Rapport auprès de la Commission d'accès à l'information (CAI)
La CAI (commission d’accès à l’information) a demandé au CRDP son avis relativement à quelques changements envisagés à la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, C P-39.1). Fort de cette confiance, j’ai eu le plaisir de constituer une «équipe d’experts» intéressés aux questions de vie privée et aux changements, immanquables, que les technologies opèrent. Des échanges ont donc été entamés avec les personnes suivantes:
- Vincent Gautrais, professeur titulaire, avocat, directeur du CRDP, titulaire de la Chaire L.R. Wilson,
- Karim Benyekhlef, professeur titulaire, avocat, directeur du Laboratoire de cyberjustice, titulaire de la chaire Lexum,
- Pierre-Luc Déziel, post-doctorant (CRDP), coordonnateur (CRDP),
- Éloïse Gratton, avocate, associée et cochef national du groupe Respect de la vie privée et protection des données, Borden Ladner Gervais S.E.N.C.R.L., S.R.L., docteure en droit (UdeM), chargée de cours (UdeM), chercheure associée au CRDP,
- Pierre Trudel, professeur titulaire, avocat,
- Nicolas Vermeys, professeur agrégé, avocat, directeur adjoint du Laboratoire de cyberjustice.
En les remerciant de leur apport, je vous souhaite une bonne lecture du présent rapport que tend à fédérer le fruit de nos consensus.
****************************
Montréal, le 27 novembre 2015
Monsieur Jean Chartier
Président
COMMISSION D’ACCÈS
À L’INFORMATION DU QUÉBEC
Bureau 1.10
575, rue Saint-Amable
Québec (QC) G1R 2G4
Objet: Consultations relatives à l’actualisation de la Loi sur la protection des renseignements personnels dans le secteur privé
Monsieur le président,
Le 21 octobre dernier, vous m’adressiez une lettre à titre de directeur du Centre de recherche en droit public (CRDP) afin de nous solliciter relativement à quatre (4) questions précises en lien avec la Loi sur la protection des renseignements personnels dans le secteur privé (RLRQ, c. P-39.1) (ci-après « LPRPSP »). Fort de la confiance que constitue cette demande d’avis, nous avons mis en place une équipe d’experts sur ces questions afin de vous proposer des réponses qui représentent, autant que faire ce peu, une position somme toute assez consensuelle. Aussi, le présent document constitue un court exposé, fruit de discussions, échanges entre les personnes suivantes qui prétendent bien connaître les enjeux légaux de la vie privée :
- Vincent Gautrais, professeur titulaire, avocat, directeur du CRDP, titulaire de la Chaire L.R. Wilson,
- Karim Benyekhlef, professeur titulaire, avocat, directeur du Laboratoire de cyberjustice, titulaire de la chaire Lexum,
- Pierre-Luc Déziel, post-doctorant (CRDP), coordonnateur (CRDP),
- Éloïse Gratton, avocate, associée et cochef national du groupe Respect de la vie privée et protection des données, Borden Ladner Gervais S.E.N.C.R.L., S.R.L., docteure en droit (UdeM), chargée de cours (UdeM), chercheure associée au CRDP,
- Pierre Trudel, professeur titulaire, avocat,
- Nicolas Vermeys, professeur agrégé, avocat, directeur adjoint du Laboratoire de cyberjustice.
La notion de renseignement personnel
Q1 a). Selon vous, y aurait-il lieu de revoir la notion de renseignement personnel afin de préciser spécifiquement qu’elle englobe les renseignements qui, par un effort raisonnable, sont susceptibles de servir à identifier la ou les personnes concernées? La notion de renseignement personnel devrait-elle être définie de manière plus précise, par exemple en excluant ou incluant spécifiquement certaines catégories de renseignements, comme dans certaines autres législations? Serait-il pertinent de prévoir la notion de renseignements sensibles?
