Notes from the IAPP Canada: Sensitive information, now with brainwaves

Privacy professionals have long lived with a comforting illusion: that "sensitive information" is a relatively stable concept. Health data is sensitive. Financial data is sensitive. Social Insurance Numbers are sensitive. This mental list has served us well for years and fits neatly into training decks and compliance frameworks.

The Office of the Privacy Commissioner of Canada has gently reminded us that this list is not static.

This week, the OPC updated its Interpretation Bulletin on Sensitive Information under the Personal Information Protection and Electronic Documents Act, which consolidates court decisions and OPC findings on what counts as sensitive personal information and what that means for consent and safeguards. What's new? Your brain has now officially entered the chat. The OPC added neural data among the types of personal information that will generally be considered sensitive and require a higher degree of protection.

The bulletin explains a principle privacy professionals know well but sometimes treat as theoretical. While some types of information will almost always be sensitive, any personal information can become sensitive depending on context. Names and addresses are the classic example. Usually harmless, unless the context reveals something deeply personal about the individual.

Under PIPEDA, sensitivity drives two critical compliance outcomes: the form of consent an organization must obtain and the level of security safeguards it must apply. In other words, sensitivity is not an academic label. It determines how hard organizations must work to justify collection, explain purposes and protect the data they hold.

Neural data, now formally on the "sensitive personal information" list broadly refers to information derived from the activity of the nervous system, particularly the brain. This can include data collected through technologies such as electroencephalography, brain computer interfaces, neuroimaging tools or wearable devices designed to measure brain signals. In practice, this can range from clinical brain scans to consumer-facing technologies that claim to monitor our focus, fatigue or emotional states.

In a nutshell, it is data generated by your brain doing brain things.

Used responsibly, neural data has clear benefits. In health care, it can support diagnosis, treatment and rehabilitation for neurological conditions. In accessibility contexts, brain computer interfaces have the potential to restore communication or mobility for individuals with severe disabilities. In workplace safety and transportation, fatigue detection technologies are being explored as tools to reduce accidents.

At the same time, the risks are not subtle. Neural data is deeply intimate. It may reveal health conditions, cognitive states or emotional responses that individuals themselves do not fully understand or expect to disclose. Unlike a password, you can't simply reset your brain. Unlike a credit card number, neural patterns are not easily replaced.

The OPC's decision to flag neural data as sensitive reflects these realities. It signals that some information is so personal that heightened care is not optional. Organizations collecting or experimenting with neural data should assume that meaningful consent must be robust, safeguards must be proportionate and purposes must be tightly defined.

If nothing else, this bulletin is a useful excuse to revisit data inventories and ask a simple question: are we collecting information that future guidance will, because of the passage of time and circumstance, describe as deeply personal? If the answer is yes, it may be time to treat that data less like a business asset and more like what it is: someone's mind at work.

Oh, and in keeping with the potentially scary topic of having our brains' data as readily available as the data on how frequently I check the news about Canada's Olympic team, happy Friday the 13th.

Kris Klein, CIPP/C, CIPM, FIP, is the country leader, Canada, for the IAPP. 

Renseignements sensibles, maintenant avec des ondes cérébrales

Ceux qui travaillent dans le domaine de la vie privée ont longtemps vécu avec une illusion plutôt rassurante : les « renseignements sensibles », c’est un concept assez stable. Les données de santé sont sensibles. Les données financières sont sensibles. Les numéros d’assurance sociale sont sensibles. Cette petite liste mentale nous a bien servis pendant des années et se glisse parfaitement dans les présentations de formation et les cadres de conformité.

Le Commissariat à la protection de la vie privée du Canada vient de nous rappeler, tout en douceur, que cette liste n’est pas figée.

