Le temps des réformes : cinq comparaisons entre le projet de loi n° 64 et le projet de loi C-11

Simon du Perron, auxiliaire de recherche au Laboratoire de cyberjustice, a signé le 24 novembre dernier un billet de blogue sur le site du Laboratoire de cyberjustice.

En raison de son intérêt au regard des travaux de JusticIA, nous le reproduisons ici :

L’année 2020 aura été marquée par une pandémie mondiale, une crise économique sans précédent, l’élection d’un nouveau président aux États-Unis et… des réformes des lois de protection des renseignements personnels au Canada!

Le Québec a été le premier gouvernement à plonger en déposant le projet de loi n° 64,  Loi modernisant des dispositions législatives en matière de protection des renseignements personnels le 12 juin 2020. Nous vous dirigeons vers nos articles à son sujet pour en apprendre plus sur cette réforme législative d’envergure.

La semaine dernière, ce fut au tour du gouvernement fédéral de se lancer dans la danse avec le dépôt du projet de loi C-11, Loi de 2020 sur la mise en œuvre de la Charte du numérique qui propose de remplacer la Loi sur la protection des renseignements personnels et les documents électroniques par une nouvelle loi destinée au secteur privé, la Loi sur la protection de la vie privée des consommateurs (LPVPC).

Si la volonté de moderniser le régime juridique applicable au secteur privéd’assurer son adéquation avec le Règlement général sur la protection des données (RGPD) et d’harmoniser le droit en matière de protection des renseignements personnels au pays, se font clairement sentir, les deux projets de loi contiennent néanmoins quelques distinctions notables. Nous avons sélectionné cinq points de comparaison entre la réforme d’Ottawa et celle de Québec qui nous semblent les plus marquants.  

  1. Responsabilité des organisations

L’un des éléments phares de la réforme québécoise est l’obligation pour les entreprises d’effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) de tout projet de système d’information impliquant la collecte, l’utilisation, la communication, la conservation ou la destruction de renseignements personnels (art. 3.3 LPRPSP[1]). Cette procédure permet aux organisations de mener une réflexion interne sur un projet spécifique de manière à assurer sa conformité avec les principes applicables en matière de protection des renseignements personnels. L’EFVP est également un excellent outil pour intégrer l’approche de protection de la vie privée dès la conception (Privacy by design) dans ses pratiques organisationnelles.

Or, le projet de loi C-11 ne fait aucune mention de l’EFVP ce qui s’avère pour le moins étonnant considérant que son adoption était recommandée par le Commissariat à la protection de la vie privée du Canada (CPVP) et que ce mécanisme est déjà implanté dans le secteur public fédéral. Le projet de loi C-11 oblige toutefois les organisations à mettre en œuvre un « programme de gestion de la protection des renseignements personnels » qui pourra être révisé et même certifié par le CPVP (art. 9, 10 et 77 LPVPC).

  • Renseignements dépersonnalisés

L’une des propositions novatrices du projet de loi n° 64 considérant la fixité de la notion de « renseignement personnel » dans la législation est l’introduction d’une définition des renseignements « dépersonnalisés » et « anonymisés ». En effet, le projet de loi n° 64 prévoit qu’un renseignement personnel est dépersonnalisé lorsqu’il ne permet plus d’identifier directement la personne concernée (art. 12 al. 4 LPRPSP). Ces renseignements demeurent assujettis à la législation considérant qu’il est toujours possible d’identifier un individu à partir de données dépersonnalisées. Ainsi, le projet de loi n° 64 prévoit que seul un renseignement « anonymisé », c’est à dire qui ne permet plus, de façon irréversible, d’identifier directement ou indirectement une personne physique (art. 23 al. 2 LPRPSP), peut échapper au droit à la protection des renseignements personnels. Une situation analogue à ce que prévoit le RGPD.

Le projet de loi C-11 ne fait pas de distinction entre la dépersonnalisation et l’anonymisation. Il propose plutôt de définir l’action de « dépersonnaliser » comme le fait de « modifier des renseignements personnels — ou créer des renseignements à partir de renseignements personnels — au moyen de procédés techniques afin que ces renseignements ne permettent pas d’identifier un individu ni ne puissent, dans des circonstances raisonnablement prévisibles, être utilisés, seuls ou en combinaison avec d’autres renseignements, pour identifier un individu » (art. 2 LPVPC). Cette définition formule un critère qui est selon nous plus exigeant que la dépersonnalisation au sens du projet de loi n° 64 puisqu’elle implique de considérer les risques d’identification indirecte, mais moins exigeant que le critère d’anonymisation, puisqu’elle n’impose pas un risque de réidentification nul.