Réponse :
En tout premier lieu, il importe de préciser que modifier une loi, quelle que soit le domaine confronté aux technologies nouvelles, est source à difficultés. Nombreux sont les auteurs de doctrine ancienne (Portalis, Montesquieu, Carbonnier) et moderne qui évoquèrent l’idée de « légiférer en tremblant ». Également, et de façon paradoxale, il est souvent plus simple pour les juges d’interpréter de vieux textes que des plus récents[1]. Toujours quant à l’outil législatif, et pour reprendre un cycle de conférence que nous organisons en ce moment et s’intitulant « Normes énormes »[2], on constate davantage une excroissance des lois qui semblent poindre çà et là, sans pourtant pouvoir apercevoir une amélioration en terme d’efficacité, de protection et de clarté, et ce, au regard notamment de la réponse qui en découle des tribunaux. Notons enfin que la définition actuelle de renseignement personnel dans la LPRPSP n’est pas sensiblement différente de celles que l’on voit dans les lois provinciales canadiennes (Colombie Britannique[3] et Alberta[4]) et fédérale (LPRPDE; art. 2)[5] et que le rapprochement envisagé avec le droit européen serait en revanche susceptible de créer une possible distanciation d’avec le droit canadien.
En deuxième lieu, la jurisprudence applicable en la matière ne semble pas soulever de difficultés particulières. Plus précisément, il ne semble pas que l’on puisse constater de manquements grossiers en terme de protection; plus exactement, de manquements qui soient consécutifs à cette définition synthétique que l’on trouve à l’article 2. En effet, la jurisprudence, et notamment celle de la CAI, semble être pour le moins inclusive et englobante[6].
En troisième lieu, notons que cette définition « minimaliste » n’empêche aucunement une interprétation évolutive de la notion. En effet, on constate notamment que de plus en plus, la définition de renseignement personnel est attaché au « dommage » ou au « risque de dommage » que sa circulation est susceptible d’occasionner[7]. Cette précision interprétative est en effet requise afin de traiter des situations, de plus en plus fréquentes, où des renseignements personnels sont utilisés, et ce, sans qu’aucun danger pour l’individu ne soit susceptible de survenir[8]. Il serait toutefois possible d’envisager une modification mineure visant à préciser qu’un renseignement personnel est un renseignement qui concerne une personne physique et qui, seul ou avec d’autres, permet de l’identifier. Cette précision se trouve, par exemple, à l’article 4 de la Loi de 2004 sur la protection des renseignements personnels sur la santé, L.O. 2004, c. 3 de l’Ontario. Une telle modification permettrait de minimiser les risques d’atteintes à la vie privée découlant des activités de couplage de données, et ce, sans alourdir de manière inutile la définition du renseignement personnel.
Enfin, en quatrième et dernier lieu, et si nous voulons être conséquent avec le propos précédemment cité, notre groupe n’est pas totalement persuadés de l’importance d’intégrer une sous-catégorie particulière de « donnée sensible ». En effet, bien que la notion ne soit pas expressément identifiée dans la LPRPSP, l’article 10 prend le soin de contextualiser certaines opérations en fonction de la sensibilité des renseignements. Ainsi, nous ne sommes pas sûr de l’apport de protection que constituerait un tel ajout; au-delà du dérangement qu’un tel changement législatif opèrerait. À cet égard, la situation n’est pas fondamentalement différente en droit fédéral où la LPRPDE traite uniquement de sensibilité en ce qui au consentement[9]; consentement qui de toutes les manière doit être « manifeste, libre et éclairé » dans la LPRPSP[10]. L’approche actuelle est aussi rigoureusement identique à ce qui est prévu dans la Loi sur l’accès où l’article 63.1 de la Loi sur l’accès est un copier / coller de l’article 10 LPRPSP.
______________________________
[1] Vincent GAUTRAIS, Neutralité technologique: rédaction et interprétation des lois face aux technologies, Thémis, Montréal, mai 2012, p. 131.
[2] http://www.rdcg.org/docs/Cycle2015_Depliant.pdf
[3] Personal Information Protection Act, .SBC 2003, c 63.
[4] Personal Information Protection Act, SA 2003, c P-6.5.
[5] Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5.
[6] En vertu de la LPRPSP, un renseignement personnel est celui permettant de faire connaître quelque chose (le renseignement) à quelqu’un, qui a rapport avec une personne physique et susceptible de distinguer cette personne par rapport à quelqu’un d’autre. La loi vise non seulement les renseignements portant sur l’identification d’une personne, mais également tous ceux qui la concernent et qui font partie de son histoire, de sa personnalité ou de son patrimoine et qui permettent d’y relier son identité propre. Voir Commission des droits de la personne et des droits de la jeunesse c. Institut Demers Inc., [1999] R.J.Q. 3101, REJB 1999-14673 (T.D.P.). Un renseignement personnel est « intimement lié » à la personne, notamment s’il a trait à son habileté, ses capacités mentales, son crédit ou son caractère, voir M.N. c. Entreprise A, 2012 QCCAI 258. Un rapport d’expert en sinistres peut contenir des renseignements personnels lorsque les faits, les factures, les commentaires et les photographies de la résidence contenus à ce rapport concernent directement le demandeur et permettent de l’identifier. Voir à ce sujet : Boucher c. Assurances générales des Caisses Desjardins, [1999] C.A.I. 52 (C.A.I.); Bouffard c. Assurances générales des Caisses Desjardins, [2000] C.A.I. 110, 2000AIE-30 (C.A.I.).
