Il est de plus en plus courant pour les entreprises de recevoir de la part de clients des demandes de procéder à la suppression de l’ensemble des renseignements que l’entreprise détient à leur sujet. De telles demandes font intervenir la question de l’existence d’un droit à la suppression ou à l’effacement des renseignements personnels en vertu de la législation canadienne.
La notion de droit à l’effacement provient du Règlement général sur la protection des données (« RGPD ») qui est régulièrement cité comme la législation de référence en matière de protection des données à l’échelle internationale. Entrée en vigueur en 2018, le RGPD confère plusieurs droits aux personnes concernées par un traitement de données à caractère personnel, notamment à son article 17, un droit d’obtenir l’effacement, dans les meilleurs délais, de données à caractère personnel qu’une entreprise détient à leur sujet, lorsque l’une des conditions suivantes est rencontrée :
- les données à caractère personnel ne sont plus nécessaires au regard des finalités pour lesquelles elles ont été collectées ;
- la personne concernée retire le consentement sur lequel est fondé le traitement et il n’existe pas d’autre fondement juridique au traitement ;
- la personne concernée s’oppose à un traitement de données à caractère personnel la concernant et qu’il n’existe pas de motif légitime impérieux pour le traitement ;
- les données à caractère personnel ont été traitées d’une manière non conforme à la loi ;
- les données à caractère personnel doivent être effacées pour respecter une obligation légale ; ou
- les données à caractère personnel ont été collectées à l’époque où la personne concernée était enfant et n’était pas pleinement consciente des risques inhérents au traitement.
Il importe de souligner que le RGPD ne prévoit pas un droit général à l’effacement, mais plutôt un droit circonscrit à certaines circonstances précises. Les entreprises canadiennes qui sont visées par l’application extraterritoriale du RGPD doivent s’assurer d’avoir des processus en place pour procéder à l’évaluation et au traitement des demandes d’effacement introduites en vertu de cette législation. C’est-à-dire si ces entreprises offrent des biens et services à des personnes situées sur le territoire de l’Union européenne ou si elles effectuent le suivi du comportement de ces personnes, dans la mesure où le comportement en question a lieu sur le territoire de l’Union européenne.
Les lois canadiennes en matière de protection des renseignements accordent-elles aux individus un droit similaire ? Cet article cherche à répondre à cette question afin d’éclairer les entreprises qui doivent traiter des demandes de suppression des renseignements personnels.
Ce que dit la loi actuelle
Au Canada, la Loi sur la protection des renseignements personnels et les documents électroniques (« LPRPDÉ ») s’applique aux renseignements personnels détenus par des entreprises dans toutes les provinces qui n’ont pas adopté de lois ayant été reconnues comme essentiellement similaires à la LPRPDÉ. Le Québec, l’Alberta et la Colombie-Britannique sont les trois provinces dotées d’une loi en matière de protection des renseignements personnels dans le secteur privé. Ainsi, les entreprises qui exercent leurs activités entièrement au Québec, en Alberta ou en Colombie-Britannique sont assujetties à la loi provinciale. Toutefois, même dans ces provinces, c’est la LPRPDÉ qui s’applique aux entreprises dont les activités impliquent un transfert de renseignements personnels au-delà des frontières des provinces ou du Canada, ainsi qu’aux entreprises sous juridiction fédérale comme les banques et les entreprises de télécommunications.
A. Fédéral
La LPRPDÉ prévoit qu’une entreprise doit « détruire, effacer ou dépersonnaliser » les renseignements personnels lorsqu’elle n’en a plus besoin pour accomplir les fins pour lesquelles les renseignements ont été recueillis (Principe 4.5.3). La LPRPDÉ requiert également que l’entreprise permette aux personnes concernées de consulter les renseignements personnels qu’elle détient à leur sujet (Principe 4.9.1) et d’y apporter des modifications lorsque ceux-ci sont inexacts ou incomplets (Principe 4.9.5). Or, la LPRPDÉ ne reconnaît pas aux individus un droit de demander la suppression de leurs renseignements personnels lorsque ceux-ci sont toujours nécessaires aux fins pour lesquelles l’entreprise les a recueillis. En effet, ce n’est que lorsque les renseignements ne remplissent plus le critère de nécessité, qu’une personne pourrait demander à l’entreprise de procéder à leur suppression dans le cadre d’une plainte pour non-respect des principes de protection des renseignements personnels (Principe 4.10).
