Il arrive parfois qu’un cadeau tant attendu, emballé dans du papier brillant, déçoive une fois ouvert. C’est le cas du projet de loi C-11, présenté en novembre 2020, qui comprenait la Loi sur la protection de la vie privée des consommateurs (CPPA).
Présenté comme la concrétisation des engagements en matière de protection de la vie privée pris dans la Charte numérique, et comme une réponse à une décennie d’appels en faveur d’une réforme significative de la législation sur la protection de la vie privée dans le secteur privé, ce projet de loi comporte, à première vue, un certain nombre d’éléments souhaités par les défenseurs de la vie privée : l’intégration des données anonymisées dans le champ d’application de la loi, la prise en compte de la transparence pour les décisions automatisées, l’ajout de dispositions relatives à la portabilité des données et le renforcement considérable des pouvoirs d’application de la loi du Commissariat à la protection de la vie privée du Canada (CPVP).
Mais ce vieux cliché selon lequel « le diable se cache dans les détails » n’a jamais été aussi vrai que lorsqu’il s’agit d’un texte législatif de 122 pages. Une analyse approfondie des particularités de ces dispositions met en évidence leurs lacunes. Prenons l’exemple du traitement des données anonymisées prévu par le projet de loi C-11 : s’il est correctement mis en œuvre et bien réglementé, il peut contribuer à la protection de la vie privée et au renforcement de la sécurité. Les données anonymisées sont traitées de manière à ne pas pouvoir être utilisées pour identifier un individu. Il s’agit indéniablement d’un processus qui porte sur des informations personnelles, générées par des transactions et des comportements individuels — mais si elles sont traitées correctement, elles ne devraient pas pouvoir être reliées à un individu identifiable. Cependant, de nombreuses recherches confirment que l’anonymisation ne sera jamais infaillible à l’ère du big data. Et ces données sont de plus en plus utilisées pour prendre des décisions lourdes de conséquences concernant des individus et des groupes. Ainsi, compte tenu des risques et des répercussions, le fait d’intégrer sans ambiguïté les données anonymisées dans le champ d’application de la loi constituerait une avancée pour la protection de la vie privée. Non pas pour en interdire l’utilisation, mais pour garantir que le traitement et l’utilisation de ces données s’inscrivent dans un cadre de responsabilité et de transparence, avec des conséquences en cas de préjudice et des interdictions strictes en matière de réidentification.
La loi C-11 n’est toutefois pas sans ambiguïté. Elle autorise l’anonymisation des données sans consentement à trois fins : pour la recherche interne, dans le cadre d’une transaction commerciale envisagée, ou lorsque la divulgation est effectuée à des fins d’intérêt général prescrites. Cela signifie-t-il que les données anonymisées ne peuvent être utilisées sans consentement qu’à ces fins ? Un consentement serait-il requis pour d’autres fins ? Ou bien d’autres fins sont-elles interdites ?
Si nous disposions de suffisamment d’espace et de temps, nous pourrions passer en revue chacune des autres avancées que l’on peut percevoir à première vue dans ce projet de loi. Nous pourrions ensuite nous pencher sur toutes les défaites cuisantes — notamment la tentative avortée de remédier à l’insuffisance croissante d’un régime fondé uniquement sur le consentement, par l’ajout d’une série d’exceptions pour les « opérations commerciales » qui, contrairement aux dispositions similaires du Règlement général sur la protection des données européen, ne sont pas limitées par la reconnaissance de la vie privée en tant que droit humain. Les exceptions prévues dans les cas où « l’obtention du consentement de la personne serait impossible car l’organisation n’entretient pas de relation directe avec celle-ci » rappellent le fournisseur de reconnaissance faciale Clearview AI, la société qui a collecté sans consentement des milliards d’images sur Internet et qui a fait l’objet de conclusions cinglantes de la part du Commissariat à la protection de la vie privée, qui l’a qualifiée de facilitatrice de la surveillance de masse.
