PIPEDA: présentation au Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique

Vincent Gautrais 4 avril 2017

Veuillez trouver ci-dessous la version longue de la présentation faite cet après-midi devant le comité très « masculin » à la Chambre des communes en charge d’évaluer les possibles modifications à opérer auprès de la Loi sur la protection des renseignements personnels et les documents électroniques. Ce Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique (ETHI) offre en effet la possibilité de commenter les modifications qui pourraient être proposées afin d’adapter cette Loi au contexte numérique.

La version audio de l’ensemble de l’audience d’hier (Young – Parker – Kerr – Gautrais) est disponible ici.

***********

 Monsieur le président, messieurs les vice-présidents, messieurs, les membres du comité, messieurs les témoins, mon nom est Vincent Gautrais, je suis professeur en droit, avocat, directeur du Centre de recherche en droit public à l’Université de Montréal (CRDP) et titulaire de la Chaire L.R. Wilson en droit du commerce électronique.

C’est évidemment un réel plaisir d’intervenir pour la seconde fois devant ce comité, et ce, relativement aux questions en lien avec la Loi sur la protection des renseignements personnels et les documents électroniques. Au-delà de cet honneur véritable de participer comme canadien à cet exercice démocratique, j’aimerai aussi vous remercier de me permettre d’intervenir à distance.

A la différence de la fois dernière, en juin 2012, où ledit comité nous invitait à réagir en général sur cette loi, cette fois, la lettre de Monsieur Therrien du 02 décembre 2016 nous guide avec certains éléments sujet à réflexion. Aussi, je me permettrais de calquer les grandes thématiques présentes dans son document en évoquant successivement :

  • Le consentement ;
  • Les règles d’exécution ;
  • La réputation en ligne ;
  • Le caractère adéquat.

1 – CONSENTEMENT

Si vous me le permettez, c’est sur le premier point en lien avec le consentement que je vais utiliser une bonne partie de mon 10 minutes. En effet, m’intéressant au droit des technologies depuis plus de 25 ans, j’ai particulièrement travaillé sur le contrat électronique, sujet, lors d’un autre siècle, de ma thèse de doctorat.

Le consentement dans sa situation actuelle est ridicule. Ce constat malheureux est partagé par tous ; il n’y a quasiment pas débat. On le sait, personne ne lit les contrats en matière de vie privée ; personne n’a raisonnablement la possibilité de prendre connaissance de ces lignes qui s’ajoutent d’années en années, le contenu contractuel sur un écran ne disposant d’aucune limite d’espace. Et la Cour suprême, pourtant créative en bien des cas, n’a pas en 2007, dans l’affaire Dell Computer, saisi l’occasion de lutter contre cette pratique pathologique. Et c’est dommage !

C’est dommage, car le consentement est donc, avec le temps, sorti de sa fonction initiale : alors qu’il visait au début à protéger l’individu afin de lui assurer un contrôle des données le concernant, il est au contraire devenu le moyen de protéger les entreprises qui utilisent les données. Car effectivement, les entreprises peuvent désormais totalement s’exonérer de toute contrainte en noyant leur obligations, leurs manières de faire, dans des pages et des pages. L’information est comme l’oxygène : elle est nécessaire mais lorsqu’il y en a trop, on ne respire plus.

Face à ce constat d’échec, que fait-on ? Comme en droit des contrats, une option se présente entre des solutions de forme et d’autres de fond. Il y a aussi une troisième problématique où dans certains cas le consentement n’est pas requis. Trois points donc sur le consentement.

