Texte de mon allocution d’ouverture – Legal IT 2022 : La protection de la vie privée à la croisée des chemins

Il me fait plaisir de partager le texte de mon allocution d’ouverture préparé pour l’événement Legal IT 2022 (15ème édition) qui sera disponible en rediffusion dès demain sur la plateforme.

Un grand merci à Simon Du Perron pour son aide précieuse.

***

Bonjour à tous,

Je tiens d’abord à remercier le comité organisateur de la conférence de m’avoir invité à prononcer l’allocution d’ouverture de la 15e édition de Legal.IT.  D’ailleurs, je suis particulièrement ravie de voir que la conférence demeure un incontournable pour les juristes passionnés par les technologies et le droit et ce, même en mode virtuel.

En préparant cette allocution, je suis tombée sur la présentation que j’avais donnée à Legal.IT en 2013. Ma présentation portait sur la sécurité des renseignements personnelset sur les enjeux touchant aux transferts transfrontaliers de renseignements personnels et au recours à l’infonuagique. J’ai été surprise de voir que ce dont je parlais il y a presque dix ans, comme quoi nos lois n’ont pas été conçues avec les technologies en tête et que dans ce contexte, la notion de « consentement » est difficilement applicable en pratique, sont encore pertinents aujourd’hui! C’est dire à quel point cela a pris du temps pour moderniser notre cadre juridique.

Et bien justement, on est maintenant arrivé au moment de réformer la législation en matière de protection de la vie privée au Canada à la lumière notamment du Règlement général sur la protection des données en Europe. Je pense que ce n’est pas une surprise pour personne qui assiste à l’événement  Legal.IT aujourd’hui quand je vous dis que le Québec est la première province à moderniser ses lois en matière de protection des renseignements personnels avec l’adoption du projet de loi n° 64 en septembre 2021, qui entrera en vigueur au cours des trois prochaines années.

Au fédéral, le gouvernement avait déposé une réforme de la loi fédérale (PIPEDA) en novembre 2020 avec le projet de loi C-11 qui est mort au feuilleton avec le déclenchement des élections l’été dernier. On commence toutefois à entendre des rumeurs voulant que le gouvernement déposerait une version révisée de ce projet de loi d’ici la fin de l’année (peut-être même d’ici le mois de juin).

En Colombie-Britannique, l’assemblée législative a déposé un rapport en décembre 2021 qui émet plusieurs recommandations pour la réforme de la loi provinciale en matière de protection des renseignements personnels dans le secteur privé.

Le gouvernement de l’Ontario a également déposé un livre blanc à l’été 2021 qui propose de doter la province d’une loi spécifique en matière de protection des renseignements personnels dans le secteur privé à l’instar du Québec, de l’Alberta et de la Colombie-Britannique.

Un véritable vent de réforme souffle au pays en matière de protection de la vie privée et il est donc tout à fait possible qu’au prochain Legal.IT, la quasi-totalité du cadre juridique canadien en matière de protection des renseignements personnels dans le secteur privé soit en pleine mutation. C’est tout un changement pour les avocats qui pratiquent en droit de la vie privée et en droit des technologies à travers le pays. C’est aussi un excellent moment pour orienter votre pratique vers ce domaine si ça vous intéresse!

Toutes ces propositions de réforme mettent en lumière une question fondamentale, soit comment protéger la vie privée au 21e siècle sans pour autant nuire à l’innovation ? Tel que mentionné, cela fait maintenant plusieurs années que les juristes viennent à Legal.IT pour discuter du fait que notre cadre juridique est à la remorque des plus récents développements technologiques. On est donc en droit de se demander, maintenant que des réformes sont dans le collimateur, comment est-ce qu’on devrait protéger la vie privée des individus en 2022 ?

Pour répondre à cette question, il faut revenir à la base, à la définition de la « vie privée », à ce que l’on cherche à protéger. En effet, on ne peut pas protéger la vie privée sans tenir compte des règles de conduite de la société à un moment donné et des enjeux de l’époque. Je vous invite donc à faire un petit voyage dans le temps avec moi pour voir comment la notion de vie privée a évoluée à travers les époques. Ne vous inquiétez pas, je ne suis pas ici pour donner un cours d’histoire mais je trouve que c’est tout à fait pertinent de comprendre le contexte dans lequel nos lois en matière de protection de la vie privée ont été pensées et adoptées.

Donc, vers la fin du XIXe, c’était la photographie instantanée qui inquiétait les gens – c’était nouveau de pouvoir prendre des photos. Certaines célébrités s’inquiétaient de se faire prendre en photo dans un contexte intime (par exemple dans leur cour arrière) et de se retrouver en première page de la presse populaire. On avait donc défini la vie privée à cette époque comme étant « le droit de vivre en paix, sans être dérangé » (le fameux “right to be let alone” de Louis Brandeis et Samuel D. Warren).