En fin de compte, le véritable critère est le suivant : si le projet de loi C-11 avait été adopté, la protection de la vie privée des citoyens canadiens aurait-elle été renforcée ? Le déséquilibre des pouvoirs entre les entreprises collectrices de données et les particuliers aurait-il été atténué ? Plus concrètement, les récents scandales liés aux données personnelles — l’affaire Facebook/Cambridge Analytica visant à compromettre des élections démocratiques, la fourniture d’outils de reconnaissance faciale de Clearview AI aux forces de police à travers le pays, l’utilisation non consentie de l’analyse faciale par Cadillac Fairview — auraient-ils été évités ou, à tout le moins, les responsables auraient-ils été tenus de faire face plus efficacement aux conséquences de leurs actes ? La triste réponse est non. Non seulement il aurait été plus facile d’invoquer des exceptions au consentement, mais le Commissaire à la protection de la vie privée note que les violations du consentement ne seraient pas visées par les sanctions administratives.
La loi C-11 ne suffit pas à répondre à la réalité selon laquelle les modèles économiques du XXIe siècle nous considèrent non seulement comme des consommateurs, mais aussi comme des objets de consommation. Des protections plus solides sont nécessaires pour garantir que l’innovation fondée sur les données respecte le droit à la vie privée, notamment en raison des répercussions en aval sur les droits connexes, dont celui à l’égalité. Le Canada accuse un retard dans l’adoption des technologies, en partie parce que la confiance sociale dans les technologies innovantes fondées sur les données est actuellement au plus bas. De meilleures lois sur la protection de la vie privée, une meilleure protection, une plus grande confiance, de meilleures affaires. La bonne nouvelle, c’est que ce projet de loi, qui n’avait l’air bien que de l’extérieur, a été renvoyé à l’expéditeur lorsque le Parlement a été dissous. Espérons que ses auteurs tireront les leçons de l’accueil qui lui a été réservé et que son remplaçant méritera d’être conservé.
[Cet article a été publié par The Hill Times le 27 octobre 2021 sous forme d’éditorial. Il arrive parfois qu’un cadeau tant attendu, emballé dans du papier brillant, déçoive une fois ouvert. C’est le cas du projet de loi C-11, présenté en novembre 2020, qui comprenait la Loi sur la protection de la vie privée des consommateurs (LPPC).Présenté comme la concrétisation des engagements en matière de protection de la vie privée pris dans la Charte numérique, et comme une réponse à une décennie d’appels en faveur d’une réforme significative de la législation sur la protection de la vie privée dans le secteur privé, ce projet de loi comporte, à première vue, un certain nombre d’éléments souhaités par les défenseurs de la vie privée : l’intégration des données anonymisées dans le champ d’application de la loi, la prise en compte de la transparence pour les décisions automatisées, l’ajout de dispositions relatives à la portabilité des données, ainsi que des améliorations importantes des pouvoirs d’application de la loi du Commissariat à la protection de la vie privée du Canada (CPVP).
Mais ce vieux cliché selon lequel « le diable se cache dans les détails » n’a jamais été aussi vrai que lorsqu’il s’agit d’un texte législatif de 122 pages. Une analyse approfondie des particularités de ces dispositions met en évidence leurs lacunes. Prenons l’exemple du traitement des données anonymisées prévu par le projet de loi C-11 : s’il est correctement mis en œuvre et bien réglementé, il peut contribuer à protéger la vie privée et à renforcer la sécurité. Les données anonymisées sont traitées de manière à ne pas pouvoir être utilisées pour identifier un individu. Il s’agit indéniablement d’un processus qui porte sur des informations personnelles, générées par des transactions et des comportements individuels — mais si elles sont traitées correctement, elles ne devraient pas pouvoir être reliées à un individu identifiable. Cependant, de nombreuses recherches confirment que l’anonymisation ne sera jamais infaillible à l’ère du big data. Et ces données sont de plus en plus utilisées pour prendre des décisions lourdes de conséquences concernant des individus et des groupes. Ainsi, compte tenu des risques et des répercussions, le fait d’intégrer sans ambiguïté les données anonymisées dans le champ d’application de la loi constituerait une avancée pour la protection de la vie privée. Non pas pour en interdire l’utilisation, mais pour garantir que le traitement et l’utilisation de ces données s’inscrivent dans un cadre de responsabilité et de transparence, avec des conséquences en cas de préjudice et des interdictions strictes en matière de réidentification.
