le passé sur les aspects purement juridiques (par exemple, par le biais d’une politique de protection de la vie privée). Mon analogie personnelle est celle de l’ouverture d’un parapluie sous un toit qui fuit. Cela ne vous mènera pas loin à long terme.
En ce qui concerne l’aspect social, Cat Coode ajoute que la formation des employés au sens et à l’importance des réglementations en matière de vie privée est un domaine souvent négligé dans les audits de conformité, alors que les risques pour la vie privée et la sécurité impliquent le plus souvent une erreur humaine. Produire une formation attrayante est l’un des défis que l’expert Scott Wright de Click Armor relève !
Au-delà de cette formation de base, elle affirme que ce qui manque aujourd’hui, c’est une formation sur la protection de la vie privée dès la conception (Privacy by Design – PbD). Les chefs de produits doivent savoir comment définir les exigences en matière de PbD et les informaticiens et ingénieurs doivent savoir comment concevoir au mieux leurs systèmes pour respecter la vie privée. Sans cette formation, toute politique ou processus que vous essayez de mettre en place ne sera pas bien accueilli.
Quel est le Coût d’une Mise en Oeuvre Laxiste de la Protection des Données ?
Cat explique le cas d’une entreprise en Europe ayant été condamnée à une amende de 200 000 € pour ne pas avoir répondu à trois demandes d’accès à ses données par un particulier, un droit prévu par le RGPD ( et la plupart des lois sur la protection de la vie privée).
Elle indique qu’il n’y a pas encore d’exemples d’amendes imposées au Canada, mais que le projet de loi 64 du Québec en cours d’élaboration changerait cela. “Je pense que le plus gros impact se situe au niveau des infractions et des atteintes à la réputation”, ajoute-t-elle. Le cas de LifeLabs, la société de tests de laboratoire qui a été piratée, est un exemple d’atteinte à la réputation qui fera réfléchir les clients à deux fois avant de se faire tester dans ce laboratoire. Il en va de même pour LastPass, le gestionnaire de mots de passe qui a été piraté.
Par ailleurs, Anyvision était une société de reconnaissance faciale aux pratiques commerciales “odieuses”, selon Sal. Une fois que cela a été révélé, Microsoft a retiré son investissement dans cette société. “Cela peut également affecter vos capacités d’embauche, en particulier en ce qui concerne les professionnels de la technologie”, explique Abigail.
Traduit avec l’aide de www.DeepL.com/Translator