Les préparatifs en vue de l’entrée en vigueur prochaine du règlement général européen sur la protection des données (le « RGPD ») sont en cours à la Chambre des communes du Canada. Le 28 février 2018, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (le « Comité ETHI » ou le « Comité ») a présenté son rapport sur l’examen de la Loi sur la protection des renseignements personnels et les documents électroniques (la « LPRPDE »), intitulé « Vers la protection de la vie privée dès la conception », à la Chambre des communes.
Les auteurs de ce rapport au nom éloquent recommandent que l’examen de la LPRPDE par le gouvernement du Canada soit guidé par le concept de la « protection de la vie privée dès la conception », selon lequel les considérations relatives à la protection de la vie privée devraient être prises en compte à toutes les étapes du développement d’un produit. Par conséquent, le Comité fait plusieurs suggestions qui visent à renforcer la LPRPDE, dans le but avoué que l’Union européenne (l’« UE ») la considère comme adéquate dans le contexte de l’entrée en vigueur du RGPD en mai prochain.
Le Comité ETHI a fait 19 recommandations visant à potentiellement actualiser le cadre de protection des renseignements personnels au Canada. Le présent bulletin portera principalement sur les plus importantes d’entre elles pour les organisations faisant affaire au Canada et qui se lisent comme suit :
- aller de l’avant avec l’adhésion facultative par défaut (« opt-in ») pour l’utilisation des renseignements personnels à des fins secondaires;
- envisager de modifier la LPRPDE afin de clarifier les modalités de l’utilisation de renseignements personnels pour satisfaire les intérêts d’affaires légitimes des entreprises;
- étudier les meilleurs moyens de protéger les données dépersonnalisées;
- reconnaître le droit à l’effacement des données et le droit à leur déférencement, pour les mineurs à tout le moins;
- conférer au Commissariat à la protection de la vie privée du Canada (le « CPVP ») de plus grands pouvoirs en matière d’application de la loi, dont le pouvoir de rendre des ordonnances et le pouvoir d’imposer des amendes en cas de non-respect, de même que des pouvoirs étendus en matière d’audit, y compris celui de choisir les plaintes sur lesquelles enquêter.
Consentement valable
Le Comité ETHI a souligné le fait que le consentement était la pierre angulaire de la LPRPDE. Dans son témoignage, le CPVP a toutefois fait observer que les innovations récentes avaient mené à une complexification importante des interactions en ligne ainsi qu’à la multiplication des types d’utilisation des renseignements personnels, déclaration que sont venues confirmer des observations de nombreux témoins, affirmant qu’il était devenu impossible pour les particuliers de prendre le temps nécessaire de s’informer adéquatement des conditions d’utilisation de chaque service et de donner un consentement éclairé. Le Comité s’est dit néanmoins d’avis que le consentement devait demeurer au cœur du modèle de protection des renseignements personnels inscrit dans la LPRPDE, parce que ce modèle respecte l’autonomie de chacun dans la façon de disposer de ses renseignements personnels, bien qu’il doive être amélioré en donnant une importance accrue au consentement exprès par rapport au consentement tacite.
Adhésion facultative par défaut en ce qui a trait à toute utilisation des renseignements personnels à des fins secondaires
Selon certains témoins que le Comité ETHI a entendus, l’adhésion facultative devrait être mise en œuvre en tant que modèle par défaut, ce qui signifie que l’utilisateur choisirait de communiquer ses renseignements personnels de manière explicite. D’autres témoins ont exprimé des réserves quant aux répercussions pratiques d’un tel système et l’un d’eux a suggéré d’établir une distinction entre l’utilisation de renseignements personnels dans le but d’offrir le service auquel l’utilisateur a souscrit et leur utilisation à des fins secondaires, comme le transfert à des tiers pour des besoins de marketing. Dans le second cas, le témoin a fait valoir qu’une option quant au droit de renonciation devrait être clairement indiquée et facilement accessible. Cet argument est conforme au point de vue précédemment énoncé par le CPVP dans le Résumé de conclusions d’enquête en vertu de la LPRPDE n°2003-203, selon lequel les critères suivants doivent être respectés pour qu’une organisation puisse se fier à une clause de désistement lorsqu’il s’agit d’utiliser des renseignements personnels à des fins secondaires :
- Les renseignements personnels doivent être manifestement de nature et dans un contexte non confidentiels.
