Lois sur la protection de la vie privée : voitures connectées

Alex Cameron est un associé chez Fasken Martineau, un cabinet d’avocats spécialisé en droit des affaires et en litige comptant plus de 700 avocats. (Photo: GM)

Saisir les occasions et gérer les risques dans un monde connecté.

L’évolution rapide des « véhicules connectés » a transformé le visage de l’industrie automobile, modifiant du même coup non seulement la relation que nous entretenons avecnos voitures, mais également celles qu’entretiennent les différents joueurs– équipementiers, fournisseurs de services de télécommunication, fournisseurs de matériel et de logiciels informatiques,notamment – entre eux et avec leurs clients.

Protection de la vie privée

D’un point de vue juridique et commercial, bon nombre d’occasions et de risques liés à la voiture connectée tiennent au fait que les données recueillies et utilisées constituent bien souvent des données d’ordre personnel sur les activités, les caractéristiques et les préférences des individus. Fort utiles à des fins de marketing et de recherche et développement, et même à des fins commerciales, ces renseignements doivent toutefois être recueillis, utilisés et divulgués en tenant compte de la législation régissant la protection de la vie privée ainsi que des exigences et des risques juridiques s’y rapportant.

Contrairement aux États-Unis, le Canada a adopté une loi sur la protection de la vie privée d’application générale dans le secteur privé : la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). La Colombie-Britannique, l’Alberta et le Québec ont adopté des lois similaires. Ces lois en matière de protection de la vie privée au Canada régissent toutes la collecte, l’utilisation et la communication des renseignements personnels (c.-à-d. les renseignements concernant une personne identifiable), et le secteur automobile n’y échappe pas.

À quelques rares exceptions près, de telles lois exigent que les personnes donnent, de façon explicite ou implicite, leur consentement en regard de telles activités. Toute entreprise souhaitant recueillir des renseignements personnels de la part d’un client doit lui en fournir le motif, avant ou au moment d’en faire la collecte. Le consentement explicite ou implicite sera donné selon le degré de sensibilité des données et de l’absolue nécessité de leur cueillette.

Bien que les exigences des lois concernant la protection de la vie privée permettent généralement aux entreprises d’atteindre, voire de dépasser leurs objectifs commerciaux, trois enjeux doivent néanmoins être pris en compte quant à l’application de ces lois dans le contexte de la voiture connectée : établir quels renseignements constituent des « renseignements personnels » ; établir des objectifs appropriés ; mettre en oeuvre des dispositifs techniques ou autres mesures pour protéger ces renseignements contre l’accès, l’utilisation et la divulgation non autorisée.

Renseignements personnels

Les lois visant à protéger la confidentialité définissent largement le terme « renseignements personnels » et englobent tout renseignement concernant une personne identifiable. Un concept clé : l’identifiabilité. Les renseignements seront habituellement considérés comme étant « personnels » dès qu’il y a probabilité qu’ils puissent être, seuls ou en combinaison avec d’autres renseignements disponibles, liés à une personne identifiable.

Cet aspect revêt une grande importance puisqu’il donne aux entreprises toute la latitude pour anonymiser ou dépersonnaliser les données, habituellement sans avoir à se préoccuper des exigences législatives sur la protection de la vie privée. Toutefois, la question d’identifiabilité s’établit grandement sur les faits, surtout dans le contexte des véhicules connectés, où les renseignements recueillis ne concernent pas uniquement les conducteurs, mais également d’autres personnes, notamment les passagers, ce qui vient parfois soulever d’importantes questions.

Par exemple, si une entreprise analyse un ensemble de renseignements personnels et les dépersonnalise – disons pour un usage marketing particulier –, mais qu’elle demeure techniquement en mesure de réidentifier les personnes à l’aide d’autres renseignements, la question des limites de l’application des lois sur la protection de la vie privée se pose donc.

Fins appropriées

Les lois canadiennes visant à protéger la vie privée obligent les sociétés à recueillir, utiliser et communiquer uniquement les renseignements personnels qu’une personne raisonnable estimerait appropriés. Autrement dit, même si une personne y a consenti, l’activité pourrait néanmoins être inadmissible en vertu des lois protégeant la vie privée.

Plusieurs conclusions légales et juridiques ont contribué à définir cette exigence de « fins appropriées ». Bien qu’il soit permis de croire que les voitures connectées respecteront cette exigence une fois qu’elle aura été adéquatement instaurée, il faudra toutefois porter une attention particulière aux renseignements qui seront recueillis (surtout ceux de nature sensible) ainsi qu’au bien-fondé, à la nécessité et aux avantages de leur collecte.

Mesures de protection et cybersécurité

Les lois canadiennes visant à protéger la vie privée exigent des entreprises qu’elles mettent en place des mesures physiques, techniques, administratives ou autres pour protéger les renseignements personnels. De telles exigences, auxquelles l’industrie automobile doit se plier, sont devenues particulièrement impérieuses en raison des nombreux cas de violation de données et de cyberattaques des dernières années.

Puisque la collecte, l’utilisation et la communication de renseignements personnels ne peuvent aller qu’en augmentant, il est impératif que l’industrie et ses partenaires prennent les mesures qui s’imposent pour prévenir, détecter et prendre en charge les incidents liés à la sécurité des données.

En matière de protection des renseignements, les risques juridiques et d’atteinte à la réputation sont bien réels. Le Canada est depuis quelques années le théâtre d’un nombre grandissant de litiges et de recours collectifs invoquant la violation de la vie privée, non seulement dans des causes de violation des données et de cyberattaques, mais également de pratiques commerciales. L’ampleur des conséquences possibles, notamment au plan financier, rend nécessaire la mise en place de mesures pour la protection et la préservation des renseignements personnels.

Outre l’adoption de telles mesures, les entreprises peuvent également prendre des moyens pour limiter les risques juridiques, par exemple en revoyant minutieusement leurs politiques de confidentialité et autres communications connexes pour s’assurer qu’elles ne comportent aucune « promesse » inutile de protection. En plus de ne pas être requises en vertu des lois sur la protection de la vie privée, de telles promesses pourraient entraîner des risques juridiques (pour rupture de contrat) qui seraient inexistants autrement.

L’évolution de la voiture connectée est en voie de transformer radicalement l’industrie automobile. Même si elles demeureront inchangées pour la plupart, les nouvelles fonctionnalités des voitures connectées soulèveront tout de même quelques questions sur la confidentialité. Puisque les enjeux et les risques liés à la protection de la vie privée prennent une place de plus en plus importante dans la sphère commerciale incluant l’industrie automobile, cette dernière doit donc tenir compte de chacun d’eux avec toute l’attention et la prévoyance qui s’imposent.

Paratagez-le !