La loi sur la protection de la vie privée au Canada: Trouver le juste équilibre
résumé
À l’automne 2021, le Forum des politiques publiques a réuni un groupe d’universitaires, d’avocat.e.s, de représentant.e.s du secteur privé et de membres de la société civile pour relancer, selon la règle de Chatham House, les discussions sur la modernisation de la législation sur la protection de la vie privée au Canada. Ces conversations visaient à explorer cinq questions clés :
- Quelle est la situation du Canada par rapport aux autres pays, et relativement aux différences entre les provinces?
- Quelles sont les priorités en ce qui concerne les changements à apporter au projet de loi C-11 modifié : Loi édictant la Loi sur la protection de la vie privée des consommateurs et la Loi sur le Tribunal de la protection des renseignements personnels et des données et apportant des modifications corrélatives et connexes à d’autres lois?
- Où se situent les écarts les plus importants entre les expert.e.s et les parties prenantes sur le projet de loi C-11, et y a-t-il des approches, des orientations ou des principes différents qui permettront de les combler dans une législation efficace?
- Le secteur privé devrait-il prendre des mesures en dehors de la législation modernisée?
- L’approche fondée sur les droits de la personne peut-elle coexister avec l’innovation du secteur privé fondée sur les données?
En ce qui concerne la situation du Canada par rapport à d’autres pays, et relativement aux différences entre les provinces, de nombreux participant.e.s ont exprimé leurs préoccupations face à l’émergence d’un « patchwork » de cadres, car quelques provinces (Alberta, Colombie-Britannique, Ontario et Québec) ont déjà pris l’initiative de moderniser les lois canadiennes sur la protection de la vie privée dans le secteur privé. Il s’agit peut-être de l’expression d’une impatience envers la politique, les provinces n’étant pas disposées à « attendre » que le gouvernement fédéral modernise la loi sur la protection de la vie privée (par le truchement de la révision du projet de loi C-11) et cherchant plutôt à combler les lacunes perçues dans les règlements sur la protection de la vie privée dans le secteur privé.
Ainsi, bien qu’il s’agisse d’une conversation nationale, elle est aussi de plus en plus provinciale. Alors que le mot « patchwork » a été fréquemment utilisé, il est possible de reformuler cette approche fédérée plus positivement comme occasion productive de collaboration interprovinciale afin d’élaborer une loi sur la protection de la vie privée dans le secteur privé qui soit véritablement pancanadienne, harmonisée et interopérable, et qui puisse à la fois mieux protéger le droit à la vie privée des Canadiens et Canadiennes tout en mieux soutenant l’innovation et la croissance des entreprises.
Nos tables rondes ont mis en évidence le défi suivant : des participant.e.s très bien informés sont venus avec des points de vue particuliers, et l’instrument pour les intégrer – un projet de loi – est très imparfait. La législation moderne sur la protection de la vie privée et des consommateurs.rices devra équilibrer ces intérêts par un large et vaste débat sur l’« utilisation commerciale légitime » des données prévue par la législation. De nombreux participant.e.s à la discussion ont estimé que cette particularité devait être davantage façonnée et ont fait remarquer qu’elle n’était pas suffisamment défendue. Les décideurs.euses politiques doivent renforcer et protéger la confiance des personnes et des organisations pour que l’innovation canadienne s’épanouisse et prospère. Il est difficile de tenir une conversation exhaustive sur l’innovation dans le cadre d’une loi sur la protection de la vie privée. De plus, les efforts visant à « protéger » les consommateurs. rices peuvent être interprétés comme une biaisés ou accusatoires par les acteurs privés qui anticipent de nouvelles restrictions à leur capacité d’innover grâce à la collecte de données, ou qui s’inquiètent des coûts imposés par de nouvelles exigences potentielles, telles que le renforcement du droit des consommateurs.rices de réclamer l’accès aux données personnelles détenues par une organisation, et de demander à celle-ci de les supprimer ou de les transférer à une autre organisation. De nombreux intervenant.e.s ont indiqué que les larges exemptions commerciales incluses dans la législation proposée sont une source de faiblesse et de préoccupation potentielles. Cependant, si ce débat est présenté comme une discussion entre les entreprises et l’État, le/la citoyen.ne numérique cesse d’en être l’objectif principal. En fin de compte, les conversations sur le projet de loi C-11 portent sur le pouvoir et la révision des droits des personnes concernant la collecte et l’utilisation de leurs renseignements personnels.
