Chantal Bernier: « La protection des renseignements personnels n’est pas qu’une question technologique »


Édition du 09 Décembre 2020

Chantal Bernier: « La protection des renseignements personnels n’est pas qu’une question technologique »


Édition du 09 Décembre 2020

Par Denis Lalonde

Chantal Bernier dirige le groupe de pratique canadien Cybersécurité et protection de la vie privée du cabinet d’avocats Dentons et est membre du groupe Affaires et politiques gouverne-mentales du cabinet. Elle a aussi été commissaire adjointe à la protection de la vie privée du Canada de 2008 à 2014 et a auparavant occupé divers postes dans des ministères du gouvernement fédéral.

Q&RLe projet de loi fédéral ­C-11, ou la ­Loi édictant la ­Loi sur la protection de la vie privée des consommateurs et la ­Loi sur le ­Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois, a été déposé en première lecture le 17 novembre. Quelles seront les nouvelles obligations des entreprises si l’adoption de ce projet de loi n’est pas freinée par des élections fédérales anticipées ? L’avocate ­Chantal ­Bernier, spécialisée en cybersécurité et en protection de la vie privée, explique les changements qui pointent à l’horizon.

Les ­Affaires – ­Qu’­est-ce que le projet de loi ­C-11 va changer pour les entreprises ?

Chantal ­Bernier – ­Le premier grand changement, c’est l’aspect financier de la conformité à la ­Loi sur la protection des renseignements personnels. Il y a une structure de pénalités qui est très importante.

Si une entreprise est en contravention avec certains articles, comme celui qui exige le signalement d’un incident à la sécurité tant au ­Commissariat à la protection de la vie privée qu’aux individus concernés, cela pourrait lui coûter jusqu’à 25 millions de dollars (M$) ou 5 % de ses recettes globales.

Si une société est reconnue coupable d’une faute moins grave, comme la collecte excessive de données, elle peut quand même faire l’objet d’une peine administrative de 10 M$ ou de 3 % des recettes globales.

L.A. – ­L’entreprise ne doit donc plus évaluer son risque à l’égard de la conformité envers la loi de la même façon. Comment ­est-ce que les sociétés doivent se préparer à cet égard ?

C.B. – ­D’abord et avant tout, les entreprises doivent développer un plan d’intervention en cas d’incident à la sécurité. Parce que ce n’est pas le temps d’y penser quand on est en crise. Le plan ne doit pas être uniquement technologique, mais également juridique. Il faut pouvoir évaluer si les données compromises, advenant un incident de sécurité, créent un risque significatif et réel de préjudice grave dans un contexte juridique.

Le plan doit aussi identifier à l’avance un avocat auquel on va se référer en cas de crise. S’il n’y a pas de plan, c’est urgent d’en développer un.

L.A. – ­Si les systèmes informatiques des entreprises sont déjà conformes au ­Règlement général sur la protection des données (RGPD) européen, y ­a-t-il tant de travail à faire pour se conformer au projet de loi ­C-11 ?

C.B. – ­Ce n’est pas seulement une question de technologie. Tous les clients que j’aide et qui ont été victimes d’une cyberattaque avaient de très bons systèmes informatiques. Les cyberattaquants ciblent surtout l’être humain, c’est là la vulnérabilité.

Ça peut être un employé déloyal qui utilise ses accès privilégiés pour voler des données et les revendre sur ­Internet. Ça peut être un employé très loyal, qui est victime d’un subterfuge. 

C’est comme ça que tout commence.

L.A. – ­De combien de temps les entreprises canadiennes ­bénéficient-elles pour se préparer à l’entrée en vigueur du projet de loi ?

C.B. – ­Il y a le « facteur X » du gouvernement minoritaire qui entre en jeu. Si on présume qu’il n’y aura pas d’élections d’ici là, le projet de loi ­C-11 pourrait avoir force de loi d’ici un an, car il répond à des préoccupations partagées par tous les partis.

Les ­Affaires – ­Comment avez-vous réagi aux propos du directeur parlementaire du budget ?
Julien ­Billot – ­Il a droit à son opinion. C’est très ambitieux de vouloir évaluer un programme après seulement quelques mois d’existence. La supergrappe ­Scale ­AI, qui vise à accélérer l’adoption et l’intégration rapide de l’intelligence artificielle (IA) aux chaînes d’approvisionnement, est pleinement opérationnelle depuis le 31 mai 2019, alors que les données évaluées par le directeur parlementaire du budget allaient jusqu’en mars dernier. À ce jour, nos projets validés ont permis de créer 2 500 emplois, alors que l’objectif est de 15 000 sur dix ans. Nous sommes sûrs d’atteindre nos cibles.
L.A. – ­Vous avez lancé, en décembre 2019, le programme d’accélération ­Scale ­AI, qui permet de venir en aide aux ­start-ups de tout le pays dans votre secteur. Or, vous venez de révéler, le 10 novembre, l’identité des premières jeunes pousses qui pourront obtenir votre aide. Pourquoi avoir attendu aussi longtemps ?
J.B. – ­Nous avons envoyé les détails du programme à tous les incubateurs et accélérateurs qui travaillent en ­IA au ­Canada, qui nous ont ensuite envoyé leurs demandes de financement. Il nous a fallu du temps pour en sélectionner 28 à ce jour, dont 18 proviennent du ­Québec.
L.A. – ­Comment fonctionne ce
programme ?
J.B. – ­Chaque incubateur ou accélérateur peut nous soumettre jusqu’à 10 candidatures de ­start-ups par année, du moment qu’elles travaillent dans le secteur de l’IA dans les chaînes d’approvisionnement.
Le montant versé n’est pas un don, mais bien un remboursement de coûts effectué directement à l’incubateur ou à l’accélérateur. Ces derniers doivent démontrer qu’ils ont dépensé jusqu’à 50 000 $ en soutien à chaque ­start-up acceptée dans le programme pour avoir droit au montant maximal annuel de remboursement. Chaque organisme ne peut recevoir plus de 500 000 $ par année dans le cadre du programme doté d’une enveloppe de 20 M $ sur trois ans et qui vise à venir en aide à 300 ­start-ups.
L.A. – ­Votre première année d’existence a bien sûr été chamboulée par la pandémie de ­COVID-19. Comment ­avez-vous réagi ?
J.B. – ­Notre projet le plus important a été avec le ­Port de ­Montréal. Au début de la crise, plusieurs hôpitaux avaient des problèmes de chaîne d’approvisionnement. On a financé des projets qui n’ont pas tous été annoncés. On a aussi travaillé avec le ­Port de ­Montréal pour assurer la sécurisation et la priorisation du déchargement des stocks de matériel médical. De plus, certains vaccins contre la ­COVID-19, qui sont sur le point d’être commercialisés, doivent être maintenus à une température de -70 degrés ­Celsius. On commence déjà à nous approcher pour voir comment on peut financer des projets qui vont sécuriser la chaîne d’approvisionnement du froid pour les garder à bonne température.

 

 

Sur le même sujet

À la une

Ses «erreurs de jeunesse» n’arrêteront pas l’innovation du Web3

LES CLÉS DE LA CRYPTO. Cet Internet 3.0, bâti sur les «chaînes de blocs», charrie quantité de préoccupations.

Verdir le marketing, l’objectif de Masse Critique

Le collectif a pour mission de réduire l’empreinte environnementale des pratiques de vente.

Voici sur quoi miser pour rapatrier au bureau vos employés

RHÉVEIL-MATIN. Une étude de Microsoft recommande d'offrir un lieu qui permet aux employés de connecter entre eux.