Quel encadrement pour les données de mobilité?
Analyser les données de mobilité permet d’évaluer s’il convient de maximiser, en fonction d’un festival à venir, d’une période de la journée, l’offre de service dans un secteur d’une ville plutôt que dans tel autre. Toutefois, les données utilisées pour réaliser ces analyses sont susceptibles de concerner une personne physique et de l’identifier. Les responsables au sein des villes ou des entreprises qui entendent améliorer l’environnement dans lequel on évolue se doivent d’intégrer les règles de protection des renseignements personnels dans leurs activités. Mais quelles sont ces règles?
Lors du Forum sur la cybersécurité et la sûreté dans les transports, un des panels avait pour titre « Assurer la protection des données dans un contexte d’innovation collaborative en mobilité ». La discussion portait notamment sur le fait de savoir s’il y avait une loi (ou des lois) encadrant le tout. La réponse est oui.
Que l’on pense aux informations qui indiquent les heures d’utilisation d’un vélo ou d’une voiture; le trajet parcouru d’un point A à un point B le matin et, inversement, le soir; ou encore, qui est en mesure de localiser une personne et de l’informer sur les lignes de bus ou de métro les plus proches, etc., toutes ces informations sont des renseignements personnels.
En effet, ces informations recueillies par les clés (si vous êtes de ceux qui ont encore leur clé BIXI, par exemple), les applications mobiles ou cartes à puces RFID utilisées pour bénéficier d’un service de vélo/de voiture en partage, par exemple, concernent une personne physique et permettent de l’identifier, directement ou indirectement, d’autant plus qu’elles sont souvent associées à ses nom, prénom, date de naissance, adresses postale et électronique et numéro de carte de crédit.
Au Québec, si un organisme public, comme une ville par exemple, ou une entreprise veut recueillir de telles informations pour développer son plan d’urbanisation ou encore pour améliorer son offre de service, ils doivent tenir compte des lois relatives à la protection des renseignements personnels.
L’accent sera mis ici sur la Loi sur l’accès aux documents des organismes publics et la protection des renseignements personnels (secteur public) et la Loi sur la protection des renseignements personnels dans le secteur privé. Même si au moment d’écrire ces lignes, le projet de loi 64 (PL64) visant à moderniser ces lois est encore à l’étude, il est néanmoins permis de considérer quelques éléments qui doivent (devront) animer ceux qui collectent, utilisent/analysent, communiquent, conservent de tels renseignements.
Avant de collecter des renseignements personnels ou encore d’acquérir, de développer ou de refondre un projet de système d’information ou de prestation électronique de service, les organismes publics ou les entreprises doivent :
- avoir un intérêt sérieux et légitime;
- déterminer les fins pour lesquelles ils entendent collecter des renseignements personnels;
- ne recueillir que les renseignements nécessaires à la réalisation de ces fins;
- déterminer les facteurs/les risques qui peuvent avoir un impact sur la vie privée des personnes concernées et mettre en place des mesures pour les éliminer ou à tout le moins les minimiser;
- informer les individus entre autres des fins pour lesquelles leurs renseignements personnels sont recueillis; des moyens par lesquels ils le sont; des tiers pour qui ils sont collectés ou à qui ils seront communiqués; du fait qu’ils peuvent être communiqués à l’extérieur de la province; de la durée de conservation; de leurs droits d’accès et de rectification; du nom du responsable de la protection des renseignements personnels;
- informer les individus qu’ils ont recours à une technologie permettant de l’identifier, de la localiser ou d’effectuer un profilage et, par le fait même, des moyens offerts pour activer ces fonctions;
- obtenir le consentement des individus. Ce consentement doit être manifeste, libre et éclairé. Il doit être donné à des fins spécifiques et ne vaut que pour la durée nécessaire à la réalisation de celles-ci.
- Dans certains cas, notamment lorsqu’il est prévu de recueillir des caractéristiques biométriques, le consentement doit être manifesté de façon expresse et la Commission d’accès à l’information doit être informée au moins 60 jours avant le lancement d’un procédé permettant de saisir de telles caractéristiques pour vérifier ou confirmer l’identité d’une personne (Il est fait référence ici à la Loi concernant le cadre juridique des technologies de l’information modifiée par le PL64).
Par ailleurs, les organismes publics et les entreprises doivent :
- établir et mettre en œuvre des politiques et des pratiques encadrant leur gouvernance à l’égard des renseignements personnels et propres à en assurer la protection;
- adopter une politique de confidentialité;
- adopter des mesures de sécurité propres à assurer la protection des renseignements personnels.