Relativement à la forme, en premier lieu, il est possible de croire que la situation serait bien meilleure, plus protectrice pour l’individu, si celui-ci devait manifester formellement son intention ; si l’usager devait accepter au préalable l’utilisation faite. Le débat entre « opt out » versus « opt in » stigmatise l’opposition classiquement présentée, la seconde étant reconnue comme plus protectrice que la première. Je crains malheureusement, après des années à avoir fleureté avec l’idée, que la solution de l’« opt-in » à ses limites. Même clair, un contrat demeure inaccessible pour le commun des mortels. Inaccessible de par sa longueur bien sûr, mais aussi ses juridismes, ses liens hypertextes qui constituent autant d’invitations à « sortir » du contrat. Le processus va vite et l’internaute s’attend à cette même vitesse. Sans compter sur le taux d’analphabétisme fonctionnel qui rend la lecture de clauses contractuelles bien illusoires. Et puis la mise de l’avant de la solution « opt in » passe d’abord et avant tout par une attention particulière sur la manifestation du consentement et moindrement sur la lisibilité du contrat. Une chercheure américaine nous montrait récemment que le passage d’un « clickwrap » (cad cliquer sur un bouton « J’accepte ») plutôt que le fréquent « browsewrap » (cad dispose quelque part sur le site de l’entreprise la politique de vie privée) n’avait qu’une incidence négligeable en terme de connaissance du contenu (avec une hausse de 0,36% seulement de lecture supplémentaire). De la même manière, l’apparition de la pratique des bandeaux sur les écrans de page web qui signifient l’acceptation des témoins, des « cookies », est davantage vue comme un irritant plutôt qu’un outil supplémentaire pour protéger l’usager.

Cette suspicion vis-à-vis du consentement se vérifie également en deuxième lieu sur le fond et je ne crois pas que l’on puisse consentir à tout. Si dans le droit des contrats en général, on dispose de règles sur les clauses abusives, on ne vérifie que trop peu souvent cette réalité en matière de protection des renseignements personnels. Les clauses de consentements actuellement disponibles sur le web sont truffées de stipulations clairement attentatoires aux intérêts des individus et rares sont les hypothèses de contrôle par le juge. Que fait-on lorsqu’une entreprise demande à un candidat à un stage de « consentir » à transmettre le mot de passe de sa page Facebook pour voir ce qu’il y écrit ? Au même titre qu’une étude montrant que 48% des usagers seraient près à donner leur mot de passe contre une barre de chocolat, on ne peut consentir à tout et il importe qu’un véritable contrôle puisse se faire à cet égard.

Enfin, en troisième lieu, il existe des situations où le consentement ne peut en pratique se demander. Je mets au défi une entreprise d’expliquer convenablement à ses usagers l’utilisation faite de renseignements personnels dans le cadre du « big data ». C’est la raison pour laquelle, toujours dans cette déconstruction de ce réflexe contractuel, il me semble qu’il y a lieu de multiplier les hypothèses où le consentement n’est pas requis. À titre d’exemple, la Loi québécoise sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (RLRQ c A-2.1) a introduit des hypothèses (art. 67 et 68) où ce qui s’appelle des « ententes de communication » permettent, sans le consentement des intéressés, d’utiliser les renseignements personnels. Ainsi, plutôt que de demander un consentement presque fictif, pourquoi ne pas présenter le dossier à des représentants du Commissariat, des spécialistes, des experts de la vie privée, mieux à même de jauger les garanties que l’entreprise souhaite offrir pour compenser l’utilisation des données. Cette solution des ententes de communication a d’ailleurs été proposée par votre propre comité pour la Loi sur la protection des renseignements personnels dans un récent rapport de décembre 2016 (au paragraphe 2.2 – recommandations 4, 5 et 6).

Derrière ces 3 questionnements, la forme, le fond, les hypothèses d’exonération du consentement, nous avons tenté de désacraliser le consentement et comme le signalait un auteur britannique, il faut donc sortir du « fétichisme contractuel » ; cet outil que l’on ne trouvait d’ailleurs pas au tout début des lois sur la vie privée est trop souvent vu comme une panacée. Il a sans doute certains atouts, surtout lorsqu’il est humanisé, assorti de technologies aidant à la prise de connaissance du contenu contractuel, mais il est trop souvent perçu comme la solution universelle.