- L'échange de l'information doit être limité et bien défini en ce qui concerne la nature des renseignements personnels qui seront utilisés ou communiqués et l'ampleur de l'utilisation ou de la communication prévue.
- Les fins de l'organisation doivent être limitées et bien définies, énoncées d'une manière raisonnablement claire et intelligible, et portées à l'attention de l'intéressé au moment où les renseignements personnels sont réunis.
- L’organisation doit élaborer une marche à suivre opportune, permettant le désistement ou le retrait du consentement facilement, à peu de frais et immédiatement à l'égard des fins secondaires, et doit informer l'intéressé de la marche à suivre au moment de la collecte des renseignements personnels.1 »
Le Comité ETHI a recommandé que la LPRPDE soit modifiée de manière à prévoir l’adhésion facultative par défaut en ce qui a trait à l’utilisation des renseignements personnels à des fins secondaires, « dans le but de mettre en place un système d’adhésion facultative par défaut sans égard à l’objectif poursuivi », ce qui, par là même, remet sur le tapis la question de la forme du consentement qu’il faut obtenir pour utiliser des renseignements personnels à des fins secondaires.
Améliorer la transparence algorithmique pour une protection accrue des renseignements personnels
Plusieurs témoins entendus par le Comité ETHI ont souligné le risque que le traitement par algorithmes d’importants volumes de renseignements personnels serve à prendre des décisions potentiellement discriminatoires à propos de particuliers (par exemple, dans des applications d’intelligence artificielle). Estimant que les organisations devraient faire montre d’une plus grande transparence dans leur utilisation de renseignements personnels par des algorithmes, le Comité a recommandé que le gouvernement envisage de mettre en place des mesures visant à améliorer la transparence algorithmique.
Revoir la définition de « renseignements auxquels le public a accès »
La LPRPDE exclut de sa portée certaines catégories de renseignements auxquels le public a accès, qui sont toutefois précisées par règlement. Le Comité ETHI a reconnu que la liste qui figure dans le règlement actuel est désuète – elle fait mention d’annuaires téléphoniques, entre autres médias — et qu’elle devrait être neutre sur le plan technologique. Le Comité ETHI a donc recommandé que le gouvernement revoie la définition de « renseignements auxquels le public a accès » et envisage de tenir compte des situations dans lesquelles un particulier affiche des renseignements personnels sur un site Internet accessible au public. On ne sait pas si le gouvernement vise véritablement à exclure en totalité ce type de renseignements de la portée de la LPRPDE. Selon toute probabilité, il cherche à faire en sorte que ce type de données facilement accessibles soit au moins pris en compte au moment de déterminer le genre de protection que de telles données exigent réellement.
Clarifier à quel moment les renseignements personnels peuvent être utilisés pour des « intérêts d’affaires légitimes »
Selon le modèle européen, les entreprises peuvent, sans le consentement des intéressés, recueillir, utiliser et divulguer des renseignements personnels pour leurs intérêts d’affaires légitimes. Certains témoins entendus par le Comité ont suggéré que la LPRPDE fonctionne de manière semblable à ce modèle dans les cas où l’obtention d’un consentement est difficile, comme dans le contexte de l’utilisation d’un moteur de recherche ou du traitement de mégadonnées, ou lorsque de nouvelles possibilités d’utilisation apparaissent après la collecte initiale. Le CPVP s’est opposé à cette idée parce qu’il juge qu’une telle exception aurait une portée trop générale et serait par là même susceptible de mener à des abus de la part d’organisations.
Tout en soulignant certaines préoccupations au sujet de la mise en application d’une nouvelle exception, le Comité ETHI a recommandé que le gouvernement envisage de modifier la LPRPDE afin, à tout le moins, de clarifier les modalités de l’utilisation de renseignements personnels pour satisfaire des intérêts d’affaires légitimes. À noter que l’inclusion d’une exception en ce sens dans la LPRPDE pourrait compenser le modèle, plus exigeant, de l’adhésion facultative à des fins secondaires si de telles fins devaient être considérées comme des intérêts d’affaires légitimes.