  • Exceptions au consentement

Le projet de loi C-11 va beaucoup plus loin que son pendant québécois lorsqu’il est question d’autoriser de nouveaux traitements de renseignements personnels sans le consentement des personnes concernées. En effet, le projet de loi déposé par le ministre de l’Innovation, des Sciences et de l’Industrie entend permettre aux organisations de faire accroc au principe général du consentement lorsqu’elles collectent et/ou utilisent des renseignements personnels pour :  

  • Accomplir une activité d’affaires comme la fourniture d’un produit ou d’un service demandé par l’individu, la sécurisation de l’information, des systèmes ou des réseaux d’une organisation ou encore lorsqu’il est pratiquement impossible d’obtenir le consentement de l’individu, en raison de l’absence de lien direct avec celui-ci (art. 18 (1) LPVPC);
  • Transférer des renseignements personnels à des fournisseurs de service (art. 19 LPVPC);
  • Dépersonnaliser des renseignements personnels (art. 20 LPVPC);
  • Utilisent des renseignements dépersonnalisés à des fins de recherche et développement internes (art. 21 LPVPC).

Le professeur Michael Geist s’est dit préoccupé par l’exception concernant les activités d’affaires qu’il considère particulièrement large. Celle-ci pourrait même s’avérer encore plus libérale que la fameuse exception des « intérêts légitimes » prévue par le RGPD. Le professeur à l’Université d’Ottawa s’inquiète de voir cette disposition être interprétée comme autorisant les entreprises à pister les activités en ligne des internautes sans devoir obtenir leur consentement.

De son côté le projet de loi n° 64 prévoit essentiellement trois nouvelles exceptions au consentement soit lorsqu’un renseignement personnel est utilisé à des fins compatibles avec celles pour lesquelles il a été recueilli, lorsque son utilisation est manifestement au bénéfice de la personne concernée et lorsqu’il est dépersonnalisé et que son utilisation est nécessaire à des fins d’étude, de recherche ou de production de statistiques (art. 12 LPRPSP). Cette dernière exception (fins de recherche) est d’ailleurs pratiquement identique dans les deux projets de loi.

Une autre nouveauté du projet de loi C-11 est l’introduction d’une exception au consentement pour la communication de renseignements dépersonnalisés à une institution publique (i.e. institution gouvernementale, établissement de soins de santé, établissement d’enseignement postsecondaire, bibliothèque publique, organisation mandatée par le gouvernement) lorsque cette communication est faite « pour une fin socialement bénéfique » (art. 39 LPVPC). Notion que le projet de loi C-11 définit comme « toute fin relative à la santé, à la fourniture ou à l’amélioration des services et infrastructures publics, à la protection de l’environnement ou de toute autre fin réglementaire ».

À la lumière des révélations d’Edward Snowden sur la participation d’entreprises de télécommunication à un programme d’espionnage domestique aux États-Unis, on peut se questionner sur l’opportunité de confier au gouvernement le pouvoir de décréter par règlement toute fin pour laquelle des entreprises privées vont pouvoir partager des données dépersonnalisées aux institutions gouvernementales sans le consentement des personnes concernées. Cela étant, l’adoption de cette disposition est susceptible de stimuler l’innovation dans le domaine de la recherche et pourrait contribuer à l’essor des fiducies de données au Canada comme le recommandait d’ailleurs la Charte canadienne du numérique.

  • Portabilité des données 

Les deux projets de loi proposent un droit à la portabilité des données, inspiré de la législation européenne et californienne, mais ils diffèrent dans leur approche. Le projet de loi n° 64 entend permettre aux individus d’obtenir les renseignements personnels qu’ils ont fournis à une entreprise dans un format technologique structuré et couramment utilisé (art. 27 LPRPSP). Ceci leur permettra de transporter leurs données d’un fournisseur de services à un autre. Facebook, offre par exemple à ses utilisateurs la possibilité de télécharger une copie de leurs données dans un format HTML ou JSON. JSON (JavaScript Object Notation) est un format ouvert qui facilite le partage de données.