2 – POUVOIRS D’EXÉCUTION

Ceci m’amène au deuxième point. Il sera plus bref ; faute de temps. Vous l’avez compris, j’ai tendance à limiter la capacité de contrôle de l’usager. Aussi, ce contrôle, où s’exerce-t-il ? Évidemment, encore et encore, il me semble que l’on ne peut s’exonérer d’un Commissariat à la vie privée bénéficiant de prérogatives bien plus importantes que celles dont il dispose actuellement. Même si le Commissariat disposa de la capacité à négocier des changements d’attitudes auprès d’acteurs internationaux (comme par exemple Google et Facebook), la loi actuelle se distingue par une incapacité d’action incroyable de la part du Commissariat. Il me semble donc que le sens de l’histoire passe par une hausse des prérogatives du Commissariat. Celles-ci devraient sans doute passer par une capacité d’imposer des sanctions financières, et ce, même si la tradition de négociation qui caractérise notre institution canadienne devrait être perpétuée. Il me semble aussi, de façon plus ponctuelle, que les sanctions peuvent aussi se traduire sur le plan de la réputation. Il est en effet surprenant, à la différence de l’immense majorité des décisions de justice au Canada, que les décisions du Commissariat soient anonymes, les noms des entreprises en cause étant dissimulées.

3 – RÉPUTATION EN LIGNE

Je ne ferais en revanche qu’effleurer le troisième point sur la réputation en ligne. D’abord, il a été largement commenté par d’autres et ensuite j’ai moi-même pu, lors de ma précédente intervention en juin 2012, évoquer les grandes réticences que j’ai vis-à-vis de la notion de droit à l’oubli. Une notion qui mérite en effet une grande suspicion tant quant à son application que sur les conséquences qu’elle génère auprès d’autres libertés et droit fondamentaux. Un peu comme les ballons que nous disposions dans une cloche à vide (vaccuum bell) dans nos cours de science au secondaire qui grossissaient lorsque le vide s’opérait, la vie privée est l’un de ces ballons et a pris avec le temps, avec les technologies, une importance croissante face sinon au « vide » mais au flou que les nouvelles situations suscitent. Mais le ballon « vie privée » se voit confronter à d’autres ballons, d’autres libertés fondamentales, comme la liberté d’expression, la liberté d’information, et la croissance d’un de ces droits a forcément une influence sur les autres. Je me limiterais sur cette allégorie qui est peut-être plus jolie qu’efficace.

4 – CARACTÈRE ADÉQUAT

Je souhaiterais enfin dire quelques mots et quelques mots seulement sur le caractère adéquat qui dépend des anciens articles 25 et 26 de la directive européenne de 1995 et désormais des articles 44 et suivants du règlement européen d’avril 2016. Certes, il importe d’envisager les rapprochements avec nos partenaires européens ; certes, cette région considère la vie privée d’une façon qui est assurément digne d’intérêt et de comparaison. Je crois en revanche qu’il ne faut pas forcément être trop ébloui par les activités en matière de vie privée qui se passent en Europe. La vie privée est affaire de culture et sa perception diffère d’un pays à l’autre.

Bien sûr, les dispositions sur la caractère adéquat ont pour objet d’harmoniser les règles ; je crois néanmoins, qu’il ne faut pas trop survaloriser le besoin de leur ressembler. Il est plus important d’avoir un droit qui nous ressemble qu’un droit qui ressemble au droit européen. Aussi, si le Canada a obtenu en 2001 un avis de conformité, l’un des rares pays à l’avoir eu ; il sera peut-être plus difficile à obtenir au regard de nouvelles dispositions. En effet, d’une part, il existe de nouvelles obligations qui sont en dehors de nos réflexions. D’autre part, il semble qu’il y ait une volonté réaffirmée de la Commission européenne de mieux contrôler les activités étrangères, comme cela s’est matérialisé avec l’avis de juin 2014 concernant le Québec. Ceci dit, ce n’est peut-être pas si grave que cela. En dépit des épouvantails autour de l’absence du caractère adéquat, il me semble qu’une certaine balkanisation des activités n’est peut-être pas si redoutable que cela.

Mais nous n’en sommes pas là ; notre loi canadienne mérite sans aucun doute d’être revue et corrigée en profondeur et ces audiences auprès de 26 personnes différentes assurément participe à l’exercice. En résumé, il importe

  • D’intégrer véritablement la nouveauté technologique ;
  • De désacraliser les potentialités du consentement ;
  • D’assurer la spécificité canadienne ;
  • De rendre la loi actuelle moins « décorative » en renforçant les pouvoir du Commissariat.

(Merci à Cynthia Chassigneux, Éloïse Gratton, Pierre Trudel, pour leur retours relativement à certains des points présentés à cette occasion)

Mis à jour le 5 avril 2017 à 23 h 24 min.