en

Blogue

Sécurité et la valorisation des données numériques

Notre époque est marquée par un grand bouleversement numérique quant à la collecte et l’utilisation des données personnelles. L’accessibilité aux technologies constituant l’Internet des objets, donc collectant à une vitesse grand V les données de toutes sortes, pose des questions éthiques, légales et réglementaires importantes en matière de protection de la vie privée. L’adoption de ces nouvelles technologies nous permet de récolter un nombre faramineux de données que l’industrie se doit de valoriser adéquatement pour récolter les retombées escomptées.  
 
Lors du déjeuner des leaders organisé par TechnoMontréal, le 3 novembre dernier, deux experts ont abordé ces enjeux et ont su faire émerger des pistes de réflexion visant à améliorer l’utilisation, la sécurité et l’exploitation des données numériques pour fins de recherche. Me Charles Morgan, avocat associé chez McCarthy Tétrault, s’est adressé aux entreprises et organisations invitées pour poser les bases du cadre légal et réglementaire dans lequel elles évoluent. En écho, la Dre Danielle Dupont, présidente-directrice générale de DATA MINING AMERICA et chef de la Direction scientifique de DATA MINING INTERNATIONAL SA, a présenté différentes approches méthodologiques de pointe pour la valorisation des technologies et l’aide à la décision notamment dans le secteur de la santé, du commerce de détail et de l’aéronautique.
 
La notion de consentement
Selon Me Charles Morgan, avocat associé chez McCarthy Tétrault, un constat émerge sans équivoque : le consentement éclairé de la personne en cause demeure la première préoccupation que doivent avoir les développeurs, les programmeurs et les entrepreneurs qui sont responsables de la mise en marché d’une technologie dont le modèle d’affaires est basé sur la collecte de données. La forme même de ce consentement peut varier selon le niveau de sensibilité de l’information collectée.  Par exemple, lors de la collecte de renseignements personnels sur la santé, un consentement exprès est presque toujours exigé.  Par contre, lors de la collecte d’information moins sensible (telle que l’adresse postale), un consentement implicite pourrait suffire. Dans tous les cas, Me Morgan souligne que l’on doit pouvoir démontrer que l’utilisateur avait une connaissance raisonnable des enjeux de collecte et d’utilisation de ses données, constituant un choix éclairé.
 
Normes de fabrication
Au-delà du cadre jurique applicable à l’utilisation des renseignements personnels sur la santé, la mise en marché des produits qui font la collecte de telles information (par exemple, des montres qui font le calcul les battements de cœur) pose la question de savoir à quel moment qu’un produit de détail devient un dispositif médical réglementer. L’interprétation de la notion de « medical device » se retrouve bien souvent dans une zone grise. Par exemple, un moniteur cardiaque utilisé dans un contexte hospitalier est hautement réglementé.  La question se pose alors si la technologie « Fitbit » qui récolte également des données biométriques et qui pourrait avoir une fonctionnalité devrait l’être au même titre.
 
Dans tous les cas, un avis juridique est toujours souhaitable. Il est de prime abord primordial de respecter la notion de consentement éclairé ainsi que les autres principes de bases que sont la détermination des fins de la collecte, la limitation de la collecte et la limitation de l’utilisation de la communication et de la conservation des données. Bien évidemment, il faut toujours s’en remettre aux lois en vigueur et bien communiquer ces renseignements aux utilisateurs.
 
La valorisation des données
Selon la Dre Dupont, à l’ère des technologies intelligentes prêtes à porter, la quantité phénoménale de capteurs et de données numériques disponibles suscite un grand intérêt qui doit se transposer en une exploitation judicieuse et une analyse scientifique des données afin de générer de l’information pertinente pour l’aide à la décision. Ceci représente aussi une opportunité unique de différentiation pour créer des propositions de valorisation robustes et pertinentes. Elle rappelle qu’à défaut de se doter de meilleures pratiques de recherche et d’exploitation scientifique des données, nous risquons de condamner des mines d’informations à devenir des cimetières de données inutilisables.
 
Dre Dupont insiste sur le respect des normes et bonnes pratiques de recherche en économie de la santé. Par exemple, les données doivent être recueillies selon les règles de l’art et exploitées de manière judicieuse, entre autres, pour  aider la prise de décision quant à l’allocation des ressources. En outre, l’exploitation des données permet d’évaluer et de comparer  différentes technologies pour déterminer l’option la plus « coût-efficace ». L’exploitation des données permet donc de générer de l’information pertinente pour valoriser différentes technologies, afin d’en faciliter l’adoption et l’utilisation adéquate.
 
