Projet de loi n° 64 : échos de commission parlementaire
Écrit par Simon Du Perron – auxiliaire de recherche au Laboratoire de cyberjustice – Automne 2020.
Le 29 septembre dernier, la Commission des institutions de l’Assemblée nationale a clos ses consultations particulières concernant le projet de loi n° 64, Loi modernisant des dispositions législatives en matière de protection des renseignements personnels. Près d’une vingtaine d’experts et d’organismes se sont succédé pour faire part de leurs commentaires à l’égard de cette ambitieuse réforme des deux principales lois en matière de protection des renseignements personnels au Québec, soit la Loi sur la protection des renseignements personnels dans le secteur privé(Loi sur le secteur privé) et la Loi sur l’accès aux documents des organismes publics et sur la protection des renseignements personnels (Loi sur l’accès). Nous proposons de revenir sur les points saillants des quatre séances de cette Commission. Pour un résumé détaillé de chacune des interventions nous vous dirigions vers ce tableau réalisé par le cabinet BLG (en anglais seulement).
D’entrée de jeu, soulignons que l’ensemble des intervenants ont reconnu la nécessité de moderniser le régime de protection des renseignements personnels au Québec à la lumière des développements technologiques et de la nouvelle économie numérique. À cet égard, force est de constater que le projet de loi n° 64 est reçu très favorablement tant par le secteur public que le secteur privé; le Commissaire à la protection de la vie privée du Canada, Daniel Therrien, est même allé jusqu’à dire qu’il s’agissait d’un « excellent projet de loi ». Ceci étant, plusieurs pistes d’améliorations ont été discutées notamment en ce qui concerne la définition de renseignement personnel (1), l’utilisation de l’intelligence artificielle et d’autres technologies permettant d’effectuer un profilage (2), la notion de consentement (3) ainsi que l’accompagnement des entreprises et la mise en œuvre de la loi (4).
1) Être ou ne pas être un renseignement personnel?
Bien que le projet de loi ne modifie pas la définition actuelle de renseignement personnel – tout renseignement qui concerne une personne physique et permet de l’identifier – celle-ci s’est néanmoins retrouvée à l’avant-plan des discussions puisqu’elle constitue le seul et unique critère qui détermine l’application de la législation. En effet, plusieurs intervenants considèrent qu’à l’ère du traitement algorithmique des données, limiter les protections législatives aux seuls renseignements « personnels » est problématique, faisant ainsi écho au « fétichisme de la donnée personnelle » critiqué par Antoinette Rouvroy. Il a été proposé d’assujettir « données inférées » ou « données émergentes », c’est-à-dire les renseignements inférés à partir du traitement d’autres renseignements, à la législation.
D’ailleurs au sujet des données anonymisées, qui sont de facto exclues de la portée de la législation, les experts ont unanimement affirmé que le critère prévu par le projet de loi – soit qu’un renseignement ne doit plus permettre, de façon irréversible, d’identifier directement ou indirectement une personne physique – est à toute fin pratique inutile puisqu’il s’avère quasi impossible à rencontrer. En effet, plusieurs études démontrent que les risques de réidentification existent même au sein de jeux de données entièrement anonymisées.
La définition de renseignement personnel sensible proposée par le projet de loi – soit un renseignement personnel qui, de par sa nature ou en raison du contexte de son utilisation ou de sa communication, suscite un haut degré d’attente raisonnable en matière de vie privée – a également fait l’objet de discussions qui ont opposées d’une part, les tenants de l’approche souple et contextuelle préconisée par le projet de loi et de l’autre, les intervenants en faveur d’une définition plus précise et énumérative à l’image de celle du Règlement général sur la protection des données (RGPD). S’il est vrai que la définition proposée a l’avantage de se prêter à une multitude de renseignements présents et futurs, force est d’admettre que les possibilités technologiques d’aujourd’hui risquent de décupler le nombre de situations où un renseignement sera considéré comme sensible eu égard au contexte de son utilisation. La recommandation contenue dans le mémoire du Barreau du Québec à l’effet que la définition du projet de loi devrait être complétée par une liste non exhaustive de renseignements sensibles inspirée par les motifs interdits de discrimination prévus à l’article 10 de la Charte des droits et libertés de la personne constitue selon nous une avenue intéressante.