Cette semaine, le Commissariat a mis à jour son Bulletin d’interprétation: Renseignements sensibles sous le régime de la Loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE). Le bulletin regroupe des décisions des tribunaux et des conclusions du Commissariat sur ce qui compte comme renseignement personnel sensible et sur ce que cela signifie pour le consentement et les mesures de sécurité. La nouveauté ? Votre cerveau fait maintenant officiellement partie de la discussion. Le Commissariat a ajouté les données neuronales parmi les types de renseignements personnels qui seront généralement considérés comme sensibles et qui exigent un degré de protection plus élevé.

Le bulletin rappelle un principe que les professionnels de la vie privée connaissent bien, mais qu’on traite parfois comme une théorie. Bien que certains types d’information soient presque toujours sensibles, n’importe quel renseignement personnel peut devenir sensible selon le contexte. Le nom et l’adresse sont l’exemple classique. Habituellement inoffensif, sauf si le contexte révèle quelque chose de très personnel sur la personne.

Sous la LPRPDE, la sensibilité entraîne deux résultats clés côté conformité : la forme de consentement que l’organisation doit obtenir et le niveau de mesures de sécurité qu’elle doit appliquer. Autrement dit, la sensibilité n’est pas une étiquette académique. Elle dicte jusqu’où une organisation doit aller pour justifier la collecte, expliquer les fins et protéger les renseignements qu’elle détient.

Les données neuronales, maintenant formellement dans la catégorie « renseignements personnels sensibles », renvoient de façon générale à de l’information tirée de l’activité du système nerveux, surtout du cerveau. Cela peut inclure des données recueillies au moyen de technologies comme l’électroencéphalographie (EEG), des interfaces cerveau‑ordinateur, des outils de neuroimagerie ou des dispositifs portables conçus pour mesurer des signaux cérébraux. En pratique, ça va des scans cérébraux cliniques aux technologies destinées aux consommateurs qui prétendent suivre notre concentration, notre fatigue ou nos états émotionnels.

En bref, ce sont des données générées par votre cerveau… pendant qu’il fait des choses cérébrales.

Utilisées de façon responsable, les données neuronales ont des bénéfices évidents. En santé, elles peuvent appuyer le diagnostic, le traitement et la réadaptation de troubles neurologiques. En matière d’accessibilité, les interfaces cerveau‑ordinateur peuvent aider à rétablir la communication ou la mobilité chez des personnes ayant des incapacités sévères. En matière de sécurité au travail et  en transport, on teste déjà des technologies de détection de la fatigue pour réduire les accidents.

En même temps, les risques ne sont pas subtils. Les données neuronales sont profondément intimes. Elles peuvent révéler des états de santé, des états cognitifs ou des réactions émotionnelles que les personnes ne comprennent pas toujours elles-mêmes, ou ne s’attendent pas à divulguer. Et contrairement à un mot de passe, on ne peut pas « réinitialiser » son cerveau. Contrairement à un numéro de carte de crédit, des schémas neuronaux ne se remplacent pas facilement.

La décision du Commissariat de signaler les données neuronales comme sensibles colle à cette réalité. Le message est clair : certains renseignements sont si personnels que la prudence renforcée n’est pas facultative. Les organisations qui recueillent ou expérimentent des données neuronales devraient présumer que le consentement valable doit être solide, que les mesures de sécurité doivent être proportionnelles et que les fins doivent être définies de façon serrée.

Au minimum, ce bulletin donne une bonne excuse pour retourner à nos inventaires de données et se poser une question simple : est-ce qu’on recueille des renseignements qui, avec le temps et les circonstances, seront qualifiés par de futures orientations de « profondément personnels »? Si oui, il est peut-être temps de traiter ces données moins comme un actif d’affaires et plus comme ce qu’elles sont : l’esprit de quelqu’un au travail.

Et tant qu’à parler d’un sujet un peu inquiétant (avoir des données sur notre cerveau aussi accessibles que les données sur la fréquence à laquelle je vérifie les nouvelles de notre équipe olympique canadienne), bon vendredi 13 !

Traduction réalisée avec l’aide de la conseillère de nNovation Florence So, AIGP.
Kris Klein, CIPP/C, CIPM, FIP, is the country leader, Canada, for the IAPP.