Auditions publiques sur le projet de loi 64

Consultations particulières et auditions publiques sur le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels

Mercredi 23 septembre, j’ai eu le privilège d’intervenir en commission parlementaire sur le Projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Voici les quelques lignes qui ont structurées mon propos introductif de 10 minutes.

***********

Remerciements. Je voudrais vous remercier pour ces quelques minutes m’autorisant de participer à l’actuel exercice démocratique; j’en suis très honoré.

Opportunités. Ce projet de loi 64 (PL64) est une opportunité de faire revenir le Québec à l’avant plan sur la question de la vie privée, comme il en était dans les années 90, alors que la province était la seule au Canada à avoir notamment un texte applicable pour le secteur privé.

Prend la vie privée au sérieux. Ce texte est intéressant, très intéressant même, dans la mesure où il prend la protection des renseignements personnels (PRP) au sérieux et propose des solutions fermes pour cette fin. Il est intéressant dans la mesure où il densifie les obligations des parties prenantes, augmentant les obligations de la plupart d’entre elles. Ceci dit, et conformément à ce qu’autorise l’exercice, mon propos aujourd’hui sera d’accentuer sur les manques et les sources d’irritations. Comme un médecin qui s’intéresse au pathos, l’avocat aime à cibler les irritants.

Double approche. Dans cette quête d’identification des améliorations possibles à ce PL64, mes propos sont influencés par deux idées générales : D’abord, il importe de tenir compte des spécificités culturelles, économiques, juridiques du Québec. Ce texte est fortement inspiré du droit européen, parfois calqué, copié-collé même, alors que la vie privée est une composante fondamentalement culturelle. Pour le moins, il importe de se rappeler de la devise inscrite sur le fronton de ce noble édifice « Je me souviens… » : cet adage associé à l’architecte Eugène-Étienne Taché selon lequel « né sous le lys, je crois sous la rose », nous rappelle notre biculture juridique, entre droit civil et common law.  Ensuite, il importe aussi de prendre conscience que la révolution numérique change tout sur son passage et on peut donc légitimement se demander si ce PL est en phase avec elle.  

Au regard de ce double regard (spécificité québécoise et révolution numérique), il me fallait faire des choix sur les sujets de questionnement, de doutes même, inclus à ce PL 64 : en voici 3; seulement 3 pour meubler mon plus tout à fait 10 mns.

1 – Consentement

Consentement toute! Dans ce projet de loi, peut-être même plus que dans les lois actuelles, le consentement est le principe et son absence l’exception. Cette croyance envers l’autonomie de l’individu est omniprésente (pas moins de 53 mentions) et se trouve reproduit dans  les deux lois concernées.

« 53.1. Un consentement prévu à la présente loi doit être manifeste, libre, éclairé et être donné à des fins spécifiques. Il est demandé à chacune de ces fins, en termes simples et clairs, distinctement de toute autre information communiquée à la personne concernée. Lorsque celle-ci le requiert, il lui est prêté assistance afin de l’aider à comprendre la portée du consentement demandé.

Le consentement du mineur de moins de 14 ans est donné par le titulaire de l’autorité parentale. Le consentement du mineur de 14 ans et plus est donné par le mineur ou par le titulaire de l’autorité parentale.

Le consentement ne vaut que pour la durée nécessaire à la réalisation des fins auxquelles il a été demandé.

Un consentement qui n’est pas donné conformément à la présente loi est sans effet.».

« 12. Un renseignement personnel ne peut être utilisé au sein de l’entreprise qu’aux fins pour lesquelles il a été recueilli, à moins du consentement de la personne concernée. Ce consentement doit être manifesté de façon expresse dès qu’il s’agit d’un renseignement personnel sensible.

Un renseignement personnel peut toutefois être utilisé à une autre fin sans le consentement de la personne concernée dans les seuls cas suivants :

1° lorsque son utilisation est à des fins compatibles avec celles pour lesquelles il a été recueilli;

2° lorsque son utilisation est manifestement au bénéfice de la personne concernée;

3° lorsque son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques et qu’il est dépersonnalisé.