2) Intelligence artificielle et traitements illégitimes des données
Plusieurs intervenants ont soulevé des inquiétudes en ce qui concerne les menaces que le traitement algorithmique des données peut constituer en termes d’atteinte aux droits fondamentaux des citoyens. . À l’heure actuelle, le projet de loi prévoit une obligation d’informer la personne concernée lorsque ses renseignements personnels sont utilisés afin de rendre une décision fondée exclusivement sur un traitement automatisé[1]. La discrimination algorithmique constitue un enjeu criant d’actualité et certains organismes voudraient que le projet de loi prévoie davantage de protections contre certaines utilisations illicites ou illégitimes des données. En ce sens, Option Consommateur a proposé d’interdire explicitement toute utilisation de données ayant des effets discriminatoires illicites, ayant pour effet d’exploiter économiquement le consommateur ainsi que toute utilisation commerciale des données des enfants. De son côté, la Commission d’accès à l’information (CAI) recommande de limiter ou d’interdire l’utilisation de renseignements personnels en certaines circonstances préjudiciables aux individus ou portant atteinte à leurs droits fondamentaux. À notre avis, le législateur aurait intérêt à considérer sérieusement ces recommandations afin de prévenir certaines dérives qui pourraient être occasionnées par une interprétation large de l’exception introduite par le projet de loi qui permet d’utiliser des renseignements personnels, sans le consentement de la personne concernée, à des fins compatibles aux fins pour lesquelles ils ont été recueillis[2].
D’ailleurs, en ce qui concerne les dispositions sur la prise de décisions automatisées, nous nous réjouissons que la CAI ait identifié que le mécanisme permettant de demander la révision d’une telle décision était absent de la Loi sur l’accès (contrairement à ce qui est prévu pour la Loi sur le secteur privé). Soulignons également que le Barreau du Québec ainsi que le Jeune Barreau de Montréal recommandent tous les deux de prévoir expressément un droit (par opposition à une simple « possibilité ») à la révision humaine d’une décision automatisée à l’image de l’article 22 du RGPD.
En outre, il convient de souligner une autre recommandation originale formulée par Option consommateur qui souhaite que le projet de loi reconnaisse aux consommateurs le droit de refuser d’être pistés en ligne, viades mécanismes technologiques simples et faciles d’accès. Ce droit de retrait quant au pistage pourrait s’opérationnaliser au moyen d’un signal « Do Not Track », intégré au navigateur Internet des utilisateurs, que les entreprises auraient l’obligation de respecter. Il s’agira certes d’un défi pour le législateur de libeller cette recommandation tout en respectant le principe de neutralité technologique, mais le jeu en vaut selon nous la chandelle.
3) Consentement : condition nécessaire, mais non suffisante
Le principe du consentement, qui constitue la pierre angulaire du régime de protection des renseignements personnels, a été au cœur des discussions de la commission. Plusieurs intervenants ont invité le législateur à reconsidérer la place du consentement dans la législation considérant la myriade d’usages possibles des renseignements personnels dans le contexte de l’économie numérique. Plus particulièrement, la disposition du projet de loi qui exige que le consentement soit demandé pour chaque finalité, et ce, distinctement de toute information communiquée à la personne concernée[3] fut passablement critiquée puisqu’elle risque de multiplier les demandes de consentement tout en créant un faux sentiment de contrôle et de protection chez les citoyens. Ainsi, la nécessité de reconnaitre de nouvelles bases juridiques pour la collecte et l’utilisation des renseignements personnels semble faire consensus. Le modèle européen est encore une fois cité en exemple puisque le RGPD reconnait cinq autres bases licites pour le traitement des données, notamment l’exécution d’un contrat impliquant la personne concernée et la poursuite des intérêts légitimes d’une entreprise ou d’un organisme public.
La CAI, dernier organisme à intervenir dans le cadre des consultations, est toutefois venue rappeler que la Loi sur le secteur privé prévoit déjà la possibilité de collecter et de traiter des renseignements personnels sans avoir à obtenir le consentement de la personne concernée. En effet, pour procéder à une collecte de renseignements personnels en vertu de la loi québécoise une entreprise doit avoir un « intérêt sérieux et légitime »[4], elle doit préciser les fins pour lesquelles les renseignements sont collectés[5] et elle ne doit recueillir que les renseignements jugés nécessaires[6]. Elle doit ensuite en informer la personne concernée[7]. Ce n’est donc que lorsque l’entreprise souhaite utiliser les renseignements personnels qu’elle détient à de nouvelles fins ou encore les communiquer à des tiers qu’elle doit obtenir le consentement de la personne concernée[8]. L’intervention de la CAI illustre à notre avis une ambiguïté fondamentale de la Loi sur le secteur privé que le législateur devrait s’empresser de clarifier.