De son côté, le projet de loi C-11 propose de permettre aux individus de demander que l’entreprise qui détient leurs renseignements personnels les transfère vers l’organisation de leur choix dans un format permettant d’assurer l’interopérabilité des données (art. 72 LPVPC), mais il ne prévoit pas la possibilité pour l’individu de récupérer ces données dans le format en question. Ainsi, avec la proposition du fédéral ce sont les organisations qui assureraient la « portabilité » des données personnels tandis que cette responsabilité incomberait aux individus du côté du projet de loi québécois.

Dans les deux cas, le droit à la portabilité des données n’oblige pas l’organisation visée par une requête à supprimer les données de son système; celle-ci peut donc les conserver dans le respect des exigences prévues par la loi. Toutefois, le projet de loi C-11 propose d’accorder aux individus le droit de demander aux entreprises la suppression définitive et irréversible de leurs renseignements personnels (art. 55 (1) LPVPC) alors que le projet de loi n° 64 se limite à un droit à la rectification des renseignements personnels (art. 28 LPRPSP).

  • Décisions automatisées

Un autre élément abordé par les deux projets de loi est la prise de décision au moyen de systèmes automatisés. 

Alors que le projet de loi n° 64 ne vise que les décisions fondées exclusivement sur un traitement automatisé de renseignements personnels, le projet de loi C-11 s’applique à toute organisation qui utilise un système décisionnel automatisé pour faire une prédiction, formuler une recommandation ou prendre une décision concernant l’individu (art. 2 LPVPC). L’approche englobante du fédéral nous semble beaucoup plus efficace que la définition restrictive du projet de loi n° 64 qui permettrait aux entreprises de se soustraire à ses obligations en prévoyant une intervention humaine quelque part dans le processus décisionnel.

Ceci étant, les exigences prévues par le projet de loi C-11 en matière de prise de décisions automatisées sont inférieures à celles prévues par le projet de loi n° 64. En effet, le projet de loi C-11 ne prévoit qu’un droit de recevoir, sur demande, une explication de la décision automatisée et de la provenance des renseignements personnels utilisés pour prendre la décision (art. 63 (3) LPVPC). Le projet de loi n° 64 prévoit en plus de ce droit à l’explication – qui fait d’ailleurs l’objet de critiques en Europe – la possibilité de présenter ses observations à un membre du personnel qui soit en mesure de réviser la décision (art. 12.1 LPRPSP). L’absence de droit à la révision d’une décision automatisée constitue selon nous une lacune importante du projet de loi C-11.  D’ailleurs, il convient de mentionner que ni le projet de loi n° 64, ni le projet de loi C-11 ne reconnaissent un droit de ne pas faire l’objet d’une décision automatisé comme le fait l’article 22 RGPD, ce qu’avait pourtant recommandé par le Laboratoire de cyberjustice et l’OBVIA.

Pour conclure, le projet de loi n° 64 et le projet de loi C-11 constituent sans contredit les plus importantes réformes législatives en matière de protection de la vie privée au Canada depuis des décennies. Bien que nous ne puissions que nous réjouir de voir le législateur se réveiller de son hibernation en matière de protection des données, il convient de se demander si la direction choisie est la bonne. En effet, force est de constater que l’approche poursuivie par Québec vise davantage la protection des renseignements personnels tandis que celle d’Ottawa cherche plutôt à favoriser leur circulation.  

Le processus d’adoption législative devant suivre son cours, nous ne verrons probablement pas l’aboutissement de ni l’une ni l’autre de ces réformes d’ici 2021. Celui-ci sera d’ailleurs l’opportunité d’apporter des amendements à chacun des projets de loi afin de répondre à une critique souvent adressée à la législation en matière de protection de la vie privée au Canada, soit le manque d’harmonisation entre le régime du fédéral et celui du Québec.


[1] En référence aux articles de la Loi sur la protection des renseignements personnels dans le secteur privé, RLRQ c. P-39.1 telle que modifiée par le projet de loi n° 64.

Ce contenu a été mis à jour le 4 décembre 2020 à 16 h 31 min.

Commentaires

Laisser un commentaire