B. Québec
Au Québec, la Loi sur la protection des renseignements personnels dans le secteur privé (« LPRPSP ») a pour objet d’établir des règles particulières pour l’exercice des droits prévus aux articles 35 à 40 du Code civil du Québec (« C.c.Q. ») applicables aux renseignements personnels recueillis dans le cadre de l’exploitation d’une entreprise au sens de l’article 1525 C.c.Q. Ainsi, l’article 40 al. 1 C.c.Q. prévoit qu’une personne peut faire supprimer un renseignement « périmé ou non justifié par l’objet du dossier ». L’article 28 LPRPSP vient compléter cet article en prévoyant que la personne concernée peut faire supprimer un renseignement personnel la concernant si sa collecte n’est pas autorisée par la loi. La législation québécoise reconnaît donc trois situations où une personne peut demander à une entreprise de supprimer un renseignement personnel qu’elle détient à son sujet :
- lorsque le renseignement est périmé 1;
- lorsque la conservation du renseignement n’est plus justifiée au regard de la finalité pour laquelle il a été recueilli ; ou
- lorsque le renseignement a été recueilli de manière non conforme à la loi2.
Encore une fois, force est de reconnaître qu’à l’instar de la LPRPDÉ et du RGPD, la LPRPSP et le Code civil ne confèrent pas aux individus un droit général d’obtenir la suppression des renseignements personnels qu’une entreprise détient à leur sujet. Celle-ci ne peut donc être demandée que pour certains motifs précis. Cette situation nous semble conforme à l’objet général de la LPRPSP qui cherche à concilier les droits des individus au respect de leur vie privée et les besoins des entreprises en matière de traitement de renseignements personnels3. En effet, les entreprises peuvent avoir plusieurs raisons légitimes de conserver les renseignements personnels de leurs clients : fournir un produit ou un service, faire parvenir au client des informations relatives à la garantie ou à la sécurité d’un produit ou d’un service, se conformer aux exigences légales en matière de conservation de renseignements, effectuer des analyses de rendement à l’interne, mener des projets de recherche et développement, etc. Un droit général à la suppression des renseignements personnels viendrait contrecarrer plusieurs de ces objectifs en plus de conférer aux entreprises un fardeau logistique et opérationnel important, et ce, sans nécessairement assurer un meilleur respect du droit à la vie privée des individus.
C. Colombie-Britannique et Alberta
Tant en Colombie-Britannique qu’en Alberta, le Personal Information Protection Act (« PIPA ») ne confère pas aux individus un droit de demander la suppression des renseignements personnels que les entreprises détiennent à leur sujet. Les droits prévus par le PIPA de la Colombie-Britannique et celui de l’Alberta se limitent au droit de faire corriger une erreur ou une omission dans les renseignements personnels. Les PIPAs prévoient également une exigence pour les entreprises de procéder à la destruction ou à l’anonymisation des renseignements personnels lorsque ceux-ci ne sont plus nécessaires pour l’atteinte d’objectifs commerciaux ou pour se conformer à la loi.
Ce que disent les projets de loi
Deux réformes majeures de la législation en matière de protection des renseignements personnels ont été déposées en 2020. D’une part, le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels,introduit plusieurs modifications à la LPRPSP. De l’autre, au fédéral le projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique, propose de remplacer la partie 1 de la LPRPDÉ par la nouvelle Loi sur la protection de la vie privée des consommateurs (« LPVPC »).
Au Québec, le projet de loi n° 64, qui est présentement en étude détaillée à l’Assemblée nationale, propose une légère reformulation de l’article 28 LPRPSP4. Ainsi, le nouvel article proposé prévoit qu’ :
« Outre les droits prévus au premier alinéa de l’article 40 du Code civil, toute personne peut, si le renseignement personnel la concernant est inexact, incomplet ou équivoque, ou si sa collecte, sa communication ou sa conservation ne sont pas autorisées par la loi, exiger qu’il soit rectifié ».
Ainsi, l’absence de mention de la « suppression » des renseignements personnels à l’article 28 proposé par le projet de loi n° 64 aura pour effet de limiter les demandes de suppression aux deux circonstances prévues à l’article 40 C.c.Q. lorsque les renseignements sont périmés ou lorsqu’ils ne sont plus nécessaires pour l’atteinte d’une fin déterminée. Deux motifs qui en pratique ne font qu’un si l’on considère qu’un renseignement qui n’est plus nécessaire est « périmé ».
Le projet de loi C-11 aborde de front la question de la suppression des renseignements personnels puisqu’il prévoit, à l’article 55 LPVPC, un « droit au retrait » des renseignements personnels à la demande de l’individu. Le terme « retrait » étant défini comme la « suppression définitive et irréversible de renseignements personnels ». Ce nouveau droit ne viserait toutefois que les renseignements que l’entreprise a recueillis « auprès de l’individu », c’est-à-dire excluant les renseignements dérivés ou inférés par l’entreprise au sujet de l’individu (ex. côte de crédit, habitudes de consommation, etc.) ou ceux obtenus par des tiers. Le projet de loi prévoit en outre, qu’une entreprise ne pourrait refuser une demande de retrait que si :
- la demande entraîne le retrait des renseignements personnels d’un autre individu dont ce renseignement ne peut être retranché ; ou
- une exigence légale ou une restriction contractuelle raisonnable empêche l’entreprise de procéder au retrait.