Protéger les données dépersonnalisées
Le traitement que la loi réserve aux données dépersonnalisées (généralement appelées « données anonymisées » ou « désidentifiées ») est une question importante pour les entreprises et les particuliers à l’ère des mégadonnées et de l’intelligence artificielle où les données n’ont pas nécessairement à révéler l’identité d’un particulier pour avoir de la valeur aux yeux des entreprises. Selon ce qu’a observé le Comité ETHI, certains témoins croyaient que les données dépersonnalisées ne devaient pas être considérées comme des « renseignements personnels », alors que d’autres étaient d’avis que ces renseignements devaient être soustraits à l’exigence du consentement. Dans son Rapport sur le consentement publié en 2017, le CPVP a recommandé que le Parlement se penche sur cette question du fait que les données désidentifiées pourraient « assurer la souplesse nécessaire pour atteindre un meilleur équilibre entre la protection de la vie privée et la valeur économique des données ».
Le Comité ETHI n’était pas prêt à recommander une exception quant à l’exigence du consentement pour les données dépersonnalisées et il a simplement recommandé que le gouvernement étudie les meilleurs moyens de protéger ces données, par exemple contre le risque de réidentification, répondant ainsi à une préoccupation que le CPVP avait soulevée dans son rapport de 2017 lorsqu’il a noté que « la réidentification présent[ait] un risque réel en raison non seulement de la disponibilité d’ensembles de données pouvant servir à repersonnaliser les renseignements personnels, mais aussi du manque de rigueur dans les méthodes de désidentification ».
La portabilité des données devrait être reconnue explicitement dans la LPRPDE
Le RGPD confère aux particuliers le droit à la « portabilité des données », à savoir le droit de recevoir les renseignements personnels qu’ils ont fournis à une organisation, dans un format couramment utilisé et lisible par machine, de façon à ce qu’ils puissent les transmettre facilement à une autre organisation. Le Comité ETHI a remarqué que, conformément à ce droit, les fournisseurs de services doivent s’assurer que leurs méthodes de collecte et de stockage des renseignements personnels sont suffisamment compatibles avec les méthodes de leurs compétiteurs, aussi a-t-il recommandé que la LPRPDE reconnaisse explicitement ce droit.
Réputation en ligne et droit à l’oubli
Le mois dernier, le CPVP a publié le Projet de position du Commissariat sur la réputation en ligne, que nous avons analysé dans un bulletin antérieur et qui, pour l’essentiel, précise que la LPRPDE prévoit déjà une protection qui s’apparente au droit européen à l’oubli (ou « droit à l’effacement » [des données], tel qu’il est appelé dans le RGPD). Dans son nouveau rapport, le Comité ETHI a traité ce sujet de manière très détaillée. À son avis, le droit à l’oubli renvoie à deux concepts, soit le droit à l’effacement et le droit à la désindexation (ou encore « déférencement » ou « délistage »).
Reconnaître le droit à l’effacement (à tout le moins pour les mineurs)
Selon le Comité ETHI, le droit à l’effacement s’entend du droit au retrait d’informations sur un site Internet. Il a noté que la LPRPDE comportait des dispositions très limitées en matière de suppression, de correction et d’exactitude des renseignements personnels. Lorsque le particulier a lui-même fourni les renseignements, il devrait avoir la possibilité de retirer son consentement et d’exiger la suppression des renseignements personnels, sauf dans certaines situations, par exemple en raison de la présence de dispositions contractuelles prévoyant le contraire. Citant le témoignage du commissaire à la protection de la vie privée du Canada, M. Daniel Therrien, le Comité ETHI a déclaré que les particuliers devraient avoir le droit absolu de retirer l’information personnelle qu’ils ont transmise sur un réseau social.