[7] Éloise GRATTON, Understanding Personal Information : Managing Privacy Risks, LexisNexis, Markham (On.), 2013 ; Vincent GAUTRAIS, « Proposition de Règlement général sur la protection des données : un regard d’ailleurs… », dans Nathalie Martial-Braz (dir.), La proposition de règlement européen relatif aux données à caractère personnel, Collection Trans Europe Experts, Société de législation comparée, Paris, 2014, pp. 464-493.
[8] Éloise GRATTON, Understanding Personal Information : Managing Privacy Risks, LexisNexis, Markham (On.), 2013.
[9] Voir notamment Loi sur la protection des renseignements personnels et les documents électroniques, LC 2000, c 5, et particulièrement l’annexe 1.
[10] LPRPSP, art. 14.
La notion de dossier et d’objet du dossier à l’ère numérique
Q2. (…) les concepts de fichier (Loi sur l’accès) et de dossier de renseignements personnels (LPRPSP) sont-ils encore adéquats à l’ère numérique?
Réponse :
Le terme de fichier est absent de la LPRPSP; il est en revanche présent dans la LAPRPSP mais sans totalement se substituer au terme de dossier. Si le présent questionnaire s’intéresse uniquement à la LPRPSP, nous croyons que cette confusion entre les deux lois est préjudiciable et que le terme, et cette confusion, devrait être considérés lors d’un éventuel examen de la LAPRPSP.
Le terme de dossier, dans son appellation même, n’est pas exonéré d’une certaine appartenance au papier; d’une appartenance certaine en fait. D’ailleurs les auteurs Delwaide et Aylwin[11], se basant sur certaines décisions[12], prennent le soin de mentionner que « le terme « dossier » comprend tout ce qui est versé dans le dossier physique avec le nom de la personne concernée »[13]. Cette compréhension semble clairement être celle que le législateur avait en tête lorsque la loi a été rédigée.
Ceci étant dit, il est néanmoins possible de transposer la notion de dossier au monde du numérique. D’ailleurs, le terme est spécifiquement prévu dans la Loi concernant le cadre juridique des technologies de l’information.
« Art. 3 : Un dossier peut être composé d’un ou de plusieurs documents. »
Ainsi, un dossier est capable de fédérer divers documents qui disposent entre eux d’une logique structurante. Cette logique n’est pas seulement « physique » (faire partie de la même filière) mais est susceptible de s’appliquer à des documents qui du fait de leur nature doivent être reliés entre eux. En fait, face à une notion qui a été « pensée » pour l’analogique, on est en mesure d’appliquer une interprétation basée sur l’équivalence fonctionnelle[14] afin d’arriver au même résultat.
Nous croyons donc qu’au-delà de la capacité instrumentale d’opérer ce passage du papier au numérique, cette transition respectera la raison d’être de la LPRPSP, à savoir, la protection des renseignements personnels de l’individu. D’abord, nous croyons que la notion de dossier numérique a pour effet d’étendre l’étendue de la protection aux documents qui constituent la raison d’être du dossier mais éventuellement aux métadonnées qui s’y attachent. Ainsi, le dossier est susceptible d’élargir le domaine d’application de la LPRPSP. La vision extensive de la notion de dossier que l’on trouve dans la jurisprudence pourrait donc tout aussi bien se perpétuer pour ses pendants numériques. Ensuite, à bien des égards, la raison d’être de la notion de dossier est d’identifier au préalable les finalités pour lesquelles le dossier est constitué (ex. : art. 4) et de prévoir par la suite une série de protection. Cette fonction initiale nous fait penser à la protection que l’imputabilité (accountability) autorise particulièrement dans le domaine du numérique. Ainsi, identifier celui qui constitue le dossier (art. 7), identifier les finalités (art. 8), prévenir quant au lieu de stockage des renseignements personnels (art. 8), veiller à leur mise à jour (art. 11), sont autant d’exemples de protections que l’on peut retrouver sous l’égide de l’imputabilité.
