Cette dernière leçon du plan Ingénierie couvre deux sujets que la Loi 25 a posés avec force : les décisions automatisées et la portabilité. Ce sont deux endroits où la conception technique et les droits des personnes se rejoignent directement.
Pour le développeur ou l'architecte, ces deux exigences ne sont pas du droit abstrait : elles se traduisent en fonctionnalités précises à intégrer au système. Mieux vaut les concevoir tôt qu'essayer de les ajouter après coup.
Les décisions automatisées : ce que la loi exige
L'article 12.1 vise les décisions fondées exclusivement sur un traitement automatisé d'un renseignement personnel. Quand une telle décision est prise au sujet d'une personne, l'entreprise doit, au moment de la décision ou avant :
- L'informer que la décision est fondée exclusivement sur un traitement automatisé ;
- À sa demande, lui fournir les renseignements personnels utilisés, les principaux facteurs et paramètres ayant mené à la décision, et son droit à la rectification ;
- Lui permettre de présenter ses observations à un membre du personnel en mesure de réviser la décision.
« Toute personne concernée par une décision fondée exclusivement sur un traitement automatisé doit être informée […] et avoir l'occasion de présenter ses observations à...