À cet effet, plusieurs types d’analyses existent pour l’aide à la décision. Les analyses coût-efficacité et coût-bénéfice permettent de déterminer la valeur d’une nouvelle technologie par rapport aux standards actuels afin d’en optimiser l’accès au marché; les analyses d’incidence budgétaire permettent d’estimer les conséquences financières de l’adoption d’une nouvelle technologie; les modélisations d’affaires et simulations financières permettent d’en estimer les résultats et la pérennité; les analyses avancées multicritères, incluant la construction d’indicateurs synthétiques de risque, de santé et de priorisation.
 
Spécialisée dans ce type d’analyses, Data Mining America propose d’élaborer des stratégies d’affaires  innovantes s’appuyant sur l’exploitation des données, incluant :

  • L’optimisation de l’accès au marché (évaluation des technologies selon la valeur clinique et économique démontrée);
  • La stratégie de différenciation (développement de propositions de valorisation selon une démarche systématique qui permettra qu’elles soient uniques, différenciées, pertinentes, adaptées, et fondées sur des preuves);
  • La modélisation d’affaires (optimisation de la profitabilité en démontrant la valeur ajoutée pour une croissance durable);
  • La stratégie de recherche et d’aide à la décision (incluant l’exploitation de mégadonnées).

 
Dre Dupont conclu sa présentation en rappelant que tous les projets de d’envergure, initiatives de recherche de haut niveau, et applications pratiques concernant l’exploitation des données sont rendus possibles par un respect strict des politiques et exigences en matières de protection des données (anonymisation, pseudonymisation), confidentialité, consentement éclairé, vie privée, considérations éthiques, légales et réglementaires, ententes de propriété intellectuelle, de même que des plus hauts standards en matières de bonnes pratiques en recherche et développement.
 
Liens intéressants
Voici les lois générales visant directement la protection des renseignements personnels. À savoir que ce sont les lois générales qui s’appliquent en matière de protection des renseignements personnels dans le domaine de la santé puisqu’aucune loi québécoise n’est prévue spécifiquement à cet effet.
 
Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5 (PIPEDA)
Objectif : « Loi visant à faciliter et à promouvoir le commerce électronique en protégeant les renseignements personnels recueillis, utilisés ou communiqués dans certaines circonstances. »
Application : secteur privé
 
Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c P-39.1
Objectif : Établir, pour l’exercice des droits conférés par les articles 35 à 40 du Code civil en matière de protection des renseignements personnels, des règles particulières à l’égard des renseignements personnels sur autrui qu’une personne recueille, détient, utilise ou communique à des tiers à l’occasion de l’exploitation d’une entreprise au sens de l’article 1525 du Code civil.
Application : secteur privé
 
Loi sur la protection des renseignements personnels, LRC 1985, c P-21
Objectif : « […] compléter la législation canadienne en matière de protection des renseignements personnels relevant des institutions fédérales et de droit d’accès des individus aux renseignements personnels qui les concernent. »
Application : secteur public
 
Loi sur l'accès aux documents des organismes publics et sur la protection des renseignements personnels, RLRQ c A-2.1
Objectif : s’applique aux documents détenus par un organisme public dans l’exercice de ses fonctions, que leur conservation soit assurée par l’organisme public ou par un tiers. Elle s’applique quelle que soit la forme de ces documents : écrite, graphique, sonore, visuelle, informatisée ou autre.
Application : secteur public
 
Autres liens utiles
 
McCarthy Tétrault
https://mccarthy.ca/home.aspx
 
Data Mining America
http://www.datamining-america.com/
 
Commissariat à la protection de la vie privée du Canada
https://www.priv.gc.ca/fr/mesures-et-decisions-prises-par-le-commissariat/recherche/consulter-les-travaux-de-recherche-sur-la-protection-de-la-vie-privee/2016/iot_201602/
 
Le cadre s’appliquant à l’Internet des objets de la « Online Trust Alliance » (USA)
https://otalliance.org/initiatives/internet-things

Devenez partenaire

TechnoMontréal est fier de pouvoir compter sur des partenaires reconnus et soucieux de développer l'industrie des TIC du Grand Montréal.

En savoir plus >