Il ne nous semble donc pas nécessaire de prévoir un régime distinct entre analogique et numérique. La notion de dossier présente une capacité d’adaptation qui semble pleinement en adéquation avec les objectifs derrière la LPRPSP.
______________________________
[11] Karl DELWAÏDE et Antoine AYLWIN, « Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec » dans Développements récents en droit de l’accès à l’information (2005), Service de la formation permanente du Barreau du Québec, 2005, EYB2005DEV1092, à la p 27.
[12] X. c. S.E.M.O. Drummond inc., [1998] C.A.I. 364. Voir également Assurance-vie Desjardins Laurentienne inc. c. Stébenne, J.E. 97-1951 (C.Q.), REJB 1997-02516, confirmé par la Cour supérieure; Assurance-vie Desjardins-Laurentienne inc. c. Boissonnault, J.E. 1998-995 (C.S.) (appel rejeté, C.A. 2001-11-08).
[13] Karl DELWAÏDE et Antoine AYLWIN, « Leçons tirées de dix ans d’expérience : la Loi sur la protection des renseignements personnels dans le secteur privé du Québec » dans Développements récents en droit de l’accès à l’information (2005), Service de la formation permanente du Barreau du Québec, 2005, EYB2005DEV1092, à la p 27.
[14] Vincent GAUTRAIS, Preuve technologique, LexisNexis, Montréal, 2014, pp. 74-96; Pierre TRUDEL, Introduction à la loi concernant le cadre juridique des technologies de l’information, Cowansville, Éditions Yvon Blais, 2012, pp. 16-19.
La notion de traitement
Q3. Dans le cadre d’une éventuelle actualisation des concepts de protection des renseignements personnels dans un contexte qui doit s’adapter à la réalité numérique, y aurait-il lieu d’intégrer la notion de « traitement des renseignements personnels » dans les lois administrées par la Commission ou d’autrement redéfinir le cycle de vie des renseignements? Si oui, comment?
Réponse :
La notion de traitement est une notion européenne[15] qui ne correspond pas à l’approche qui avait été choisie tant pour la Loi sur l’accès que dans la LPRPSP. Davantage, cette dernière a opté pour une approche distincte selon le type d’opération qui est effectué. En effet, la LPRPSP opère une distinction, avec des articles dédiés, selon que l’organisation effectue une communication, une utilisation, une collecte, une transmission, une conservation, une détention d’un renseignement personnel[16]. Cette approche nous apparaît meilleure, de beaucoup, que l’approche globalisante que l’on aperçoit en Europe.
Dans un premier temps, cette approche plus fine, plus en lien avec la réalité que l’on tente de réguler, ne semble aucunement être la source de difficultés particulières en terme de protection. En effet, cette distinction en fonction de l’opération ne constitue pas un empêchement de protéger le citoyen contre un usage indu de ses données personnelles. Au contraire, dans l’optique européenne, la notion de traitement est source à difficultés dans la mesure où dans certains cas, elle peut être la source d’une « sur-protection » (over-inclusiveness)[17]. Cette finesse dans la distinction des opérations est selon nous basée sur des opérations où la capacité de contrôle des détenteurs des renseignements personnels est différente[18]. De ce fait, il n’est pas illogique d’adapter la protection à cette capacité de contrôle et plus indirectement au risque de dommage qui en découle[19].
Dans un second temps, cette approche distincte selon le type d’opération est celle qui a été préconisée dans la Loi concernant le cadre juridique des technologies de l’information[20]. Cette loi en effet évoque plusieurs opérations de conservation, prévoit aussi le cas de la transmission et de la communication, qui bien sûr, sont susceptibles de s’appliquer à celles que l’on prévoit dans la LPRPSP. Là encore, modifier ce texte législatif serait susceptible de mettre à mal la cohérence interne entre différentes lois québécoises.
Assurément, opter pour une telle démarche, dans une optique d’harmonisation avec l’Europe, constituerait une marque d’acculturation qui présenterait une rupture avec la jurisprudence disponible à ce jour. Cela constituerait aussi une rupture avec la Loi sur l’accès qui elle aussi n’a pas choisi d’opter pour cette vision globalisante du traitement.