La portée de l’expression « restriction contractuelle raisonnable » demeure incertaine. Il convient de souligner que cette exception ne semble pas être limitée aux seuls contrats conclus avec la personne concernée. En d’autres termes, une organisation pourrait se fonder sur certaines restrictions prévues dans un contrat avec un tiers pour limiter l’exercice du droit au retrait des individus dans la mesure ou une telle limite est jugée « raisonnable »5. Par ailleurs, cette exception risque de s’avérer difficilement applicable dans toutes les situations où l’entreprise qui détient les renseignements personnels n’a pas de relation directe avec la personne concernée, notamment lorsque les renseignements ont été recueillis sur la base d’une exception au consentement ou d’un consentement implicite.
Conclusion : un droit à la suppression est-il vraiment nécessaire ?
La principale conclusion de notre analyse est que les lois canadiennes en matière de protection des renseignements personnels dans le secteur privé ne reconnaissent pas aux individus un droit général de demander la suppression des renseignements personnels qu’une entreprise détient à leur sujet. Ainsi, en droit canadien, une entreprise devrait procéder à la destruction des renseignements personnels qu’elle détient non pas parce que la personne visée par les renseignements en fait la demande, mais plutôt parce que la conservation de ceux-ci n’est plus nécessaire pour l’atteinte des finalités poursuivies par l’entreprise. En effet, dans son enquête au sujet de la fuite de données chez Desjardins, le Commissariat à la vie privée du Canada a souligné que la conservation de renseignements personnels qui ne sont plus nécessaires augmente le risque qu’une entreprise soit victime d’une éventuelle atteinte aux mesures de sécurité.
Ceci étant dit, considérant que le projet de loi C-11 propose d’introduire un droit général au « retrait » des renseignements personnels, il nous semble opportun de se questionner sur la pertinence d’un tel droit. En effet, dans la mesure où les lois en matière de protection des renseignements personnels obligent déjà les organisations à ne recueillir et à ne conserver que les renseignements personnels nécessaires pour accomplir une fin prédéterminée, la valeur ajoutée du droit à la suppression, en termes de protection du droit à la vie privée des individus, nous semble discutable. Le droit à la suppression risque plutôt de créer des attentes irréalistes pour les consommateurs et d’accroître le fardeau logistique des organisations.
1 Il faut toutefois souligner une certaine ambiguïté de la LPRPSP quant à la possibilité pour les individus de demander à une entreprise de supprimer les renseignements personnels qu’ils jugent périmés considérant que la CAI a jugé qu’elle n’avait pas compétence pour se prononcer sur le caractère périmé d’un renseignement personnel et que, par conséquent, elle ne pouvait ordonner à une entreprise de supprimer des renseignements jugés périmés, voir S.B. c. Trans Union du Canada inc., 2015 QCCAI 78, par. 30.
2 Voir E.R. c. Sirco-Enquête et protection, 2012 QCCAI 407, par. 29-30 ; N.L. c. Fédération des caisses Desjardins du Québec, 2014 QCCAI 168, par. 64-66 ; et X c. Anapharm inc., no. 06 08 16, 30 novembre 2006, H. Grenier, par. 71.
3 Voir Garderie Cœur d’Enfant Inc., 2014 QCCAI 080272, par. 24 ; Banque Nationale du Canada, 2016 QCCAI 110676, par. 42 ; X. et Pharmaprix, 2014 QCCAI 1003352, par. 10.
4 Le projet de loi n° 64 propose toutefois d’introduire un droit, pour la personne concernée, d’exiger qu’une organisation cesse de faire la diffusion d’un renseignement personnel qui la concerne ou qu’elle désindexe tout hyperlien associé à son nom et qui permet d’accéder à un tel renseignement à condition que certains critères soient rencontrés (voir l’article 113 du projet de loi).
5 Par exemple, une organisation pourrait être requise « en vertu des contrats passés avec les institutions financières qui procèdent aux transactions relatives aux cartes de crédit » de conserver des données relatives aux transactions dans le cas où il y aurait des rétrofacturations, des rejets de débit ou des vérifications, voir Commissariat à la protection de la vie privée du Canada, Rapport de conclusions d’enquête en vertu de la LPRPDE n° 2007-389, Rapport d’enquête sur la sécurité, la collecte et la conservation des renseignements personnels, par. 61-62.