Opinions

Protection des renseignements personnels: faut-il imiter ou innover?

Main image

Antoine Guilmain

2018-03-12 14:25:00

La protection des renseignements personnels doit être repensée, mais la solution est moins évidente à trouver...

Mes Antoine Guilmain, Karl Delwaide et Antoine Aylwin, avocats au cabinet Fasken
Mes Antoine Guilmain, Karl Delwaide et Antoine Aylwin, avocats au cabinet Fasken
Mes Antoine Guilmain, Antoine Aylwin et Karl Delwaide, avocats au cabinet Fasken ont rédigé cette opinion publiée dans Le Devoir.

La protection des renseignements personnels doit être repensée à l’heure des technologies de l’information et des nouveaux modèles d’affaires — pensons au Big Data, à l’Internet des objets ou encore à l’intelligence artificielle qui étaient absents de notre quotidien il y a encore quelques années.

Voilà une question qui fait aujourd’hui l’unanimité partout dans le monde. La solution est, quant à elle, moins évidente à trouver. Et, tandis que l’Union européenne met le cap sur une direction qui lui est propre, le Canada semble encore chercher sa voie. On veut assurément innover… oui, mais comment ? En inventant ou en imitant ? Les députés fédéraux semblent aujourd’hui privilégier la deuxième option, soit la voie de l’imitation de nos voisins européens.

Il y a quelques jours, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique déposait son rapport quinquennal à la Chambre des communes intitulé Vers la protection de la vie privée dès la conception : examen de la Loi sur la protection des renseignements personnels et les documents électroniques. Il faut ici souligner que cette loi fédérale vise les organisations du secteur privé ayant des activités commerciales dans la plupart des provinces, à l’exception dans certaines circonstances du Québec, de l’Alberta et de la Colombie-Britannique disposant de leurs propres lois.

Dans le cadre de cet examen parlementaire, le Comité formule 19 recommandations de modification de la loi fédérale en s’appuyant sur une analyse d’une centaine de pages. À la lecture du rapport, on peut toutefois s’étonner de voir autant de références au système européen : l’« Union européenne » est citée pas moins de 25 fois, tandis que l’occurrence « RGPD » (pour Règlement général sur la protection des données) se retrouve à 36 reprises.

La nouvelle réglementation européenne en matière de protection des données personnelles est assurément un incontournable, mais on parle bien du Canada ayant sa propre histoire et ses propres spécificités en matière de vie privée. Plus avant, il faut garder à l’esprit le proverbe bien connu « qui veut imiter la démarche de l’autre ne fait que perdre la sienne ». Cela dit, le rapport présente toutefois des pistes de réflexion fort intéressantes, notamment quant au développement « responsable » de l’intelligence artificielle. C’est sur ces « plus » et ces « moins » que nous aimerions insister.

Réflexion constructive

Entendons-nous : il n’est pas interdit de parler, voire même de s’inspirer, de la réglementation européenne, qui est particulièrement audacieuse et originale, il faut bien l’admettre. La nuance est toutefois mince entre « s’inspirer » et « copier-coller ». En l’occurrence, le rapport propose une réflexion certes constructive, mais l’analyse apparaît parfois presque mécanique, comme s’il fallait nécessairement faire un effort de type « check-the-box » entre le droit canadien et le droit européen.

La plupart des recommandations recoupent ainsi des concepts qui sont mis en avant dans la réglementation européenne. Il faudrait ainsi modifier le droit canadien pour tenir compte des intérêts d’affaires légitimes, des nuances entre anonymisation et pseudonymisation, du consentement des mineurs, de la portabilité des données, du droit à l’effacement et au déréférencement ou encore des notions de Privacy by Design et de Privacy by Default.

Les Européens n’ont évidemment pas l’apanage de ces différentes idées, il n’en demeure pas moins qu’un sentiment de « voie unique » se dégage de ce rapport. À ce stade, il faut noter qu’en matière de flux transfrontaliers de données, la notion du caractère « adéquat » (ou équivalent) des protections accordées aux renseignements personnels est un enjeu crucial. En ce sens, le rapport y consacre une partie importante, et ce, à juste titre.

Cependant, la quête du Graal « adéquation » ne signifie certainement pas que l’approche canadienne puisse être dictée ipso facto par l’Union européenne.

Cela étant dit, soulignons toutefois que le rapport contient des développements plus novateurs que d’autres, notamment quant aux pouvoirs d’exécution du Commissaire à la protection de la vie privée ou encore à l’étude de l’approche états-unienne. Ce constat se vérifie particulièrement concernant les enjeux de l’intelligence artificielle.

Le Comité exhorte ainsi le gouvernement du Canada à « envisager la prise de mesures visant à améliorer la transparence algorithmique ». À l’heure où les projets et réussites se multiplient au Canada dans ce secteur, particulièrement à Montréal, et compte tenu du besoin criant de sécurité juridique pour tous les intervenants, y compris les entreprises innovantes, cette recommandation fait jaillir une lueur d’espoir. Elle doit maintenant s’accompagner de véritables discussions sur le plan éthique, tout en s’inscrivant dans un cadre normatif équilibré et compétitif. L’intelligence artificielle ne doit pas opposer, mais bien rassembler toutes les parties prenantes.

Au bout du compte, le modèle canadien de protection des renseignements personnels doit tracer sa propre voie, trouver son propre équilibre. À ce chapitre, peut-être convient-il de mieux considérer les propos du législateur (lui-même !) qui se retrouvent dans la loi fédérale, soit de tenir compte du droit des individus à la vie privée et du besoin des organisations de traiter des renseignements personnels dans une ère où la technologie modifie la donne.


Antoine Guilmain, Barreau 2016, est membre du groupe Protection de l’information et de la vie privée. Antoine Aylwin, Barreau 2003, est associé et sa pratique est axée sur le litige successoral et fiduciaire, l’accès à l’information et la protection des renseignements personnels. Karl Delwaide, Barreau 1979, est associé et conseille des entreprises privées et des organismes publics, et les représente dans ces domaines, devant la Commission d’accès à l’information du Québec et d’autres tribunaux, y compris la Cour fédérale.
10521

1 commentaire

  1. Anonyme
    Anonyme
    il y a 6 ans
    Tout ça c'est du vent
    Le cadre juridique actuel permettrait de sévir contre les médecins qui, pour économiser sur les frais de stockage, ont acceptée que le stockage de dossiers de patiens dans le "cloud" soit exploité par leur fournisseur de service informatique.

    Pendant ce temps que fait on à Québec ? On trouve que le problème est complexe et on reste les bras croisés, pendant que l'ordre des médecins est bien trop occupé à compter les cennes de ses membres.

Annuler
Remarque

Votre commentaire doit être approuvé par un modérateur avant d’être affiché.

NETiquette sur les commentaires

Les commentaires sont les bienvenus sur le site. Ils sont validés par la Rédaction avant d’être publiés et exclus s’ils présentent un caractère injurieux, raciste ou diffamatoire. Si malgré cette politique de modération, un commentaire publié sur le site vous dérange, prenez immédiatement contact par courriel (info@droit-inc.com) avec la Rédaction. Si votre demande apparait légitime, le commentaire sera retiré sur le champ. Vous pouvez également utiliser l’espace dédié aux commentaires pour publier, dans les mêmes conditions de validation, un droit de réponse.

Bien à vous,

La Rédaction de Droit-inc.com

PLUS

Articles similaires