D’après le Comité ETHI, lorsque du contenu concernant un particulier (p. ex. une photo qu’un ami affiche sur un média social) a été fourni à une organisation par un tiers, la situation est plus complexe. En pareille situation, le Comité a indiqué que le droit prévu par la LPRPDE d’exiger des organisations qu’elles corrigent l’information inexacte, incomplète ou désuète, de même que la notion selon laquelle elles ne peuvent recueillir, utiliser ou divulguer des renseignements personnels qu’à des fins raisonnables devraient s’appliquer. Cela dit, selon le Comité, ces principes ne garantissent pas un régime exhaustif ni ne permettent de recours, par exemple, lorsque des renseignements personnels véridiques et potentiellement préjudiciables sont mis en ligne, comme des photos ou des gestes embarrassants qui peuvent avoir de lourdes conséquences pour les particuliers, surtout lorsqu’il s’agit de mineurs.
Le Comité ETHI a donc conclu que, s’il est vrai que le droit à l’effacement n’est pas un concept étranger à la LPRPDE, un régime plus solide devrait être enchâssé dans la loi, d’une part, et que, de manière générale, les particuliers devraient avoir le droit d’obtenir la suppression des renseignements personnels lorsqu’ils mettent fin à leur relation d’affaires avec une organisation, d’autre part.
Certains témoins entendus par le Comité ETHI ont soulevé la question du risque associé au droit à l’effacement des données par rapport au droit de liberté d’expression et à l’intérêt public, et ont fait valoir qu’il faudrait encadrer avec soin le droit à l’effacement dans la loi afin d’assurer un juste équilibre entre la liberté d’expression et la protection des renseignements personnels. Le Comité a conclu en recommandant que le gouvernement envisage de modifier la LPRPDE afin d’y prévoir l’encadrement du droit à l’effacement en fonction du modèle du RGPD qui, au minimum, inclurait pour les jeunes le droit d’obtenir l’effacement de renseignements qu’ils ont mis en ligne eux-mêmes ou par l’intermédiaire d’une organisation.
Reconnaître le droit au déférencement (à tout le moins pour les mineurs)
Dans le cas du droit au déférencement, à la différence du droit à l’effacement, il ne s’agit pas de supprimer des renseignements, mais plutôt de faire en sorte qu’ils ne soient plus référencés par les moteurs de recherche. Le Comité ETHI a fait remarquer qu’au Canada il n’existe pas de régime encadrant le déréférencement de manière explicite comme en UE, où le droit au déférencement a été établi dans une décision rendue en 2014 par la Cour de justice de l’Union européenne, qui a estimé que ce droit existait aux termes de la directive que le RGPD doit remplacer prochainement.
Dans le Projet de position du Commissariat sur la réputation en ligne précité, le CPVP a fait valoir qu’en vertu de la LPRPDE, les moteurs de recherche auraient une obligation de déférencement dans certaines circonstances. Le commissaire Therrien a convenu que cette interprétation n’était toutefois pas sans détracteurs et qu’il serait utile que la LPRPDE soit clarifiée à cet égard.
Le Comité ETHI a noté que la préoccupation la plus importante à l’égard du déférencement avait trait à la latitude d’une entité privée (comme Google) qui reçoit une demande de déférencement d’y répondre favorablement ou non.
Malgré les détracteurs du déférencement, le Comité a conclu que la mise en place d’un cadre juridique permettant aux particuliers de demander, dans certaines circonstances précises, le déréférencement de certaines informations préjudiciables les concernant était un bon moyen de protéger la réputation et la vie privée des Canadiens. Pour préserver l’intérêt du public et la liberté d’expression, ce cadre juridique devrait être élaboré de manière à prévoir un processus décisionnel rigoureux et transparent. Le Comité a par conséquent recommandé que le gouvernement du Canada envisage la mise en place, dans la LPRPDE, d’un encadrement du droit au déréférencement et que ce droit soit explicitement reconnu dans le cas de renseignements personnels affichés en ligne par des mineurs.
Pouvoirs d’application renforcés pour le CPVP
Dans son Rapport sur le consentement de 2017 que nous avons analysé dans un bulletin antérieur, le CPVP a demandé la modification du modèle d’ombudsman qui s’applique actuellement ainsi que le renforcement des pouvoirs d’application de la loi. Le Comité ETHI a entendu de nombreux témoins tant en faveur d’une réponse positive à cette demande qu’en opposition à celle-ci, certains revendiquant plus de pouvoirs pour le CPVP et d’autres privilégiant le statu quo. Le Comité s’est rangé à l’avis des parties qui revendiquaient le renforcement des pouvoirs et l’abandon du modèle d’ombudsman, et a recommandé l’utilisation du système en place au Royaume-Uni comme modèle. En fin de compte, il a recommandé la modification de la LPRPDE pour donner au CPVP des pouvoirs d’application accrus, tels que :
- le pouvoir de rendre des ordonnances et le pouvoir d’imposer des amendes en cas de non-respect de ces ordonnances;
- des pouvoirs étendus en matière d’audit, incluant le pouvoir de choisir les plaintes sur lesquelles enquêter.