Ensuite, plusieurs intervenants ont invité le législateur à préciser son intention en ce qui concerne le consentement implicite. En effet, le projet de loi semble reconnaître la validité d’un consentement implicite en ce qui a trait aux activités n’impliquant pas des renseignements personnels sensibles par une interprétation a contrario d’un de ses articles[9]. Cette situation a d’ailleurs donné lieu à une boutade de la part d’un des intervenants qui a demandé au législateur « d’être plus explicite concernant le consentement implicite ».
4) Responsabiliser et accompagner
Tout en saluant la volonté du législateur de responsabiliser davantage les entreprises en ce qui concerne la gestion et la protection des renseignements personnels qu’elles détiennent, plusieurs intervenants et organismes ont affirmé que cette responsabilisation doit s’accompagner d’un processus d’accompagnement. En effet, le projet de loi prévoit une obligation très large d’effectuer une évaluation des facteurs relatifs à la vie privée (EFVP) pour « tout projet de système d’information ou de prestation électronique de services »[10] ce qui représente un fardeau important pour bon nombre de petites et moyennes entreprises. Ainsi, certains intervenants soutiennent qu’il serait plus judicieux de restreindre les cas où une EFVP devrait être réalisée en s’inspirant du RGPD (surprise!) qui exige uniquement une telle évaluation lorsque l’activité de traitement est susceptible de présenter un « risque élevé » pour les droits et libertés des individus[11]. Il convient de noter que la CAI a récemment publié un guide d’accompagnement sur les étapes de déroulement d’une EFVP. Ce guide a toutefois été réalisé avant le dépôt du projet de loi et il devra donc être mis à jour en conséquence.
Finalement, le point qui a suscité le plus large consensus parmi l’ensemble des intervenants est sans contredit la nécessité d’allouer davantage de ressources à la CAI pour que celle-ci puisse avoir les moyens de s’acquitter de ses nouvelles attributions et d’assurer le respect de la législation. En effet, les importantes sanctions administratives pécuniaires prévues par le projet de loi perdront de leur mordant si le budget de la CAI ne lui permet pas d’augmenter considérablement son volume d’enquêtes.
Le processus de
consultations particulières et d’auditions publiques sur le projet de loi n° 64
aura permis de mettre en lumière certaines lacunes qui mériteraient d’être
corrigées d’ici l’adoption du projet de loi. Première juridiction en Amérique
du Nord à avoir encadré la protection des renseignements personnels tant dans
le secteur public que dans le secteur privé, le Québec fait encore une fois
office de pionnier en la matière avec cette importante réforme. Nous
continuerons de suivre avec attention le cheminement du ce projet de loi phare,
notamment son étude détaillée qui pourrait commencer dans les prochaines
semaines.
[1] Article 12.1 de la Loi sur le secteur privé, tel qu’amendé par l’article 102 du projet de loi et l’article 65.2 de la Loi sur l’accès, tel qu’amendé par l’article 20 du projet de loi n°64.
[2] Article 12 de la Loi sur le secteur privé, tel qu’amendé par l’article 102 du projet de loi n°64 et l’article 65.1 de la Loi sur l’accès tel qu’amendé par l’article 19 du projet de loi.
[3] Article 14 de la Loi sur le secteur privé, tel qu’amendé par l’article 102 du projet de loi n°64 et l’article 53.1 de la Loi sur l’accès tel qu’amendé par l’article 9 du projet de loi.
[4] Loi sur le secteur privé, art. 4.
[5] Id.
[6] Loi sur le secteur privé, art. 5.
[7] Loi sur le secteur privé, art. 8.
[8] Loi sur le secteur privé, art. 13.
[9] Article 13 al. 2 de la Loi sur le secteur privé, tel qu’amendé par l’article 102 du projet de loi.
[10] Article 3.3 de la Loi sur le secteur privé, tel qu’amendé par l’article 95 du projet de loi ainsi que l’article 63.5 de la Loi sur l’accès tel qu’amendé par l’article 14 du projet de loi.
[11] Article 35 RGPD.
Ce contenu a été mis à jour le 5 janvier 2021 à 17 h 09 min.