Pour qu’une fin soit compatible au sens du paragraphe 1° du deuxième alinéa, il doit y avoir un lien pertinent et direct avec les fins auxquelles le renseignement a été recueilli. Toutefois, ne peut être considérée comme une fin compatible la prospection commerciale ou philanthropique.

Pire, on trouve cette solution surexposée dans les hypothèses de profilage (18 PL64 (65.0.1 et 65.0.2 LSPub.)) (99 PL64 (8.1, 8.2 et 8.3 LSPri.)) et de traitement automatisé (20 PL64 (65.2 LSPub.)) (102 LP64 12.1 LSPri.)), hypothèses où la capacité d’expliquer à l’individu est pour le moins hasardeuse.

Même avec les efforts évidemment louables de densifier le caractère explicite de ce consentement, j’ai malheureusement bien des doutes sur la capacité véritable de ces dispositions de permettre à l’individu, en bien des cas, de prendre le contrôle de ses données. En effet, ces dispositions impliquent :

  • Que l’usager s’intéresse;
  • Que l’usager lise;
  • Que l’usager comprenne;
  • Que l’utilisation des données (notamment dans le cadre de l’IA) soit explicable.

C’est une chimère, dans laquelle d’ailleurs le RGPD se drappe bien volontiers et que le PL64 copie/colle là encore avec une déférence bien dommageable.

Le consentement est donc un merveilleux outil de dédouanement tant des entreprises que de l’État. L’État demande donc à l’individu de se prendre en charge; c’est aussi la solution souhaitée par Facebook dont le leitmotiv est « usager, prend le contrôle de tes données ». Derrière ce « fétichisme » associé au consentement, on perd la finalité première de cette solution : le consentement ne protège pas l’individu; il protège l’entreprise qui peut ainsi faire ce qu’elle souhaite avec les données.

Dans une perspective constructive, quelles sont les alternatives ? Je vous en propose 3 :

La première est, et cela été cité hier par Me Gratton, j’irais très vite, de prévoir des exceptions lorsque le consentement est soit illusoire, comme en droit du travail, soit quand l’usage des données est légitime.

La deuxième est une généralisation des ententes de communication, et ce, dans les hypothèses justement où le consentement de l’individu est un leurre. Ces ententes sont en effet une voie introduite notamment en 2006 lors de changements de la Loi sur l’accès. Néanmoins, alors que les ententes de partage ne pouvaient s’opérer que dans des hypothèses limitées et très précises (principalement 2) (64 – collecte et 66, 67, 67.1, 67.2, 68 et 68.1 – communication), elles sont désormais possibles dans deux nouvelles situations distinctes :

  • Art. 67.2.3 en matière de recherche (NOUVEAU)
  • Art. 70.1 en matière d’information communiquée à l’extérieur (NOUVEAU)
  • Art. 17 LPSPri. en matière d’information communiquée à l’extérieur (NOUVEAU)
  • Art. 21 LPSPri. en matière de recherche (NOUVEAU)

C’est aussi une voie qui a été préconisée, sans avoir été appliquée, il me semble, au niveau fédéral.

Modalités. Les modalités sont simples. Un M/O ou une entreprise peut utiliser des données sans le consentement de l’individu dès lors qu’il dépose auprès de la CAI un cadre de régulation interne qui explicite comment les données seront utilisées. Une fois le dépôt fait, la CAI a une possibilité de réaction afin par exemple de demander des ajustements.

A priori, nous voyons d’un bon œil la multiplication de ces hypothèses d’entente, et ce, dans la mesure où ce sont des situations qui s’exonèrent du consentement. En fait, nous croyons que cet outil de régulation pourrait être valorisé encore plus généralement dès lors que l’on sait que le consentement est difficile à obtenir.

La troisième voie que je me permettrais de souligner est que ce consentement n’est encore moins envisageable lorsque l’on n’est pas en mesure d’expliquer comment les données sont et seront utilisées. Et c’est une problématique qui est souvent identifiée en matière d’intelligence artificielle où la manière dont fonctionne l’algorithme est pour les concepteurs eux-mêmes bien nébuleuse. Ce saut dans l’inconnu n’est pas concevable. Une machine ne peut utiliser des renseignements personnels sans savoir comment ceux-ci seront utilisées. Le principe d’explicabilité est donc, il me semble, légitimement à la mode, et ce, comme la Commissariat fédéral l’a récemment proposé dans le cadre de sa propre réflexion sur la propre loi sur la PRP.

