La protection des données personnelles au Canada à l’ère des données massives 

À l’été 2017, Sasha Reid, étudiante en criminologie à Toronto, élaborait une base de recherche des personnes disparues au Canada. En se basant sur les données recueillies par elle sur internet relatives aux circonstances, lieux et dates de trois disparitions survenues à Toronto, elle est parvenue à élaborer avec précision le profil d’un homme suspecté d’être un tueur en série, Bruce McArthur. Elle a aidé ainsi la police à identifier l’homme, actuellement en attente de procès. Il s’agit d’un exemple de tout le bénéfice apporté par la circulation des données et la maîtrise de méthodes d’analyse optimales.

Un cadre juridique traditionnel pour la protection de données personnelles

https://www.canadianunderwriter.ca/insurance/mandatory-privacy-breach-notification-will-probably-force-late-2017-insurance-telematics-canada-speaker-1004090383/

La protection des données personnelles fait l’objet au Canada d’un volet fédéral et d’un volet provincial. Au niveau fédéral, le cadre juridique est assuré par la loi sur la protection des renseignements personnels et les documents électroniques (LPRPDE) qui a créé le Commissariat à la protection de la vie privée du Canada. Il s’agit d’une compétence législative partagée avec les provinces. La législation fédérale ne s’applique qu’aux relations inter-provinciales ou internationales. Elle s’applique dans les provinces lorsqu’elles n’ont pas promulgué une législation qui justifie une exemption d’application de cette loi. Seules l’Alberta, la Colombie Britannique et le Québec en sont dispensés. Au Québec, deux lois ont ainsi été édictées : la loi sur la protection des renseignements personnels dans le secteur privé entrée en vigueur en 1994 et la loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels qui a été adoptée dès 1982 et vise le secteur public. La Commission d’accès à l’information est l’organe québecois chargé du respect de cette législation.

Les principes des législations fédérales et québécoises sont similaires et ont été inspirés par lignes directrices de l’Organisation pour la coopération et le développement économique (OCDE) sur les flux transfontières de données à caractère personnel adoptées le 23 septembre 1980. En 2001, la commission européenne a déclaré que la LPRPDE était conforme au niveau d’exigence requis par l’Union Européenne (UE) pour permettre le flux transfontière de données vers le Canada.

Le modèle de protection des données personnelles tel qu’il existe au Québec, au Canada et dans l’Union Européenne se base sur des exigences qui ont fait l’unanimité à l’époque de leur conception il y a près de quarante ans. Il s’agit de principes tels que ceux du consentement éclairé de la personne, du recueil de données pertinentes et proportionnées aux finalités, de la confidentialité, de la sécurité, du droit d’accès, de rectification et d’information.

Un nouvel environnement numérique bouleversant les schémas établis

L’entrée dans l’ère des mégadonnées (« big data ») remet en cause les schémas simples et prévisibles d’échange de données tels qu’ils ont existé ces dernières décennies. IBM estime ainsi que 2,5 quintillions d’octets sont créés chaque jour dans le monde, soit chaque jour l’équivalent de 10 millions de disques blu-ray, qui, empilés les uns sur les autres dépasseraient la taille du plus grand gratte-ciel du monde (828m).

L’émergence de moyens techniques puissants de stockage de données tels que l’infonuagique et de l’utilisation routinière d’internet pour toutes les transactions économiques et les interactions sociales (cookies, géolocalisation, achat, moteur de recherches…) crée des opportunités d’enrichissement considérable. Les données deviennent une matière première comme l’or ou l’argent. Elles servent à la publicité, à la maximisation des services (vols d’avion, consommation d’énergie par exemple), mais également à l’amélioration des sciences médicales (surveillance épidémique, prévention des accidents cardio-vasculaires), économiques (marchés financiers, assurantiels, emplois), criminelles (prévention et résolution des actes criminels), à l’urbanisme (transports publics, implantation d’équipements collectifs).

https://blogs.orrick.com/trustanchor/2016/04/18/o-really-canada-data-breach-log-rules-underway/

Le flux de métadonnées, reflet de la profusion des interactions numériques, se substitue à l’échange bilatéral de données dans le cadre d’une transaction simple qui était le cadre de référence des législations jusqu’à présent. Il n’existe pas de visibilité claire sur des flux de métadonnées qui sont gérées par une multiplicité d’acteurs, véritables courtiers en information.

