Quel encadrement pour les données de mobilité?

Analyser les données de mobilité permet d’évaluer s’il convient de maximiser, en fonction d’un festival à venir, d’une période de la journée, l’offre de service dans un secteur d’une ville plutôt que dans tel autre. Toutefois, les données utilisées pour réaliser ces analyses sont susceptibles de concerner une personne physique et de l’identifier. Les responsables au sein des villes ou des entreprises qui entendent améliorer l’environnement dans lequel on évolue se doivent d’intégrer les règles de protection des renseignements personnels dans leurs activités. Mais quelles sont ces règles?

par Cynthia Chassigneux, Avocate, associée / Langlois Avocats
Quel encadrement pour les données de mobilité?

Lors du Forum sur la cybersécurité et la sûreté dans les transports, un des panels avait pour titre « Assurer la protection des données dans un contexte d’innovation collaborative en mobilité ». La discussion portait notamment sur le fait de savoir s’il y avait une loi (ou des lois) encadrant le tout. La réponse est oui.

Que l’on pense aux informations qui indiquent les heures d’utilisation d’un vélo ou d’une voiture; le trajet parcouru d’un point A à un point B le matin et, inversement, le soir; ou encore, qui est en mesure de localiser une personne et de l’informer sur les lignes de bus ou de métro les plus proches, etc., toutes ces informations sont des renseignements personnels.

En effet, ces informations recueillies par les clés (si vous êtes de ceux qui ont encore leur clé BIXI, par exemple), les applications mobiles ou cartes à puces RFID utilisées pour bénéficier d’un service de vélo/de voiture en partage, par exemple, concernent une personne physique et permettent de l’identifier, directement ou indirectement, d’autant plus qu’elles sont souvent associées à ses nom, prénom, date de naissance, adresses postale et électronique et numéro de carte de crédit.

Au Québec, si un organisme public, comme une ville par exemple, ou une entreprise veut recueillir de telles informations pour développer son plan d’urbanisation ou encore pour améliorer son offre de service, ils doivent tenir compte des lois relatives à la protection des renseignements personnels.

L’accent sera mis ici sur la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels (secteur public) et la Loi sur la protection des renseignements personnels dans le secteur privé. Même si au moment d’écrire ces lignes, le projet de loi 64 (PL64) visant à moderniser ces lois est encore à l’étude, il est néanmoins permis de considérer quelques éléments qui doivent (devront) animer ceux qui collectent, utilisent/analysent, communiquent, conservent de tels renseignements.

Avant de collecter des renseignements personnels ou encore d’acquérir, de développer ou de refondre un projet de système d’information ou de prestation électronique de service, les organismes publics ou les entreprises doivent :

  • avoir un intérêt sérieux et légitime;
  • déterminer les fins pour lesquelles ils entendent collecter des renseignements personnels;
  • ne recueillir que les renseignements nécessaires à la réalisation de ces fins;
  • déterminer les facteurs/les risques qui peuvent avoir un impact sur la vie privée des personnes concernées et mettre en place des mesures pour les éliminer ou à tout le moins les minimiser;
  • informer les individus entre autres des fins pour lesquelles leurs renseignements personnels sont recueillis; des moyens par lesquels ils le sont; des tiers pour qui ils sont collectés ou à qui ils seront communiqués; du fait qu’ils peuvent être communiqués à l’extérieur de la province; de la durée de conservation; de leurs droits d’accès et de rectification; du nom du responsable de la protection des renseignements personnels;
  • informer les individus qu’ils ont recours à une technologie permettant de l’identifier, de la localiser ou d’effectuer un profilage et, par le fait même, des moyens offerts pour activer ces fonctions;
  • obtenir le consentement des individus. Ce consentement doit être manifeste, libre et éclairé. Il doit être donné à des fins spécifiques et ne vaut que pour la durée nécessaire à la réalisation de celles-ci.
    • Dans certains cas, notamment lorsqu’il est prévu de recueillir des caractéristiques biométriques, le consentement doit être manifesté de façon expresse et la Commission d’accès à l’information doit être informée au moins 60 jours avant le lancement d’un procédé permettant de saisir de telles caractéristiques pour vérifier ou confirmer l’identité d’une personne (Il est fait référence ici à la Loi concernant le cadre juridique des technologies de l’information modifiée par le PL64).

Par ailleurs, les organismes publics et les entreprises doivent :

  • établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels et propres à en assurer la protection;
  • adopter une politique de confidentialité;
  • adopter des mesures de sécurité propres à assurer la protection des renseignements personnels.
    • Advenant l’accès, l’utilisation ou la communication non autorisée ou encore la perte d’un renseignement personnels, les organismes publics et les entreprises doivent déclarer à la Commission d’accès à l’information et à la personne concernée cet incident de confidentialité. Cette déclaration doit être faite avec diligence et en tenant compte du fait qu’il existe un risque qu’un préjudice sérieux soit causé à la personne dont les renseignements sont visés par l’incident;
  • conclure une entente s’ils entendent communiquer sans le consentement des personnes concernées leurs renseignements personnels à un tiers qui entend les utiliser à des fins d’étude, de recherche ou de production de statistiques;
  • détruire ou anonymiser les renseignements personnels une fois que les finalités pour lesquelles ils ont été recueillis ou utilisés sont accomplies.

Comme mentionné en prémisse, il existe bien des lois encadrant le traitement des données de mobilité. Ces lois sont en révision et prévoient de nouvelles obligations pour les organismes publics et les entreprises.

Même si ces obligations ne sont pas encore en vigueur, il convient de les envisager afin d’anticiper les enjeux qui pourraient en découler quant à la collecte, à l’utilisation, à la communication, à la conservation des renseignements personnels, d’autant que les sanctions qui pourront être prononcées en cas de non-respect sont plus élevées qu’actuellement.

Si vous avez des questions à ce sujet, n’hésitez pas à communiquer avec nous pour en discuter.Giftofvision – Sneakers search engine | lebron 14 cocoa beach for sale size 2 , Air Jordan Release Dates 2021 + 2022 Updated , Gov