« Donner aux personnes le droit à une explication et à une plus grande transparence lorsqu’elles interagissent avec un traitement automatisé ou font l’objet d’un tel traitement »

2 – Charge des obligations

Mon deuxième point sur ce PL porte sur la distribution des charges aux différentes acteurs impliqués dans le traitement des RP. Nous aimons ce PL car il densifie les obligations des intervenants. De la plupart du moins.

En premier lieu, C’est le cas de l’entreprise ou du M/O qui « paye » par la multiplication de nouvelles charges qui pèse sur lui, et c’est très bien. Je pense notamment

  • Responsabilité de l’entreprise (Art. 95 (3.1 LPRPSP)) qui est renforcée
    • Responsabilité qui implique les plus hautes sphères de l’entreprise (Art. 95 (3.1 LPRPSP))
    • Identification d’un gestionnaire de vie privée
    • Évaluation des facteurs à la vie privée (Art. 25; Art. 95)
    • Obligation soutenue de documenter ses manières de faire
      • Élaboration
      • Diffusion (Art. 95)

Merveilleux. Les solutions proposées sont incontournables tant au regard de la manière de gérer le numérique qu’au regard des pratiques suivies depuis déjà plusieurs années, et ce, même si on peut se désoler que cette amplification majeure de la documentation interne n’est souvent ni assujettie à aucun contrôle externe ni pleinement maitrisée par les acteurs économiques.

En deuxième lieu, l’usager, l’individu « paye » aussi avec le contrôle qu’il doit opérer soit par les très nombreuses nouvelles obligations d’information soit par le consentement qu’il « donne » et que je viens de critiquer. Avec égard, je crains que l’on délègue beaucoup la charge de l’effort sur ses épaules, celui-ci devant « digérer » un nombre important d’informations.

Qu’en est-il, en troisième lieu, de l’État?

Il s’agit de revenir aux fonctions du droit qui selon une autrice états-unienne Clare Dalton sont double :

  • Un rôle de sanction
  • Un rôle de guide

Rôle 1. Relativement au premier, le rôle de sanction, ce rôle est alloué, avec raison à la CAI. La CAI exerce en effet un travail remarqué et il m’apparaît clair que ce PL64, s’il devient Loi, va occasionner une charge de travail accrue qui impliquera, pour ce seul aspect juridictionnel et de surveillance, des ressources elle aussi augmentées. Ces ressources se justifient pour minimalement trois raisons :

D’abord, les hypothèses d’interventions sont tout simplement multipliées;

Ensuite, les hypothèses de contrôle a posteriori qui se sont multipliées impliquent une réactivité accrue. Cette manière de faire existe déjà dans le cas des ententes de communication dont j’ai parlé; elle existe aussi actuellement dans le cas de l’utilisation des données biométriques (art. 77) où l’entreprise déclare l’utilisation de données biométriques et la CAI peut ensuite prendre des mesures qui peuvent aller jusqu’à l’interdiction comme on l’a vu en début d’année dans le cadre d’une décision de la CAI relativement à un usage inapproprié de la biométrie. Néanmoins, ce système sans doute adapté (à savoir l’entreprise implantes le système mais la CAI peut réagir à tout moment et idéalement dans les 30 jours du dépôt) ne fonctionne que si l’organisme de contrôle dispose d’une capacité de réactivité soutenue.

À titre d’exemple, si dans l’hypothèse du feu projet COVI, la CAI avait dû analyser l’analyse d’impact qu’ils avaient proposé, il est clair qu’il aurait fallu une réactivité un peu comparable à la France où la CNIL a réagi trois fois en un mois sur l’outil de traçage sanitaire équivalent.

Enfin, dans la mesure où les sanctions sont désormais « énormes », après avoir été incroyablement faibles, je ne vois pas comment une instance d’un budget de 7,69 millions pourra batailler comme une multinationale qui craint de se voir imposer une sanction de 2 ou 4% de son chiffre d’affaire mondial.