Dans ce nouvel environnement numérique, le cadre juridique risque de ne plus être à la hauteur de l’enjeu de protection de la vie privée. Au niveau fédéral, le Commissariat à la protection de la vie privée du Canada a publié en mai 2013 un rapport en faveur d’une réforme de la LPRPDE. Il fait le constat de nombreuses insuffisances dans le régime juridique actuel au regard notamment des législations européennes : absence de pouvoir d’infliger des sanctions administratives, opacité sur les données transmises par les entreprises aux autorités publiques, grande difficulté à engager la responsabilité des entreprises en matière d’atteinte à la protection des données personnelles.

En juin 2015, le Commissariat à la protection de la vie privée du Canada a émis un rapport sur la sélection des priorités stratégiques liées à la vie privée. La première priorité affichée est le renforcement de la protection de la vie privée face à l’émergence de modèles économiques basés sur l’utilisation de mégadonnées. Le constat de l’archaïsme du cadre juridique est inquiétant pour les citoyens et tend à saper la confiance de la société civile qui est nécessaire à la croissance de l’environnement numérique. Il appelle à la recherche de solutions innovantes pour répondre aux nouveaux défis.

Les pistes de réflexion pour construire un cadre juridique plus adapté

Plusieurs pistes de réflexion ont été tracées par le groupe des politiques et de la recherche du Commissariat à la protection de la vie privée. L’amélioration du respect du cadre existant est une possibilité qui implique par exemple de mieux encadrer les politiques de confidentialité des entreprises afin de les rendre accessibles. Le format traditionnel de clauses écrites longues et illisibles ne permet manifestement plus d’éclairer le consommateur. La mise en place de nouveaux outils interactifs et pédagogiques devrait être appelé à se développer tel que Mozilla a élaboré ses « icônes de vie privée ». Il s’agit lors de la navigation internet de prendre connaissance de points clés de la politique de confidentialité du développeur par le biais d’une signalétique simple et stylisée. Un clic sur l’icône fait apparaître une courte explication permettant de s’y familiariser. Ce type d’interaction avec les utilisateurs rappelle en quelque sorte la signalétique routière des bords de route.

Une autre solution pourrait être de recourir à des évolutions technologies. On peut penser à la création d’une identité numérique sur blockchain qui serait validée par un Etat ou tiers de confiance. Cela permettrait aux personnes de se connecter à plusieurs sites sans avoir à fournir d’informations personnelles ou à créer un compte. On peut également évoquer le marquage des données émises par un utilisateur qui n’aurait plus qu’à indiquer une seule fois ses préférences de confidentialité valables pour toutes ses interactions en ligne.

La protection de la vie privée dans l’environnement numérique de mégadonnées peut aussi appeler à des solutions sortant du cadre existant. Les efforts de désidentification totale des données impliquent que le citoyen n’aurait plus rien à craindre lorsqu’il divulgue ses renseignements personnels. Le cadre juridique devrait ainsi déplacer son centre de gravité de l’individu vers le contrôle des entités chargées des procédures techniques de désidentification. Une telle évolution comportera toujours un risque irréductible : celui de la réidentification par des parties de mauvaise foi.

Une autre évolution du paradigme de protection pourrait consister à focaliser la législation sur la nature des données traitées plutôt que sur la finalité consentie. Le champ des données serait ainsi structuré non pas tant en fonction de la légitimité d’un fichier d’individus consentants mais sur la base de zones de données systématiquement interdites : notamment l’ethnie, les croyances, la sexualité, la génétique, la biométrique, la santé. Les mesures de protection du consentement personnel s’activeraient de façon ciblée lorsqu’un niveau de risque d’atteinte à un tel type de données serait atteint. La prise en compte privilégiée des données sensibles correspondrait à une approche réaliste dans laquelle le principe serait le consentement exprès implicite et l’exception serait le consentement explicite, averti de dangers expliqués, dans certaines circonstances déterminées. Il faut ainsi comparer cette approche à celle qui différencie les médicaments dont la notice serait lue différemment selon qu’il s’agit d’un médicament de consommation courante comme l’ibuprofène ou un médicament prescrit par un médecin, réservé à la vente par un pharmacien.

La détection des risques posées par la manipulation des données sensibles deviendrait ainsi l’enjeu primordial de la protection des données. Prises entre de mauvaises mains, elles peuvent avoir un impact négatif sur la vie des individus. Par exemple, un patient qui aura lutté pour guérir du cancer n’aura aucun intérêt à s’exposer à une politique d’assurance l’excluant de ses services. Le traitement de cette information constitue une atteinte à la vie privée des individus qui lui cause un préjudice.

La protection des intérêts individuels deviendrait ainsi l’enjeu primordial de la protection des données. La gouvernance de ces zones grises impliquerait le développement de comités d’éthiques suffisamment puissants au sein des organisations commerciales pour qu’elles puissent freiner le développement de pratiques lucratives représentant un danger pour les individus.