Adéquation de la LPRPDE par rapport au RGPD
Aux termes du RGPD, il est interdit aux organisations de l’UE de transférer des données personnelles vers un pays non membre dont les lois n’offrent pas une garantie appropriée pour celles-ci. L’UE devra ainsi évaluer le caractère adéquat de la LPRPDE sous le RGPD. Le commissaire Therrien a déclaré devant le Comité ETHI que le RGPD contenait des droits et des dispositions qui brillent par leur absence dans la LPRPDE, comme le droit à la portabilité des données et le droit à leur effacement, ainsi que le droit à la protection de la vie privée dès la conception. Le RGPD renferme également des mesures sévères d’application de la loi, notamment des amendes qui peuvent atteindre 20 M€ ou représenter jusqu’à 4 pour cent du chiffre d’affaires annuel mondial de l’exercice financier précédent de l’organisation visée, selon le résultat le plus élevé, ce qui n’est pas le cas pour la LPRPDE.
Dans ce contexte, le Comité a fait les recommandations suivantes :
- que le gouvernement collabore avec les autorités de l’UE afin de déterminer quels seraient les critères requis pour que la LPRPDE soit considérée comme adéquate au regard du RGPD;
- que le gouvernement détermine les modifications à apporter à la LPRPDE, s’il y a lieu, afin qu’elle conserve son caractère adéquat au regard du RGPD;
- que, dans l’éventualité où il serait déterminé que les modifications requises pour conserver le caractère adéquat ne sont pas dans l’intérêt du Canada, le gouvernement crée des mécanismes permettant un échange de données sans heurt entre le Canada et l’UE;
- que le gouvernement collabore avec les provinces et les territoires pour s’assurer que tous les ordres de gouvernement concernés sont au fait des exigences relatives à la reconnaissance du caractère adéquat par les autorités de l’UE.
Conclusion et points importants à retenir pour les entreprises
Ce nouveau rapport donne un avant-goût de ce à quoi pourraient ressembler les modifications qui seront apportées prochainement à la LPRPDE.Dans certains cas, ces modifications pourront trouver leur source dans le nouveau cadre européen sur la protection des renseignements personnels à venir, surtout à la lumière de la déclaration que le commissaire Therrien a faite devant le Comité ETHI, à savoir que la réévaluation du caractère adéquat de la LPRPDE « [était] un enjeu urgent susceptible d’avoir de profondes répercussions sur les relations commerciales du Canada avec l’Union européenne ».
Les organisations qui font affaire au Canada devraient, par conséquent, se préparer à la possibilité d’un régime plus exigeant et notamment à des règles de consentement plus sévères, en particulier au chapitre de l’utilisation de renseignements personnels à des fins secondaires. Elles devraient aussi être prêtes à se conformer à de nouvelles exigences et de nouveaux droits conférés aux particuliers, comme le droit à la portabilité des données et le droit à leur effacement, et à s’assurer de leur conformité afin d’éviter les amendes punitives, compte tenu du fait que le Canada envisage actuellement le passage d’un modèle d’ombudsman à un modèle d’autorité de réglementation habilitée à imposer des amendes administratives. Le Comité ETHI n’a pas pris de position ferme sur les questions de désidentification et de traitement en matière d’intérêts d’affaires légitimes, si bien que la révision finale de la LPRPDE fournira peut-être plus de précisions sur ces points.
1 Résumé de conclusions d’enquête en vertu de la LPRPDE n°2003-203, « Un particulier laisse percer ses inquiétudes quant aux clauses de consentement sur un formulaire de demande de carte de crédit », Commissariat à la protection de la vie privée du Canada, mai 2003.