En raison d’une certaine inertie de la régulation – de nombreux intervenant.e.s ont fait part de leur inquiétude, de leur déception et de leur surprise de voir la proposition de loi laissée à une « mort naturelle » – le temps qui passe peut contribuer à normaliser ou à pseudolégitimer des pratiques commerciales qui, autrement, ne seraient pas « adaptées » à la loi proposée précédemment. Il est facile de comprendre pourquoi cela risque d’inquiéter les chefs d’entreprise, qui ont investi dans des talents et des systèmes pour maximiser la valeur et tirer des enseignements des mégadonnées qui peuvent contribuer à leur croissance économique, de voir ces normes « innovantes » remises en question. Au pire, il peut sembler malhonnête que l’État révise presque rétroactivement les normes en matière de protection de la vie privée par une riposte au capitalisme de surveillance.
Pendant les tables rondes, on a discuté des priorités pour les changements à apporter au projet de loi C-11. Les participant.e.s se sont focalisés sur les mécanismes permettant de créer de nouvelles responsabilités entre les entreprises et les personnes reliées à elles par des données. Une autre facette de la législation révisée potentielle qui intéressait les participant.e.s portait sur le ressourcement et les investissements dans l’application de la loi pour prévenir des situations telles que le manque de capacité décrit dans le rapport 2020 de Brave, un navigateur protégeant la vie privée, qui a examiné « comment les gouvernements d’Europe échouent dans la mise en œuvre du RGPD », et a détaillé la capacité des autorités en charge de la protection des données (APD) à faire respecter les infractions technologiques commises au titre du RGPD. L’aspiration à renforcer le droit à la vie privée des individus tout en répondant aux besoins des entreprises et autres organisations dans leur quête d’une innovation responsable a fait l’unanimité.
Parmi les écarts les plus importants entre les expert.e.s et les intervenant.e.s au sujet du projet de loi C-11, il y avait un certain scepticisme quant à l’utilité d’un nouveau Tribunal de la protection de la vie privée qui pourrait être distinct de celui du/de la commissaire à la protection de la vie privée. Le projet de loi C-11 accorde au commissaire à la protection de la vie privée un pouvoir d’exécution par voie d’ordonnance (sous réserve de l’approbation d’un tribunal) qui pourrait donner plus de mordant à la législation. Une autre lacune importante concerne simplement la définition de l’« utilisation commerciale légitime » des données – à la fois actuellement, et ce qu’elle pourrait ou devrait être à l’avenir. Encore une fois, cette interprétation est au cœur de la discussion sur la législation en matière de protection de la vie privée au Canada et doit être discutée plus clairement; peut-être en lien avec le discours [politique] général qui, selon de nombreux participant.e.s, était absent de la présentation précédente du projet de loi.
En ce qui concerne les approches, les orientations ou les principes qui pourraient aider à combler ces lacunes : une conversation plus franche et plus directe qui engage les personnes ordinaires sur la façon dont leurs données peuvent être utilisées, comment elles sont protégées et comment cela peut contribuer à l’innovation, est justifiée. D’autres interventions en matière de politiques pourraient donner aux consommateurs.rices les moyens de prendre des décisions sur la façon dont ils/elles souhaitent s’engager en ligne. Ces interventions seraient adjacentes et complémentaires à la réforme de la législation sur la protection de la vie privée.
Les deux tables rondes n’ont pas abordé directement les interventions non législatives. Cela étant, le secteur privé pourrait mener des travaux supplémentaires pour protéger la vie privée des consommateurs.rices et donner à leur clientèle de nouvelles capacités pour personnaliser leurs expériences en ligne. Par exemple, dans quelle mesure un engagement à minimiser les données pourrait-il constituer un avantage concurrentiel pour une entreprise? Les entreprises soutiennent souvent que les consommateurs.rices bénéficient des données que les entreprises collectent sur leurs habitudes et leur historique d’achat, de sorte qu’ils/ elles reçoivent des publicités plus appropriées ou plus efficaces. Cela peut être vrai dans de nombreux cas, mais les client.e.s méritent de pouvoir « désactiver » ces pratiques de ciblage. Nous avons vu la réponse remarquable à cette question lorsque Apple a donné aux utilisateurs.rices d’iPhone la possibilité de désactiver le bouton « Annonces personnalisées » et leur a demandé d’opter directement pour le suivi de leur activité dans chaque application individuelle.