- Advenant l’accès, l’utilisation ou la communication non autorisée ou encore la perte d’un renseignement personnels, les organismes publics et les entreprises doivent déclarer à la Commission d’accès à l’information et à la personne concernée cet incident de confidentialité. Cette déclaration doit être faite avec diligence et en tenant compte du fait qu’il existe un risque qu’un préjudice sérieux soit causé à la personne dont les renseignements sont visés par l’incident;
- conclure une entente s’ils entendent communiquer sans le consentement des personnes concernées leurs renseignements personnels à un tiers qui entend les utiliser à des fins d’étude, de recherche ou de production de statistiques;
- détruire ou anonymiser les renseignements personnels une fois que les finalités pour lesquelles ils ont été recueillis ou utilisés sont accomplies.
Comme mentionné en prémisse, il existe bien des lois encadrant le traitement des données de mobilité. Ces lois sont en révision et prévoient de nouvelles obligations pour les organismes publics et les entreprises.
Même si ces obligations ne sont pas encore en vigueur, il convient de les envisager afin d’anticiper les enjeux qui pourraient en découler quant à la collecte, à l’utilisation, à la communication, à la conservation des renseignements personnels, d’autant que les sanctions qui pourront être prononcées en cas de non-respect sont plus élevées qu’actuellement.
Si vous avez des questions à ce sujet, n’hésitez pas à communiquer avec nous pour en discuter.
Poursuivre la lecture sur le sujet
LeddarTech : un logiciel automobile au service des systèmes d’aide à la conduite et de conduite autonome
Basée à Québec, Canada, LeddarTech est une entreprise de logiciels automobiles fondée en 2007 qui développe et propose des solutions de perception complètes permettant le déploiement d’applications ADAS et de conduite autonome.
Lire la suite
Les politiques industrielles traceront-elles l’avenir des industries québécoises ?
L’économie québécoise – et plus largement mondiale – fait face à des enjeux multiples : crise climatique, problèmes d’approvisionnements, pénuries de main d’œuvre, inflation etc. Bien que le Québec regorge de ressources, de savoir-faire et d’expertises, un exercice pour structurer, planifier les actions et développer les activités industrielles est maintenant à l’ordre du jour.
Lire la suite
Le laboratoire d’infonuagique du Cégep de l’Outaouais au service de l’éducation spécialisée et de l’innovation technologique en cybersécurité
CyberQuébec est l’un des 59 Centres collégiaux de transfert de technologie (CCTT) du réseau Synchronex.
Lire la suite
Émergence des métiers de la donnée pour le transport électrique et intelligent – des parcours d’apprentissages spécialisés et uniques au Québec par la formation continue du Collège de Bois-de-Boulogne
L’industrie du transport électrique et intelligent est en émergence à travers le monde. Dans un contexte de grande rareté de main-d’œuvre, de nouvelles opportunités d’emploi se présentent à une population, jeune et adulte, très sollicitée.
Lire la suite
Les données télématiques: la clé d’une transition énergétique réussie
Les gestionnaires de flotte font actuellement face au défi colossal de la transition énergétique, afin de répondre aux exigences législatives et à la demande sociétale. Pour la majeure partie des transporteurs, tant dans le secteur du transport passagers que dans celui de la livraison du dernier kilomètre, ce virage vert est déjà amorcé.
Lire la suite
Ambition TEI 2030 : une feuille de route industrielle pour faire du Québec un chef de file des TEI d’ici 2030
Propulsion Québec, la grappe des transports électriques et intelligents, en collaboration avec la firme Deloitte, a réalisé une feuille de route destinée à l’écosystème des transports électriques et intelligents (TEI) intitulée Ambition TEI 2030.
Lire la suite
La transition énergétique, l’enjeu qui bouscule l’industrie du transport
Le ministère américain de l’énergie a récemment publié un rapport contenant une analyse du coût des véhicules pour les camions moyens et lourds zéro émission.
Lire la suite
La Mobilité de l’avenir, c’est intelligent, vert, inclusif et sain
L’innovation fait partie de notre stratégie Alstom in Motion 2025. C’est ce qui nous a mené où nous sommes aujourd’hui, et nous voulons aller encore plus loin.
Lire la suite
CAPEX – comment prendre des bonnes décisions concernant l’électrification des flottes?
Reconnaissant l'importance de maintenir l'avance du Canada et du Québec dans le secteur de l’électrification des transports tout en assurant notre engagement lié à la réduction des GES selon l’accord de Paris, le Gouvernement du Québec offre d’aides financières pouvant aller à plus de 100 000 $ pour la mise en œuvre d’un projet de migration vers une flotte électrique.
Lire la suite
