Protection des renseignements personnels au Canada: faut-il imiter ou innover?

Le modèle canadien de protection des renseignements personnels doit tracer sa propre voie, trouver son propre équilibre, estiment les auteurs. 
Photo: iStock Le modèle canadien de protection des renseignements personnels doit tracer sa propre voie, trouver son propre équilibre, estiment les auteurs. 

La protection des renseignements personnels doit être repensée à l’heure des technologies de l’information et des nouveaux modèles d’affaires — pensons au Big Data, à l’Internet des objets ou encore à l’intelligence artificielle qui étaient absents de notre quotidien il y a encore quelques années. Voilà une question qui fait aujourd’hui l’unanimité partout dans le monde. La solution est, quant à elle, moins évidente à trouver. Et, tandis que l’Union européenne met le cap sur une direction qui lui est propre, le Canada semble encore chercher sa voie. On veut assurément innover… oui, mais comment ? En inventant ou en imitant ? Les députés fédéraux semblent aujourd’hui privilégier la deuxième option, soit la voie de l’imitation de nos voisins européens.

Il y a quelques jours, le Comité permanent de l’accès à l’information, de la protection des renseignements personnels et de l’éthique déposait son rapport quinquennal à la Chambre des communes intitulé Vers la protection de la vie privée dès la conception : examen de la Loi sur la protection des renseignements personnels et les documents électroniques. Il faut ici souligner que cette loi fédérale vise les organisations du secteur privé ayant des activités commerciales dans la plupart des provinces, à l’exception dans certaines circonstances du Québec, de l’Alberta et de la Colombie-Britannique disposant de leurs propres lois.

Dans le cadre de cet examen parlementaire, le Comité formule 19 recommandations de modification de la loi fédérale en s’appuyant sur une analyse d’une centaine de pages. À la lecture du rapport, on peut toutefois s’étonner de voir autant de références au système européen : l’« Union européenne » est citée pas moins de 25 fois, tandis que l’occurrence « RGPD » (pour Règlement général sur la protection des données) se retrouve à 36 reprises. La nouvelle réglementation européenne en matière de protection des données personnelles est assurément un incontournable, mais on parle bien du Canada ayant sa propre histoire et ses propres spécificités en matière de vie privée. Plus avant, il faut garder à l’esprit le proverbe bien connu « qui veut imiter la démarche de l’autre ne fait que perdre la sienne ». Cela dit, le rapport présente toutefois des pistes de réflexion fort intéressantes, notamment quant au développement « responsable » de l’intelligence artificielle. C’est sur ces « plus » et ces « moins » que nous aimerions insister.

Réflexion constructive

Entendons-nous : il n’est pas interdit de parler, voire même de s’inspirer, de la réglementation européenne, qui est particulièrement audacieuse et originale, il faut bien l’admettre. La nuance est toutefois mince entre « s’inspirer » et « copier-coller ». En l’occurrence, le rapport propose une réflexion certes constructive, mais l’analyse apparaît parfois presque mécanique, comme s’il fallait nécessairement faire un effort de type « check-the-box » entre le droit canadien et le droit européen. La plupart des recommandations recoupent ainsi des concepts qui sont mis en avant dans la réglementation européenne. Il faudrait ainsi modifier le droit canadien pour tenir compte des intérêts d’affaires légitimes, des nuances entre anonymisation et pseudonymisation, du consentement des mineurs, de la portabilité des données, du droit à l’effacement et au déréférencement ou encore des notions de Privacy by Design et de Privacy by Default.

Les Européens n’ont évidemment pas l’apanage de ces différentes idées, il n’en demeure pas moins qu’un sentiment de « voie unique » se dégage de ce rapport. À ce stade, il faut noter qu’en matière de flux transfrontaliers de données, la notion du caractère « adéquat » (ou équivalent) des protections accordées aux renseignements personnels est un enjeu crucial. En ce sens, le rapport y consacre une partie importante, et ce, à juste titre. Cependant, la quête du Graal « adéquation » ne signifie certainement pas que l’approche canadienne puisse être dictée ipso facto par l’Union européenne.

Cela étant dit, soulignons toutefois que le rapport contient des développements plus novateurs que d’autres, notamment quant aux pouvoirs d’exécution du Commissaire à la protection de la vie privée ou encore à l’étude de l’approche états-unienne. Ce constat se vérifie particulièrement concernant les enjeux de l’intelligence artificielle. Le Comité exhorte ainsi le gouvernement du Canada à « envisager la prise de mesures visant à améliorer la transparence algorithmique ». À l’heure où les projets et réussites se multiplient au Canada dans ce secteur, particulièrement à Montréal, et compte tenu du besoin criant de sécurité juridique pour tous les intervenants, y compris les entreprises innovantes, cette recommandation fait jaillir une lueur d’espoir. Elle doit maintenant s’accompagner de véritables discussions sur le plan éthique, tout en s’inscrivant dans un cadre normatif équilibré et compétitif. L’intelligence artificielle ne doit pas opposer, mais bien rassembler toutes les parties prenantes.

Au bout du compte, le modèle canadien de protection des renseignements personnels doit tracer sa propre voie, trouver son propre équilibre. À ce chapitre, peut-être convient-il de mieux considérer les propos du législateur (lui-même !) qui se retrouvent dans la loi fédérale, soit de tenir compte du droit des individus à la vie privée et du besoin des organisations de traiter des renseignements personnels dans une ère où la technologie modifie la donne.