Les nouvelles interventions en matière de politiques en faveur de la transparence, de la responsabilité et de la vérifiabilité des algorithmes sont liées à la protection de la vie privée et méritent d’être explorées dans un contexte canadien. Par exemple, les décideurs. euses politiques canadiens commencent à peine à s’engager dans des conversations sur la concurrence et le rôle des données des consommateurs.rices dans la création ou le maintien d’obstacles à l’entrée sur le marché, ou de nouvelles façons d’abuser potentiellement de la position dominante.
De nombreux aspects du projet de loi C-11 proposé précédemment étaient prometteurs, comme le droit d’obtenir une explication sur les raisons pour lesquelles un système d’intelligence artificielle (IA) a pris une décision au sujet d’une personne, ou le droit de refuser que des données soient recueillies en premier lieu – le simple fait de disposer de meilleures explications sera utile. Cependant, il incombe toujours à l’individu de chercher à comprendre au cas par cas, ce qui prend du temps et peut être irrationnel. Toutefois, si les individus souhaitent gérer de façon plus proactive leurs engagements en ligne, ils devraient peut-être avoir le pouvoir de rejeter les systèmes de recommandation. Cela pourrait prendre la forme d’un texte législatif autonome, tel que le projet de loi américain récemment proposé sur la transparence des bulles de filtres (« Un projet de loi visant à exiger que les plateformes Internet donnent aux utilisateurs.rices la possibilité de s’engager sur une plateforme sans être manipulés par des algorithmes pilotés par des données spécifiques à l’utilisateur.rice »), qui permettrait aux utilisateurs.rices finaux des médias sociaux de rejeter un système de recommandation.
Un autre domaine qui mérite d’être approfondi est celui des droits collectifs sur les données et les intermédiaires. La loi californienne sur la protection de la vie privée des consommateurs.rices prévoit un mécanisme pour ce type de représentation collective. Et, dans une proposition récente de la Commission européenne, l’Europe envisage un instrument similaire. Le Canada devrait peut-être faire davantage pour que les personnes assument directement la responsabilité de leurs données, alors que les particuliers cherchent à démystifier le marché qui les lie aux entreprises axées sur le numérique. La nouvelle législation aidera les personnes à la fois à comprendre à quoi peuvent servir leurs données et pourquoi, et à leur donner la possibilité de refuser.
En ce qui concerne la question de savoir si une approche fondée sur les droits de la personne – en vertu de laquelle la vie privée des personnes est traitée comme un droit fondamental – peut coexister avec l’innovation du secteur privé axée sur les données, certains participants ont exprimé leur optimisme quant à la possibilité d’une telle coexistence et ont généralement estimé qu’une approche fondée sur les droits de la personne n’était pas incompatible avec l’innovation. Les Canadiens et Canadiennes aspirent à une meilleure conservation de leurs renseignements personnels, à une plus grande transparence quant à l’utilisation qui en est faite et à plus de droits pour gérer leurs renseignements en ligne.
Un autre domaine de désaccord qui devrait être corrigé à l’avenir est lié à la législation qui exempte potentiellement les partis politiques des nouvelles exigences imposées au secteur privé. Les organismes sans but lucratif et les organismes de bienfaisance gèrent et exploitent également de grandes quantités de renseignements. Étant donné que le commissaire à l’information et à la protection de la vie privée de l’Ontario a recommandé que la législation sur la protection de la vie privée de l’Ontario s’applique aux partis politiques provinciaux et aux associations de circonscription fédérales, il serait utile d’assurer une certaine cohérence. Une discussion plus approfondie sur la gestion des données dans les systèmes de décision automatisés (SDA) serait également bienvenue. Les Canadiens et Canadiennes devraient comprendre les règles d’équité, de transparence, de sécurité et de responsabilité pour l’utilisation responsable de leurs renseignements personnels dans ces systèmes.
Enfin, il faut souligner l’enthousiasme et la bonne volonté à l’égard des efforts continus de modernisation de la législation sur la protection de la vie privée. Non seulement nous pouvons continuer à apprendre de nos pairs internationaux, mais nous avons l’avantage d’être éclairés par les approches plus récentes mises de l’avant par certaines provinces. L’harmonisation par l’interopérabilité et la réintroduction d’un cadre cohérent de protection de la vie privée qui protège mieux les consommateurs.rices et favorise l’innovation responsable sont réalisables avec un engagement politique soutenu.
Résumé et discussion de deux tables rondes
Téléchargez le PDF