______________________________
[15] directive 95/46/CE du Parlement et Conseil des Communautés européennes du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. » (Nos soulignements)
[16] LPRPSP, art. 10.
[17] Lyria BENNETT MOSES, « Adapting the Law to Technological Change : a Comparison of Common law and Legislation », (2003) 26-2 University of New South Wales Law Journal 394, évoque la « possible over-inclusiveness or under-inclusiveness of existing legal rules as applied to new practices »
[18] Vincent GAUTRAIS et Pierre TRUDEL, Circulation des renseignements personnels et web 2.0, Éditions Thémis, Montréal, 2010, p. 159.
[19] Éloise GRATTON, Understanding Personal Information : Managing Privacy Risks, LexisNexis, Markham (On.), 2013.
[20] Loi concernant le cadre juridique des technologies de l’information, RLRQ c C-1.1.
Profilage et mégadonnées
Q4. Selon vous, serait-il opportun d’évaluer la possibilité d’encadrer le profilage et le traitement massif de mégadonnées dans la Loi sur le secteur privé?
Réponse :
La notion de mégadonnées est à la mode! Et à juste titre, il importe et il importera d’encadrer cette pratique révolutionnaire. Ceci dit, nous ne sommes pas sûr qu’aussi majeure que puisse être cette « innovation », qu’il faille prévoir un cadre législatif spécifique pour ce faire.
En premier lieu, La révolution technologique que nous vivons actuellement ne se règlera pas par l’approche « pointilliste » qui semble de mise avec la présente réforme. En effet, la protection des renseignements personnels, afin de s’arrimer le mieux possible aux changements récurrents des technologies, doit conserver une généralité respectant par le fait même une distanciation technologique (s’appliquant par le fait même à tous les supports).
En deuxième lieu, et non sans lien, il importe de considérer la protection des renseignements personnels sans trop axer la réflexion et l’équilibre des intérêts catégoriels en cause sur les technologies elles-mêmes. Davantage, il importe d’avoir à l’esprit que les technologies changent la donne non pas en tant que tel mais plutôt sur les rapports de force qui sont nécessairement bouleversés par l’innovation.
En troisième lieu, les questions de mégadonnées peuvent avoir quelques incidences en matière de protection de renseignements personnels mais bien souvent les enjeux sont plus généraux, considérant davantage la vie privée que la protection des renseignements personnels à proprement parler.
Enfin en quatrième lieu, il importe d’avoir un meilleur aperçu de la dangerosité associée à de telles pratiques. Si certaines sont clairement problématiques, d’autres sont sans doute tolérables. Cela peut par exemple être le cas de la publicité comportementale qui pose parfois problème alors que d’autres situations sont supportables[21].
______________________________
[21] Eloïse Gratton, « If Personal Information is Privacy’s Gatekeeper, then Risk of Harm is the Key: A proposed method for determining what counts as personal information », (2013) 24-1 Albany Law Journal of Science & Technology,1.
Une réflexion plus globale s’impose donc. Non sans minimiser l’importance des changements, nous croyons donc que les questions de protection des renseignements personnels passent par une réflexion plus « macro » et notamment sur les sujets suivants :
- Amélioration des pouvoirs de contrôle de la CAI;
- Amélioration de la collaboration de la CAI avec d’autres organisations provinciales et fédérales sur les questions de protection des renseignements personnels;
- Appréhension du rôle de la CAI dans une perspective internationale;
- Redéfinition du rôle de la LPRPSP par rapport à d’autres outils normatifs;
- Notification des bris de sécurité; Etc.
Vous l’aurez compris, nous ne sommes pas en train de prôner l’immobilisme; simplement, nous croyons que les quelques questionnements qui nous ont été présentés dans cette série d’interrogations concerne un domaine d’activité qui mérite un traitement global et qui ne nous semble pas pouvoir bénéficier d’une évolution aussi parcellaire.
En espérant que ces quelques lignes sauront vous être profitables. L’ensemble de l’équipe qui participa à la réflexion de ce très court document vous en espère bonne réception et se tient à votre disposition pour en parler plus avant. Au nom de cette équipe constituée pour l’occasion, recevez nos plus respectueuses salutations.
Vincent Gautrais
Directeur CRDP
Ce contenu a été mis à jour le 4 décembre 2015 à 13 h 57 min.
Commentaires