Un exemple de ce fonctionnement existe dans la recherche médicale. Il tend à s’appuyer sur l’indépendance d’institution forte qui sont d’intérêt public telles que les universités et les hôpitaux. Rien ne garantit à ce stade que la protection des droits des utilisateurs d’internet puisse mobiliser les efforts de la communauté techno-juridique pour garantir l’indépendance institutionnelle et financière de tels comités.

Enfin une amélioration nécessaire à la protection des données personnelles impliquerait le développement de l’auto-régulation éthique des politiques d’entreprises. L’organe étatique devrait développer des outils de certification garantissant au citoyen que l’entreprise rend des résultats conformes aux exigences légales.

L’éthique d’entreprise a ses limites et ne pourrait être qu’un appui à un encadrement par la loi. Comme le souligne Ryan Kalo dans son article Artificial intelligence policy : a primer and roadmap,

« le développement en cours d’une éthique professionnelle de l’IA, bien qu’il soit bienvenu et même nécessaire, mérite une attention soutenue. L’histoire regorge d’exemples de nouvelles industries formant des codes de conduite éthiques. Dans les années 1970, le ministère de la Justice a poursuivi la NSPE (National Society Professionnal Engineer) pour avoir établi un “canon d’éthique” qui interdisait certaines pratiques d’appel d’offres; dans les années 1990, la FTC (Federal Trade Commission) a poursuivi la NSPE pour avoir restreint les pratiques publicitaires. Cela ne veut pas dire que les entreprises ou les groupes doivent éviter les principes éthiques, mais seulement que nous devons prêter attention à la composition et à la motivation des auteurs de ces principes, ainsi qu’à leurs effets probables sur les marchés et sur la société ».

L’ensemble de ces pistes dégagées le groupe des politiques et de la recherche du Commissariat à la protection de la vie privée n’a à ce jour pas débouché sur aucune proposition précise pour réviser la LPRPDE. A la suite du scandale Equifax, la LPRPDE a récemment été amendée en vue d’obliger les entreprises à rapporter au Commissariat à la vie privée du Canada les violations de données qu’elles ont subies. Dans son rapport annuel

au Parlement en septembre dernier, le Commissariat indique poursuivre les recherches en matière de rénovation du juridique concernant l’intelligence artificielle.

Au Québec, dans son rapport quinquennal de 2016, la Commission d’accès à l’information (CAI) partage son inquiétude quant au caractère dépassé de la protection des renseignements personnels. Elle vise moins une rénovation de notions fondamentales à l’instar des travaux entrepris par le Commissariat à la vie privée du Canada. La CAI fait le constat dans son activité que les entreprises collectent des données non pertinentes dont la finalité n’a pas été consentie par le consommateur et invite le législateur à clarifier la portée de ce que le consentement autorise à recueillir.

Elle regrette que le principe de responsabilité civile des entreprises ne soit pas clairement affirmée dans la législation provinciale. Elle rappelle également que l’utilisation fréquente du terme de « dossier » dans la loi sur la protection des renseignements personnels dans le secteur privé renvoie à une réalité matérielle d’une autre époque qui n’a rien d’anecdotique tant elle révèle l’imprécision du cadre actuel.

Elle déplore aussi la méconnaissance généralisée de l’obligation d’information claire sur la collecte d’information par les entreprises. Elle prône le renforcement de la modulation du traitement de données en fonction de leur caractère sensible, notamment concernant les opérations de conservation et de ré-utilisation et appelle à porter une attention spécifique aux données transmises par les mineurs.

À quand une réforme ?

Le souhait des organes de régulation canadiens et québécois de modifier le cadre de protection des données personnelles n’a à ce jour pas été exaucé par le législateur.

Toutefois, il faut envisager que l’agenda législatif sur cette question risque d’être précipité par les exigences de l’Union Européenne qui va mettre en vigueur un nouveau cadre juridique, le règlement général 2016/679 sur la protection des données à compter du 25 mai prochain. Afin de conserver son statut de pays tiers garant d’une protection adéquate des données personnelles des Européens, le Canada pourrait devoir s’aligner sur les nouvelles normes de transparence plus exigeantes définies par l’Union Européenne, en consacrant de façon incontestable le droit à l’oubli, en conférant de plus grands pouvoirs à ses organes de régulation, en approfondissant la notion de données personnelles et en renforçant la qualité des politiques des entreprises.

Florimond Épée

Blogue réalisé grâce à la Chaire Lexum.

Ce contenu a été mis à jour le 24 juillet 2018 à 13 h 45 min.