La loi C-11 n’est toutefois pas sans ambiguïté. Elle autorise l’anonymisation des données sans consentement à trois fins : pour la recherche interne, dans le cadre d’une transaction commerciale envisagée, ou lorsque la divulgation est effectuée à des fins d’intérêt général prescrites. Cela signifie-t-il que les données anonymisées ne peuvent être utilisées sans consentement qu’à ces fins ? Le consentement serait-il requis pour d’autres fins ? Ou bien d’autres fins sont-elles interdites ?
Si nous disposions de suffisamment d’espace et de temps, nous pourrions passer en revue chacune des autres avancées que l’on peut percevoir à première vue dans ce projet de loi. Nous pourrions ensuite nous pencher sur toutes les défaites cuisantes — notamment la tentative avortée de remédier à l’insuffisance croissante d’un régime fondé uniquement sur le consentement, par l’ajout d’une série d’exceptions pour les « opérations commerciales » qui, contrairement aux dispositions similaires du Règlement général sur la protection des données européen, ne sont pas limitées par la reconnaissance de la vie privée en tant que droit humain. Les exceptions prévues dans les cas où « l’obtention du consentement de la personne serait impossible car l’organisation n’entretient pas de relation directe avec celle-ci » rappellent le fournisseur de reconnaissance faciale Clearview AI, la société qui a collecté sans consentement des milliards d’images sur Internet et qui a fait l’objet de conclusions cinglantes de la part du Commissariat à la protection de la vie privée, qui l’a qualifiée de facilitatrice de la surveillance de masse.
En fin de compte, le véritable critère est le suivant : si le projet de loi C-11 avait été adopté, la protection de la vie privée des citoyens canadiens serait-elle renforcée ? Le déséquilibre des pouvoirs entre les entreprises collectrices de données et les particuliers aurait-il été atténué ? Plus concrètement, les récents scandales liés aux données personnelles — l’affaire Facebook/Cambridge Analytica visant à compromettre des élections démocratiques, la fourniture d’outils de reconnaissance faciale de Clearview AI aux forces de police à travers le pays, l’utilisation non consentie de l’analyse faciale par Cadillac Fairview — auraient-ils été évités ou, à tout le moins, les responsables auraient-ils été contraints de faire face plus efficacement aux conséquences de leurs actes ? La triste réponse est non. Non seulement il aurait été plus facile d’invoquer des exceptions au consentement, mais le Commissaire à la protection de la vie privée note que les violations du consentement ne seraient pas visées par les sanctions administratives.
La loi C-11 ne suffit pas à répondre à la réalité selon laquelle les modèles économiques du XXIe siècle nous considèrent non seulement comme des consommateurs, mais aussi comme des objets de consommation. Des protections plus solides sont nécessaires pour garantir que l’innovation fondée sur les données respecte le droit à la vie privée, notamment en raison des répercussions en aval sur les droits connexes, dont celui à l’égalité. Le Canada accuse un retard dans l’adoption des technologies, en partie parce que la confiance sociale dans les technologies innovantes fondées sur les données est actuellement au plus bas. De meilleures lois sur la protection de la vie privée, une meilleure protection, une plus grande confiance, de meilleures affaires. La bonne nouvelle, c’est que ce projet de loi, qui n’avait l’air bien que de l’extérieur, a été renvoyé à l’expéditeur lorsque le Parlement a été dissous. Espérons que ses auteurs tireront les leçons de l’accueil qui lui a été réservé et que son remplaçant méritera d’être conservé.
[Publié à l’origine dans The Hill Times, le 27 octobre 2021]