Vers la fin des années ‘40, après la Deuxième Guerre mondiale, la société voulait éviter que l’État puisse utiliser la race, la religion, l’orientation sexuelle, l’affiliation politique ou le handicap de certains individus pour les discriminer, voire éliminer des communautés entières. On donc a redéfini la vie privée comme étant « le droit d’être protégé contre des ingérences dans sa vie familiale, son domicile et sa correspondance. »

Vers la fin des années ‘60 et le début des années ’70, c’est l’arrivée de l’ordinateur. Il est donc désormais possible de stocker des renseignements sur des bases de données informatisées et de se les échanger électroniquement. Plus besoin d’énormes classeurs qui débordent de papier et plus besoin d’envoyer des lettres. Sauf que les individus étaient alors préoccupés par le fait que cette « dématérialisation » mène à une plus grande circulation de leurs renseignements personnels et que ceux-ci soient utilisés pour prendre des décisions à leur sujet sans que l’on puisse connaître les renseignements en question et en vérifier l’exactitude.  On a donc défini la vie privée comme étant « le contrôle d’un individu sur ses renseignements personnels », ce qui est devenu le principe directeur de notre législation actuelle.  

De nos jours la notion de contrôle individuel est un peu moins pertinente. On ne compte plus le nombre d’études qui démontrent que les gens ne lisent pas les conditions d’utilisation ou la politique de confidentialité d’un produit ou d’un service avant de les accepter. D’ailleurs, un sondage effectué en 2018-2019 par le Commissariat à la protection de la vie privée du Canada indiquait que plus de 60% des Canadiens estiment avoir peu de contrôle ou aucun contrôle sur la façon dont leurs renseignements personnels sont utilisés par les entreprises ou par le gouvernement.

Les individus semblent davantage préoccupés par certains types de traitements de données qui portent atteinte à leurs droits fondamentaux que par l’exercice d’un réel contrôle sur leurs renseignements.  On n’a qu’à penser aux enquêtes qui ont été effectuées concernant l’entreprise Clearview AI qui récoltait des données sur les réseaux sociaux pour permettre aux corps policiers d’identifier n’importe qui pratiquement n’importe où. Un autre cas classique est le fameux scandale Cambridge Analytica qui a eu des répercussions à travers le monde, et où on a pu constater comment des données en apparence banales (ex. nos j’aimes sur Facebook) pouvaient littéralement servir de munitions pour des campagnes politiques. Tout récemment, le conflit en Ukraine nous montre que les données sont devenues des cibles et le Web, un véritable champ de bataille. En effet, différents groupes de pirates informatiques s’affrontent de part et d’autres dans ce qui constitue peut-être la première cyber-guerre de l’histoire.

Bref, quand on cherche à protéger la vie privée et les renseignements personnels, on ne peut pas seulement considérer l’individu. Il faut également penser au rôle social et politique des données dans la société du XXIe siècle.

Quand on regarde la plus récente réforme législative, le projet de loi n° 64 au Québec, on remarque que le législateur a cherché à encadrer certains types de traitement de données susceptibles de causer un préjudice aux individus (ex. décisions automatisée, profilage), mais on constate également que la notion de contrôle individuel – opérationnalisée par le mécanisme du consentement – demeure centrale. La loi québécoise continue d’exiger le consentement pour tout traitement de renseignements personnels sauf pour de rares exceptions. On ajoute également des critères additionnels pour « renforcer » la place du consentement. On confère de nouveaux droits aux individus comme la portabilité de leurs données ou la désindexation mieux connu comme « le droit à l’oubli ».

Or, l’expérience de l’Union européenne au cours des quatre dernières années avec le RGPD, la première loi « moderne » en matière protection de la vie privée, démontre qu’une approche trop prescriptive peut avoir des conséquences néfastes pour les entreprises, les gouvernements et même pour les consommateurs.  

En effet, plusieurs entreprises ont dû couper dans certaines de leurs activités pour compenser les ressources importantes consacrées à la conformité RGPD. Dans un sondage réalisé auprès de 500 entreprises allemandes en 2021, 3 entreprises sur 4 ont affirmé qu’au moins un projet lié à l’innovation a dû être abandonné en cours de route en raison des exigences imposées par le RGPD.

La fatigue des consommateurs à l’égard du consentement (ou « consent fatigue » en anglais) s’est également exacerbée sous le RGPD. Les exigences du RGPD en matière de consentement et de transparence (qui ont fortement inspiré le législateur québécois pour le projet de loi n° 64) ont conduit à une multiplication des avis aux consommateurs comme en témoigne le nombre de pop-up que l’on reçoit lorsque l’on navigue sur des sites européens. Paradoxalement, des mesures qui visent à renforcer le contrôle des individus sur leurs renseignements mènent à des résultats diamétralement opposés, soit un désengagement encore plus prononcé.

Un autre élément à souligner c’est qu’en se concentrant uniquement sur la protection des données de l’individu, on perd de vue l’utilisation bénéfique des données pour l’ensemble de la collectivité.  La pandémie a bien démontré que les données émises par les individus pouvaient servir à lutter contre la propagation d’un virus à l’échelle nationale grâce au traçage des contacts. Quand on y pense, il y a plein d’autres enjeux de société qui pourraient être adressés en misant sur le potentiel des données du plus grand nombre, pensons aux changements climatiques, au transport, à la désinformation sur les médias sociaux, etc.

Je pense qu’à travers tout l’enthousiasme suscité par le vent de réformes qui souffle au pays, il importe de garder à l’esprit que les lois doivent atteindre un équilibre entre la protection des renseignements personnels des individus et les avantages sociaux et économiques importants qui sont rendus possibles aujourd’hui grâce aux données et aux nouvelles technologies. Bref, le travail pour arriver à atteindre ce parfait équilibre n’est pas terminé!

Je vous remercie pour votre écoute et je vous souhaite une excellente 15e Édition de Legal.IT!  

This content has been updated on March 31, 2022 at 10 h 22 min.