Rôle 2. Mais il y a le second rôle de l’État : l’animation normative. Assurément, la CAI est en mesure de le faire, comme elle le fait actuellement, un peu. Cependant, étant donné la multiplicité des situations qui demandent d’être complétées par les normes techniques, par des directives, par des mesures de sécurité, il importe d’avoir une instance en mesure de faire le tri entre le bon grain et l’ivraie. Le centre de gravité normatif se situe régulièrement dans les normes techniques qui passent trop souvent sous le radar du droit; sous le radar des lois. Il faut donc développer une agilité normative où les parties prenantes seront en mesure de mieux accéder aux « meilleures pratiques généralement reconnues » (comme par exemple ce qui apparaît en matière d’anonymisation (art. 28 (LSPub) et art. 22 (LSPri)).

Question de $$$. En fait, de façon très incidente, la vie privée est question d’argent. Contrôler l’utilisation des RP coute cher, surtout pour une juridiction de 8 millions d’habitants qui ne dispose par conséquent pas de la population pour amortir certains de ces coûts. À certains égards, et sans volonté de transposition au Québec, je m’autorise de mentionner le modèle financier de la Grande-Bretagne qui impose dans sa Loi une « taxe » (Data Protection Fee) sur les données. Ce financement n’est sans doute pas sans lien, par exemple, dans la capacité des organismes de contrôle britanniques à investiguer sur le dossier de Cambridge Analytica.

3 – Principes substantiels sujets à caution  

Enfin, et là encore dans une perspective très européenne, le PL64 innove en intégrant des droits subjectifs qui ont été directement inspirés du RGPD. Principalement, deux dispositions méritent d’être questionnées.

Portabilité. Relativement à la portabilité, une conférence tenue hier par la Federal Trade Commission évoquait les doutes applicatifs relativement à ce procédé sur lequel on ne connaît pas grand-chose. Cette disposition répond à une pensée très européenne qui est je crois différente de ce que l’on retrouve dans la loi californienne qui a une sorte d’équivalent, celle-ci référant davantage à un droit d’accès.

  • Quid du format à utiliser?
  • Quid des informations concernées?
  • Quid de la sécurité à utiliser?
  • Quid des secteurs d’activités concernées?

Que de doutes pour une prérogative qui me semble être plus de « confort » que de protection. Et puis, au-delà de ces doutes, la question est peut-être plus un enjeu de concurrence que de vie privée, avec les conséquences constitutionnelles qui en découlent.

Droit à l’oubli. Sur le droit à l’oubli (plutôt de déréférencement), là encore faute de temps, je ferais simplement remarquer trois points. D’abord, au Québec, cette notion n’a pas été inspirée par une grande jurisprudence préalable au PL64, à la différence de l’Europe où l’idée a été dopée par un arrêt de la Cour de justice européenne en 2014 (Affaire Google). Le droit à l’oubli n’est donc pas un principe généralisé qui existe actuellement dans le droit québécois. Ce principe est éminemment culturel et je ne suis pas sûr qu’il corresponde à l’état des usages qui s’opère chez nous. Ensuite, forcément, ce droit est en opposition avec d’autres tel que la liberté d’expression, la liberté d’information, la publicité des débats judiciaires, la recherche historique. Une telle disposition demande à être envisagée de façon globale et non sous le seul spectre de la PRP. Enfin, et peut-être surtout, de grands questionnements existent sur le plan applicatif quant à la manière de mettre en place une telle mesure; quant à l’interaction que cela impliquerait avec l’industrie.

Dans tous les cas, ces deux sujets mériteront d’être complétés par une animation normative qui ne proviendra pas uniquement du pendant juridictionnel de la CAI. Comme mentionné précédemment, une agilité normative est requise afin d’objectiver la grande généralité associée au PL64.

Voici donc les 3 points traités au pas de course que je voulais vous livrer. 3 points qui n’expurgent pas les interrogations sur ce PL64 mais qui j’espère sauront susciter réactions et discussions. En vous remerciant sincèrement de votre écoute.

Ce contenu a été mis à jour le 24 septembre 2020 à 12 h 57 min.

Commentaires

Laisser un commentaire